ADSL與IPsec/IKE相結合的組網應用

來源:本站原創 網絡技術 超過1,087 views圍觀 0條評論

1. 組網需求

本例將IPsec和ADSL相結合,是目前實際中廣泛應用的典型案例。

l Router B通過ADSL卡直接連接公網的DSLAM接入端,作為PPPoE的client端。RouterB從ISP動態獲得的IP地址為私網地址,故Router A、Router B都需要配置NAT穿越。

l 總公司局域網通過Router A接入到ATM網絡。

l 為了保證信息安全采用IPsec/IKE方式創建安全隧道。

2. 組網圖

圖2-5 ADSL與IPsec/IKE相結合的組網應用

clip_image002

3. 配置步驟

(1) 配置Router A

# 配置本端安全網關設備名稱。

<RouterA> system-view

[RouterA] ike local-name routera

# 配置ACL。

[RouterA] acl number 3101

[RouterA-acl-adv-3101] rule 0 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

[RouterA-acl-adv-3101] quit

# 配置IKE安全提議。

[RouterA] ike proposal 1

[RouterA-ike-proposal-1] authentication-algorithm sha

[RouterA-ike-proposal-1] authentication-method pre-share

[RouterA-ike-proposal-1] encryption-algorithm 3des-cbc

[RouterA-ike-proposal-1] dh group2

# 配置IKE對等體peer。

[RouterA] ike peer peer

[RouterA-ike-peer-peer] exchange-mode aggressive

[RouterA-ike-peer-peer] pre-shared-key abc

[RouterA-ike-peer-peer] id-type name

[RouterA-ike-peer-peer] remote-name routerb

[RouterA-ike-peer-peer] nat traversal

[RouterA-ike-peer-peer] quit

# 創建IPsec安全提議prop。

[RouterA] ipsec proposal prop

[RouterA-ipsec-proposal-prop] encapsulation-mode tunnel

[RouterA-ipsec-proposal-prop] transform esp

[RouterA-ipsec-proposal-prop] esp encryption-algorithm 3des

[RouterA-ipsec-proposal-prop] esp authentication-algorithm sha1

[RouterA-ipsec-proposal-prop] quit

# 創建安全策略policy并指定通過IKE協商建立SA。

[RouterA] ipsec policy policy 10 isakmp

# 配置安全策略policy引用IKE對等體peer。

[RouterA-ipsec-policy-isakmp-policy-10] ike-peer peer

# 配置安全策略policy引用訪問控制列表3101。

[RouterA-ipsec-policy-isakmp-policy-10] security acl 3101

# 配置安全策略policy引用IPsec安全提議prop。

[RouterA-ipsec-policy-isakmp-policy-10] proposal prop

[RouterA-ipsec-policy-isakmp-policy-10] quit

# 配置IP地址。

[RouterA] interface serial 2/0/1

[RouterA-Serial2/0/1] ip address 100.1.1.1 255.255.255.0

[RouterA-Serial2/0/1] ipsec policy policy

[RouterA-Serial2/0/1] quit

# 配置以太網口。

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ip address 172.16.0.1 255.255.255.0

[RouterA-GigabitEthernet1/0/1] quit

# 配置到分公司局域網的靜態路由。

[RouterA] ip route-static 192.168.0.0 255.255.255.0 serial 2/0/1

(2) 配置Router B

# 配置本端安全網關的名稱。

<RouterB> system-view

[RouterB] ike local-name routerb

# 配置ACL。

[RouterB] acl number 3101

[RouterB-acl-adv-3101] rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

[RouterB-acl-adv-3101] quit

# 配置IKE安全提議。

[RouterB] ike proposal 1

[RouterB-ike-proposal-1] authentication-algorithm sha

[RouterB-ike-proposal-1] authentication-method pre-share

[RouterB-ike-proposal-1] encryption-algorithm 3des-cbc

[RouterB-ike-proposal-1] dh group2

# 配置IKE對等體peer。

[RouterB] ike peer peer

[RouterB-ike-peer-peer] exchange-mode aggressive

[RouterB-ike-peer-peer] pre-shared-key abc

[RouterB-ike-peer-peer] id-type name

[RouterB-ike-peer-peer] remote-name routera

[RouterB-ike-peer-peer] remote-address 100.1.1.1

[RouterB-ike-peer-peer] nat traversal

[RouterB-ike-peer-peer] quit

# 創建IPsec安全提議prop。

[RouterB] ipsec proposal prop

[RouterB-ipsec-proposal-prop] encapsulation-mode tunnel

[RouterB-ipsec-proposal-prop] transform esp

[RouterB-ipsec-proposal-prop] esp encryption-algorithm 3des

[RouterB-ipsec-proposal-prop] esp authentication-algorithm sha1

[RouterB-ipsec-proposal-prop] quit

# 創建安全策略policy并指定通過IKE協商建立SA。

[RouterB] ipsec policy policy 10 isakmp

# 配置安全策略policy引用IKE對等體peer。

[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

# 配置安全策略policy引用訪問控制列表3101。

[RouterB-ipsec-policy-isakmp-policy-10] security acl 3101

# 配置安全策略policy引用IPsec安全提議prop。

[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

[RouterB-ipsec-policy-isakmp-policy-10] quit

# 配置撥號訪問控制列表。

[RouterB] dialer-rule 1 ip permit

# 創建Dialer0,使用由ISP分配的用戶名和密碼進行撥號和PPP認證的相關配置,并配置MTU。

[RouterB] interface dialer 0

[RouterB-Dialer0] link-protocol ppp

[RouterB-Dialer0] ppp pap local-user test password simple 123456

[RouterB-Dialer0] ip address ppp-negotiate

[RouterB-Dialer0] dialer user 1

[RouterB-Dialer0] dialer-group 1

[RouterB-Dialer0] dialer bundle 1

[RouterB-Dialer0] ipsec policy policy

[RouterB-Dialer0] mtu 1492

[RouterB-Dialer0] quit

# 配置到總公司局域網的靜態路由。

[RouterB] ip route-static 172.16.0.0 255.255.255.0 dialer 0

# 配置以太網口。

[RouterB] interface gigabitethernet 1/0/1

[RouterB-GigabitEthernet1/0/1] tcp mss 1450

[RouterB-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0

[RouterB-GigabitEthernet1/0/1] quit

# 對ADSL卡的ATM口進行配置。

[RouterB] interface atm 1/0/1

[RouterB-Atm1/01/] pvc 0/100

[RouterB-atm-pvc-Atm1/0/1-0/100] map bridge virtual-ethernet 0

[RouterB-atm-pvc-Atm1/0/1-0/100] quit

# 配置VE口。

[RouterB] interface virtual-ethernet 0

[RouterB-Virtual-Ethernet0] pppoe-client dial-bundle-number 1

[RouterB-Virtual-Ethernet0] mac-address 0011-0022-0012

2.12  常見錯誤配置舉例

配置參數建立IPsec安全隧道時,可以打開IKE的Error調試開關,幫助我們查找配置問題。其命令是:

<Router> debugging ike error

2.12.1  非法用戶身份信息

1. 故障現象

非法用戶身份信息

2. 故障分析

用戶身份信息是發起IPsec通信的用戶用來標識自己的數據。在實際應用中我們可以通過用戶身份標識實現對不同的數據流建立不同的安全隧道進行保護。目前我們是通過用戶的IP地址和名字來標識用戶。

可以看到調試信息:

got NOTIFY of type INVALID_ID_INFORMATION

或者

drop message from A.B.C.D due to notification type INVALID_ID_INFORMATION

3. 處理過程

檢查協商兩端接口上配置的安全策略中的ACL內容是否相容。建議用戶將兩端的ACL配置成互為鏡像的。ACL鏡像的含義請參考IPsec配置中“配置訪問控制列表”內容。

2.12.2  提議不匹配

1. 故障現象

提議不匹配

2. 故障分析

可以看到調試信息:

got NOTIFY of type NO_PROPOSAL_CHOSEN

或者:

drop message from A.B.C.D due to notification type NO_PROPOSAL_CHOSEN

協商雙方沒有可以匹配的提議。

3. 處理過程

對于階段1,檢查IKE proposal是否有與對方匹配的。對于階段2協商,檢查雙方接口上應用的IPsec安全策略的參數是否匹配,引用的IPsec安全提議的協議、加密算法和認證算法是否有匹配的。

2.12.3  無法建立安全隧道

1. 故障現象

無法建立安全隧道

2. 故障分析

實際應用中有時會發現在不穩定的網絡狀態下,安全隧道無法建立或者存在安全隧道卻無法通信,而且檢查雙方的ACL的配置正確,也有匹配的提議。

這種情況一般是安全隧道建立好以后,有一方的設備重啟造成的。

3. 處理過程

l 使用display ike sa命令檢查雙方是否都已建立階段1的SA。

l 使用display ipsec sa policy命令查看接口上的安全策略是否已建立了IPsec SA。

l 根據以上兩步的結果查看,如果有一方存在的SA在另一方不存在的情況,使用reset ike sa命令清除錯誤存在的SA,重新發起協商。

2.12.4  ACL配置錯誤

1. 故障現象

ACL配置錯誤,導致協商成功之后數據流不通

2. 故障分析

多臺設備之間先后建立不同的安全隧道,出現同一設備有不同對端的情況。若此設備不配置ACL規則,則分別由對端發起報文來與之建立保護粒度不同的安全隧道。由于安全隧道的優先級由它們創建的順序決定,當這一設備的出方向報文首先匹配到較粗粒度的安全隧道時,將導致此設備無法與其它較細粒度對端互通。

3. 處理過程

為避免這種情況發生,當同一設備有不同對端時,建議用戶在此設備上配置ACL來區別數據流,且與不同對端盡量避免配置有重復范圍的ACL子規則。若需要有重復范圍的子規則,應該將細粒度的子規則配置為較高的優先級。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3099轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏