H3C SMB Router IPSec VPN配置指导
关键词:IKE、IPSec、VPN、NAT穿越、DPD、Hub & SPOKE
摘 要:本文是对SMB Router的IPSec VPN功能配置进行介绍,指导用户组网
配置。 缩略语: 缩略语 IKE ISAKMP IPSec AH ESP PFS DPD NAT
英文全名 Internet Key Exchange Internet Security Association and Key Management Protocol IP Security Authentication Header Encapsulating Security Payload Perfect Forward Secrecy Dead Peer Detection network address translation 中文解释 因特网密钥交换 互联网安全联盟和密钥管理协议 IP安全 认证头 封装安全载荷 完善的前向安全性 对等体存活检测 网络地址转换 目 录 1 概述 1.1 简介 1.2 基本概念 1.2.1 安全联盟 1.2.2 IPSec封装模式 1.2.3 验证算法 1.2.4 加密算法 1.2.5 协商方式 1.2.6 IKE DPD 1.3 IPSec配置指导 1.3.1 配置思路 1.3.2 配置指导
2 一对一IPSec VPN典型配置案例 2.1.1 组网需求 2.1.2 组网图 2.1.3 配置步骤
3 Hub & Spoke VPN典型配置案例 3.1.1 组网需求 3.1.2 组网图 3.1.3 设置步骤
4 WINXP的IPSec VPN典型配置案例 4.1.1 组网需求 4.1.2 组网图
4.1.3 配置步骤 4.1.4 测试
5 常见问题解答(FAQ)
5.1 VPN隧道数据不通,如何处理
5.2 若VPN组网中存在NAT设备,双方如何配置 5.3 双WAN手动均衡时的路由问题 5.4 策略路由的问题 5.5 碰到问题时的处理方法
1 概述
1.1 简介
H3C SMB系列路由器是主要定位于中小企业市场、政府、网吧等环境的网络路由器,包括ER3000系列、ER5000系列、ICG1000系列等多个产品型号。下文中将使用名称SMB Router来统一指代这些产品。
本文是SMB Router产品上IPSec VPN的配置指导,涉及到IKE和IPSec各项参数的配置、注意事项以及与对端设备对接时的配置方案,此配置指导适用于H3C SMB系列路由器。
本文介绍的IPSec VPN特性配置适用于SMB Router多个产品版本,具体版本包括:ICG1000 V100R006、ICG1800 V100R004、ER3200 V201R004、ER3100 V201R004、ER5200 V201R003、ER5100 V201R003、ER3260 V201R003。
请注意版本号R后面的数字,不小于所列版本号的产品均可以参考此文。小于所列版本号的产品属于IPSec特性的旧版本,其配置方式有所不同,相对比较简单,此处不再详述。
1.2 基本概念
IPSec(IP security)协议族是Internet工程专门小组IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全功能。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
1.2.1 安全联盟
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体(Peer)。IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如,某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护,并使用3DES(Triple Data Encryption Standard,三重数据加密标准)进行加密;另一方面,策略可能规定来自另一个站点的数据流只使用ESP保护,并仅使用DES加密。通过安全联盟(Security Association,以下简称SA),IPSec能够对不同的数据流提供不同级别的安全保护。
安全联盟SA是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如:使用哪种协议(AH、ESP还是两者结合使用)、协议的
?
操作模式(传输模式和隧道模式)、加密算法(DES和3DES)、特定流中保护数据的共享密钥以及SA的生存周期等。
安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时,如果希望同时使用AH和ESP来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP。
?
安全联盟由一个三元组来唯一标识,这个三元组包括SPI(Security
Parameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。
?
安全联盟具有生存周期。生存周期的计算包括两种方式:以时间为限制和以流量为限制,SMB Router支持以时间为限制。
?
1.2.2 IPSec封装模式
IPSec协议有两种报文封装模式:传输模式(transport)和隧道模式(tunnel)。 在传输模式下,AH或ESP被插入到IP报文头之后但在所有传输层协议之前,或所有其他IPSec协议之前。
?
在隧道模式下,AH或ESP插在原始IP报文头之前,另外生成一个新的报文头放到AH或ESP之前。
?
从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。 传输模式适用于主机直接访问设备时之间的加密传输;而隧道模式则适用于更普遍的VPN应用。SMB Router只支持隧道模式,可适用于企业的IPSec VPN组网。
1.2.3 验证算法
AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法(authentication-algorithm)的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体进行摘要计算,如果两个摘要是相同的,则表示报文是完整未经篡改的。一般来说,IPSec使用两种验证算法:
?
MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。
SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-1的摘要长于MD5,因而是更安全的。
?
1.2.4 加密算法
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法(encryption-algorithm)实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。SMB Router实现了三种加密算法:
DES(Data Encryption Standard):使用56bit的密钥对每个64bit的明文块进行加密。
?
3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。
?
AES(Advanced Encryption Standard):SMB Router实现了128bit、192bit和256bit密钥长度的AES算法。
?
1.2.5 协商方式
有两种协商方式可以建立安全联盟:手工方式(manual)和IKE协商(ISAKMP)。 前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IPSec的一些高级特性(例如定时更新密钥)不被支持,但优点是可以不依赖IKE而单独实现IPSec功能;后者则相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。
当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立安全联盟。
1.2.6 IKE DPD
IKE DPD(Dead Peer Detection)是IPSec/IKE安全隧道对端状态探测功能。DPD具有产生数据流量小、检测及时、隧道恢复快的优点,DPD功能可以有效地避免对端掉线而出现的加密黑洞,提高了IPSec协议的健壮性。该功能符合RFC3706定义,在对接中可以确保互相兼容。对IKE方式对接的IPSec VPN隧道,建议双方都开启DPD功能。
DPD的运行机制中分为发送端和接收端。在发送端,当启动了DPD功能以后,当触发DPD向对端发送DPD请求时,本端等待应答报文。接收端在收到DPD查询请求报文后,应该立即发送响应报文。
按照触发DPD查询的方式分为按需型(on-demand)和周期型(Period)。 SMB Router上DPD功能是按需型的。当本端SMB Router收到对方发来的IPSec数据报文时,认为对方工作正常而不会发送DPD查询。如果在DPD周期(intervaltime)没有收到对方的IPSec数据报文,则会开始发送DPD查询。DPD查询发送后,DPD超时时间(time-out)定时器开始计时,本端还是按照发送周期不断发送查询。在超过定时器设定的时间结束之前,如果所有的查询都收不到
正确回应则认为对方断线,删除ISAKMP SA和相应的IPSec SA,安全隧道同样会被删除。当有符合安全策略的报文需要发送时,会重新触发设备协商建立安全联盟。
1.3 IPSec配置指导
1.3.1 配置思路
通过IPSec在对等体之间(此处是指路由器及其对端)能够对不同的数据流实施不同的安全保护(验证、加密或两者同时使用)。
?
数据流的区分通过支持路由的IPSec虚接口和配置静态路由来进行;
安全保护所用到的安全协议、验证算法和加密算法、协商模式等通过配置IKE安全提议来进行;
?
数据流和安全提议的关联(即定义对何种数据流实施何种保护)、SA的协商方式、对等体IP地址的设置(即保护路径的起/终点)、所需要的密钥和SA的生存周期等通过配置安全策略来进行;
?
最后,通过路由设置将数据导入实施安全策略的IPSec虚接口即完成了IPSec 的配置。
?
1.3.2 配置指导
SMB Router上的IPSec配置请参照下列指导完成: 1. 配置IPSec虚接口 2. 定义IPSec安全提议
?
创建安全提议
选择安全协议(AH、ESP、AH+ESP) 选择安全算法(验证算法和加密算法)
?
?
3. 创建IPSec安全策略(手工创建安全策略或用IKE创建安全策略) (1) 手工创建安全策略
?
在安全策略中引用IPSec安全提议 在安全策略中定义访问控制列表
配置隧道对端地址和使用的IPSec虚接口
?
?
?
配置安全联盟的SPI
配置安全联盟使用的算法密钥
?
(2) 用IKE创建安全策略
?
定义IKE安全提议
定义IKE 对等体,配置对端地址、IKE协商方式、预共享密钥、生命周期等参数,引用IKE安全提议。
? ?
在安全策略中引用IKE 对等体 在安全策略中定义访问控制列表 配置协商时使用的PFS 特性 配置协商时安全策略使用的生命周期
?
?
?
4. 配置IPSec虚接口上的路由
2 一对一IPSec VPN典型配置案例
一对一IPSec VPN组网主要面向部分小型的分支机构。每个分支机构只与总部建立VPN隧道进行通信。分支用户对于网络的链路要求不高,普通的ADSL线路即可满足要求;当然,用户也可以通过LAN接入。
对于总部网关部分,可以只考虑使用单台的网关设备来进行汇接,为满足各个分支网关的接入,总部网关使用静态IP配置。分支的网关采用静态或动态申请的IP地址与总部网关建立VPN链接。另外,建议双方开启DPD功能,能有效监测链路状态,确保VPN的实时连通。
2.1.1 组网需求
在Router A(采用ICG1000)和Router B(采用ICG1000)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.1.0/24)之间的数据流进行安全保护。
安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。
2.1.2 组网图
图1 组网示意图
2.1.3 配置步骤
1. 设置Router A (1) 设置虚接口 VPN→VNP设置→虚接口
选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。
图2 配置虚接口
(2) 设置IKE安全提议 VPN→VNP设置→IKE安全提议
输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。
图3 配置IKE安全提议
(3) 设置IKE对等体 VPN→VNP设置→IKE对等体
输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮。
当两端设备之间存在NAT设备时,相关配置请参见FAQ中“5.2 若VPN组网中存在NAT设备,双方如何配置”的说明。
图4 设置IKE对等体
(4) 设置IPSec安全提议 VPN→VNP设置→IPSec安全提议
输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。 图5 配置IPSec安全提议
(5) 设置IPSec安全策略
VPN→VNP设置→IPSec安全策略
输入安全策略名称,在“本地子网IP/掩码”和“对端子网/IP掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮。 图6 配置IPSec安全策略
(6) 设置路由
需要为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通。一般情况下,只需要为隧道报文配置静态路由即可。
配置静态路由时,指定目的地址网段后不需要指定下一跳地址,直接配置使用正确的IPSec虚接口即可。 高级设置→路由设置→静态路由 图7 配置静态路由
2. 设置Router B
在对端Router B上,IPSec VPN的配置与Router A是相互对应的。
如果对端也是使用ICG1000,则除了对等体的对端地址以及安全策略中的本地子网、对端子网、本端ID、对端ID需要对应修改,其他的设置均相似。
3 Hub & Spoke VPN典型配置案例
Hub & Spoke网络拓扑类型VPN是一种星型的VPN网络模型。该模型中存在一个中心节点即Hub,所有其它分支节点即Spoke只与Hub协商建立IPSec隧道。因此,每一个子网的网关仅需要配置到Hub的连接参数。对于一个具有N个子网的网络拓扑,只需要协商建立N个VPN隧道。各个分支节点Spoke之间通过Hub对流量的转发实现互相通信,并且不需要增加建立VPN隧道。Hub作为终结隧道的头端设备,不仅需要完成与各个分支Spoke的VPN建立维护,还需要完成数据在不同隧道间的转发。
Hub & Spoke VPN的优点是:对分支Spoke路由器的要求低,只需要其维护一条IPSec隧道;减化配置的复杂性,增加一个分支点只会增加一条隧道;只有中心Hub需要静态IP配置,其他分支可以不再申请使用静态IP。当然,这种VPN的缺点也显而易见:VPN的性能和可靠性过于依赖中心端Hub;当分支都使用动态地址时,只能由分支Spoke来初始建立IPSec隧道。
3.1.1 组网需求
在Hub & Spoke VPN组网方案中,SMB Router既可以充当分支Spoke,也可以作为中心Hub使用。
由于不同Spoke之间的子网要求互通,在隧道的访问控制表定义上可以尽可能放宽,使用any地址方式配置可以确保网络中增加Spoke时隧道配置不需要变动。然后通过将其他Spoke子网的路由指向隧道的IPSec虚接口,本子网可以通过一
条隧道访问其他Spoke的子网。中心Hub上只需要为各个Spoke的子网配置对应隧道虚接口的路由,就能完成各个隧道之间报文的转发。
各个Spoke使用动态上网方式,中心Hub上可以配置any地址的对等体来处理。当组网有变化时,配置的修改也简化了,只需要针对性地增加或减少的Spoke子网,增加或减少对应的路由即可。
3.1.2 组网图
图8 组网示意图
3.1.3 设置步骤
1. 设置Spoke (1) 设置虚接口 VPN→VNP设置→虚接口
选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。 图9 配置虚接口
(2) 设置IKE安全提议 VPN→VNP设置→IKE安全提议
输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。
图10 配置IKE安全提议
(3) 设置IKE对等体 VPN→VNP设置→IKE对等体 图11 设置IKE对等体
(4) 设置IPSec安全提议 VPN→VNP设置→IPSec安全提议
输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。 图12 配置IPSec安全提议
(5) 设置IPSec安全策略 VPN→VNP设置→IPSec安全策略
Spoke的安全策略配置如下,不同的Spoke只需要修改本地子网地址。 图13 设置安全策略
(6) 设置路由
高级设置→路由设置→静态路由
在Spoke上为VPN对端子网配置指向IPSec虚接口静态路由。 图14 设置路由
2. 设置Hub
在Hub路由器上的配置和在Spoke上的配置基本类似(虚接口、IKE和IPSec安全提议的设置均一样,差别在于对等体和安全策略的配置),设置如下。 (1) 设置对等体 图15 设置对等体
(2) 设置安全策略
在Hub路由器上为每个连接Spoke的VPN隧道配置安全策略。本地子网和对端子网都使用宽范围的any地址(0.0.0.0/0),其他的配置与Spoke对应。 Hub上的配置如同一个模板,只用一条安全策略就能够匹配多个Spoke的VPN隧道配置,协商建立针对不同子网的安全联盟SA。 图16 设置安全策略
(3) 设置路由
为不同的Spoke子网指定IPSec虚接口静态路由,这样Spoke可以与Hub建立VPN通信,不同Spoke的子网之间也可以通过VPN由Hub进行转发实现互相通信。当网络拓扑和地址规划有变动时,只用修改路由就很方便完成了配置调整。如果子网的IP规划有序,此处可以直接使用192.168.0.0/255.255.0.0的一条路由即可满足配置。 图17 设置路由
4 WINXP的IPSec VPN典型配置案例
如果您出差在外而又希望安全连接到企业局域网,那么您可以通过IPSec VPN Client和SMB Router对接建立VPN隧道来实现安全通信。微软已经将IPSec VPN Client集成进WINXP和WIN2000操作系统中,您需要对它进行相关配置即可。
4.1.1 组网需求
在SMB Router和WINXP之间建立一个安全隧道,对客户分支机构所在的子网(192.168.0.0/24)与个人电脑WINXP之间的数据流进行安全保护。
IPSEC 安全提议采用ESP协议,ESP验证算法采用MD5,ESP加密算法采用3DES。
4.1.2 组网图
图18 组网示意图
Router的WAN IP:172.16.0.4/255.255.255.0,LAN IP是192.168.0.1/255.255.255.0。
WINXP的IP:172.16.0.100/255.255.255.0,默认网关指向172.16.0.1。
4.1.3 配置步骤
1. 设置Router (1) 设置虚接口 VPN→VNP设置→虚接口
选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。 图19 配置虚接口
(2) 设置IKE安全提议 VPN→VNP设置→IKE安全提议
输入安全提议名称,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。
图20 配置IKE安全提议
(3) 设置IKE对等体 VPN→VNP设置→IKE对等体
输入对等体名称“vpn1”,选择对应的虚接口ipsec0。在“对端地址”文本框中输入WINXP的IP地址,并选择已创建的安全提议vpn1,输入预共享密钥:“123456”,单击<增加>按钮。
当两端设备之间存在NAT设备时,相关配置请参见FAQ中“5.2 若VPN组网中存在NAT设备,双方如何配置”的说明。
图21 设置IKE对等体
(4) 设置IPSec安全提议 VPN→VNP设置→IPSec安全提议
输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。 图22 配置IPSec安全提议
(5) 设置IPSec安全策略 VPN→VNP设置→IPSec安全策略
启用IPSec功能,输入安全策略名称,在“本地子网IP/掩码”和“对端子网/IP掩码”文本框中分别输入公司内网和WINXP所处的网络信息,并选择协商类型为“IKE协商”、对等体为“vpn1”、安全提议为“vpn1”,PFS确保选择默认项“禁止”。单击<增加>按钮。 图23 配置IPSec安全策略
(6) 设置路由
需要为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通。一般情况下,只需要为隧道报文配置静态路由即可。
配置静态路由时,指定目的地址网段后不需要指定下一跳地址,直接配置使用正确的IPSec虚接口即可。 高级设置→路由设置→静态路由 图24 配置静态路由
2. WINXP 网络和路由配置 (1) 为WINXP配置静态IP地址 WINXP静态IP地址配置如下图所示。 图25 WINXP 的IP地址配置
(2) 增加静态路由
在开始菜单的运行窗口,输入cmd,进入DOS窗口,执行route print。显示增加路由前的路由配置,如下图所示。 图26 增加路由前的路由配置
然后,执行route -p add 192.168.0.0 mask 255.255.255.0 172.16.0.4(如果希望临时添加路由,可以使用route add 192.168.0.0 mask 255.255.255.0 172.16.0.4命令)。
执行route –p add 192.168.0.0 mask 255.255.255.0 172.16.0.4之后,通过route print显示结果如下。可看到一条通往公司内网192.168.0.0/24网段的路由表项,网关地址指向Router的WAN口地址172.16.0.4。 图27 路由添加后
3. WINXP IPSec配置 (1) 运行MMC
在开始菜单的运行窗口,输入mmc,如下图所示。 图28 运行MMC
(2) 在mmc控制台选择“文件→添加/删除管理单元”,在弹出窗口单击<添加>按钮。出现如下图所示界面,选择“IP安全策略管理”,再单击<添加>按钮。 图29 添加/删除管理单元
(3) 在“选择计算机或域”窗口中选择“本地计算机”单选按钮,如下图所示。单击<完成>按钮。 图30 选择计算机或域
(4) 关闭除“控制台1”窗口之外的其他窗口,回到“控制台1”界面。先选中“IP安全策略在本地计算机”节点,再右键单击该节点选择“创建IP安全策略”菜单项,如下图所示。 图31 创建IP安全策略
(5) 在“IP 安全策略向导”窗口中单击<下一步>按钮出现“IP安全策略名称”输入窗口,如下图所示,输入名称,如“IPSEC-XP-TO-ROUTER”。 图32 IP安全策略名称
(6) 单击<下一步>按钮,进入“IP安全策略向导”的“安全通讯请求”窗口,去掉“激活默认响应规则”勾选框,如下图所示。 图33 安全通讯请求
(7) 单击<下一步>按钮,确保“编辑属性”勾选。如下图所示。 图34 完成IP安全策略向导
(8) 单击<完成>按钮,打开“IPSEC-XP-TO-ROUTER”属性编辑窗口,如下图所示。
图35 IPSEC-XP-TO-ROUTER属性编辑
(9) 在“IPSEC-XP-TO-ROUTER”属性编辑窗口,去掉“使用添加向导”勾选框。再单击<添加>按钮,弹出“新规则 属性”窗口,如下图所示。 图36 新规则 属性
(10) 在“IP筛选器列表”页签中,单击<添加>按钮。打开“IP 筛选器列表”窗口。输入名称:“TO LAN”,去掉“使用添加向导”勾选框,如下图所示。 图37 IP 筛选器列表
(11) 单击<添加>按钮,在弹出的“筛选器 属性”窗口中,源地址选择“我的IP地址”,目标地址选择“一个特定的 IP 子网”,并且输入子网的IP地址和掩码,如下图所示。注意,确保“镜像”已勾选。 图38 寻址
(12) 两次单击<确定>按钮将回到“新规则 属性”窗口。在“IP 筛选器列表”页签,单击“TO LAN”,如下图所示。 图39 新规则属性
(13) 单击“筛选器操作”页签,选择“需要安全”单选框,如下图所示。 图40 筛选器操作
(14) 单击<编辑>按钮,在弹出的“需要安全 属性”窗口中保留默认配置,即结果如下图所示。注意确保不要勾选“会话密钥完全向前保密”这一选项,除非在上述Router“设置安全策略”配置步骤中将PFS设置为DH 1024。 图41 安全措施
(15) 单击<确定>按钮回到“新规则 属性”窗口。单击“身份验证方法”页签。单击<添加>按钮,在弹出窗口中选择“使用此字符串(预共享密钥)”,输入密码:123456(对应Router设置IKE对等体中的预共享密钥),如下图所示。 图42 设置身份验证方法
(16) 单击<确定>按钮回到“新规则属性”窗口,删除“身份验证方法”页中的“Kerberos”验证方法,如下图所示。 图43 身份验证方法
(17) 单击“隧道设置”页签,输入隧道对端的IP,即Router的WAN口IP:172.16.0.4,如下图所示。 图44 隧道设置
(18) 最后选择“连接类型”页签,不需要作更改,确保结果如下图所示。 图45 连接类型
(19) 至此,完成TO LAN的配置。单击<应用>按钮,再单击<确定>按钮。回到“IPSEC-XP-TO-ROUTER”属性窗口。此时结果如下图所示,已经有一个筛选器为“TO LAN”并且处于勾选状态。筛选器操作是“需要安全”,身份验证方法是预共享,隧道设置为“172.16.0.4”,连接类型为“全部”。 图46 查看属性规则
(20) 在这个“IPSEC-XP-TO-ROUTER”属性窗口,再次单击<添加>按扭。出现“新规则 属性”窗口,单击<添加>按钮,输入新筛选器名字“FROM LAN”(请参考“TO LAN”配置步骤配置)。“FROM LAN”筛选器属性编辑如下图所示,源地址为一个特定子网,目的地址则为我的IP地址。 图47 寻址
(21) 单击<确定>按钮回到“新规则属性”窗口,确保此时选中“FROM LAN”,如下图所示。 图48 IP筛选器列表
(22) 在上述“新规则属性”窗口中,切换到“筛选器操作”页签,同样选“需要安全”。 图49 筛选器操作
(23) 单击<编辑>按钮,确保结果如下图所示。 图50 安全措施
(24) 切换到“身份验证”页签,配置如前述一致。即采用“预共享密钥”方式,输入密码,结果如下图所示。 图51 身份验证方法
(25) 切换到“隧道设置”页签,终点设置为XPWIN的IP:172.16.0.100。确保编辑后结果如下图所示。 图52 隧道设置
(26) 连接类型同样为“所有网络连接“,单击<应用>按钮,单击<确定>按钮。 (27) 回到“控制台1”,右键单击“IPSEC-XP-TO-ROUTER”,在弹出菜单中选择“指派”,如下图所示。 图53 指派策略
(28) 确保“策略已指派”栏的状态为“是”,最后结果如下图所示。
图54 查看策略指派
(29) 完成所有操作。单击“文件”菜单,另存“控制台1”到桌面为“ipsec”,以后可以双击查看属性。
4.1.4 测试
在WINXP PC上PING一下Router的LAN IP 192.168.0.1或局域网中任一台机器,前面4个报文协商通过之后,隧道建立,PING成功,表明配置成功。 图55 测试连接
5 常见问题解答(FAQ)
5.1 VPN隧道数据不通,如何处理
(1) 单击系统状态→系统诊断→诊断工具,从指定WAN接口ping隧道对端网关IP,确保出接口正常,路由可达。需要注意的是,对端是否已关闭防ping功能。
(2) 检查一下是否存在功能限制数据流,比如:是否存在IP/MAC绑定、接入控制、防火墙、QoS等规则阻止。
(3) 如果设备使用的是双WAN手动均衡模式,请参见双WAN手动均衡时的路由问题。
(4) 检查是否为隧道对端子网配置了静态路由,路由配置和安全策略上的子网配置是否与需要保护的数据流有逻辑性矛盾。
(5) 如果是手工方式设置安全策略,请仔细检查安全策略配置。算法密钥和SPI在两端应该互相对称,数据完全一致;如果是IKE方式设置安全策略,请查看是否存在与安全策略名称对应的安全联盟SA。如果存在相关SA,请查看双方SA是否对应一致,若不一致,建议关闭此隧道重新协商。
(6) 当IPSec出现状态混乱时,通过IPSec全局开关禁用然后重新启用IPSec功能。
5.2 若VPN组网中存在NAT设备,双方如何配置
IKE IPSec隧道两端之间如果有NAT网关设备存在,NAT对IP的修改会影响到与两端IP有关的IPSec配置。由于协议限制,目前需要支持这种NAT穿越的IPSec组网,双方应使用IKE野蛮模式name类型的ID,并且只能使用ESP安全协议,不能使用AH安全协议。
当NAT网关设备WAN侧网络路由器配置IKE对等体地址时,应配置对端地址为NAT设备WAN接口的IP地址;LAN侧路由器的配置与普通组网方式一样。另外,配置IKE SA周期和IPSec SA周期时,需要让LAN侧路由器的两个SA周期都小于WAN侧的路由器SA周期(推荐:LAN侧路由器SA周期为WAN侧路由器SA周期的一半,否则运行更新时可能会出现问题)。
5.3 双WAN手动均衡时的路由问题
在SMB Router使用双WAN手工均衡配置时,如果IPSec接口绑定在非默认链路接口,则需要为VPN对端网关地址添加静态路由或者均衡路由。
例如:如下配置中,双WAN手动均衡的默认链路是WAN1,而IPSec的虚接口ipsec2绑定到WAN2,则需要在静态路由中为VPN对端添加指向WAN2接口的静态路由,或者在均衡路由表中添加路由。
5.4 策略路由的问题
策略路由的设计是为了满足对从LAN向WAN方向报文的精确匹配转发,对设备自身接口的报文不处理。因此,如果在隧道对端需要访问SMB Router的LAN接口IP,必须配置相关的静态路由。
另外,策略路由不能处理不同IPSec虚接口之间的报文转发,在Hub & Spoke类型VPN组网中各个Spoke之间的VPN通信是通过Hub上不同虚接口之间转发完成的,这种情况只能配置静态路由处理。所以在为IPSec VPN隧道配置路由时,应首先配置静态路由,需要进一步精确控制时再补充配置策略路由。
5.5 碰到问题时的处理方法
?
多次检查配置是否正确 重启ER路由器
?
?
重启WINXP电脑再试试