查看: 2133|回复: 22

H3C IPsec+NAT穿越配置举例 H3C认证技术之安全技术文档

  [复制链接]

1041

主题

1186

帖子

1万

积分

分区版主

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

贡献
32
技术
21
活跃
5
在线时间
39 小时
擅长技术
思科华为
发表于 2014-2-12 15:50:11 | 显示全部楼层 |阅读模式


H3C IPsec+NAT穿越配置举例  H3C认证技术之安全技术文档


文档节选:IPsec NAT穿越配置举例
关键词:IPsec、NAT、野蛮模式
摘 要:本文简单描述了IPsec穿越NAT网关的特点,详细描述了在SecPath防火墙系列防火墙上配置IPsec野蛮模式下穿越NAT的基本配置方法和详细步骤,给出了一种IPsec穿越NAT的基本配置案例。
目 录
1 特性介绍..................................................................................................................................1
2 特性的优点...............................................................................................................................1
3 使用指南..................................................................................................................................1
3.1 使用场合...................................................................................................................................1
3.2 配置步骤...................................................................................................................................2
3.3 注意事项...................................................................................................................................4
3.4 举例..........................................................................................................................................4
3.4.1 组网需求........................................................................................................................4
3.4.2 组网图............................................................................................................................4
3.4.3 配置...............................................................................................................................4
3.4.4 验证结果........................................................................................................................8
3.4.5 故障排除......................................................................................................................10
4 关键命令................................................................................................................................11
4.1 ipsec policy(系统视图).......................................................................................................11
4.2 ipsec proposal........................................................................................................................12
4.3 ike peer..................................................................................................................................13
5 相关资料................................................................................................................................14
5.1 相关协议和标准.......................................................................................................................14
5.2 其它相关资料..........................................................................................................................14
1 特性介绍
IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
IPsec作为一种重要的安全技术得到越来越广泛的应用,但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前,NAT和IPsec之间存在的不兼容性问题主要可以分为以下三类:
􀁺 IP地址和端口不匹配的问题
􀁺 IPsec不能验证NAT报文的问题
􀁺 NAT超时影响IPsec的问题
针对此问题,我司在IKE野蛮模式的基础上实现NAT穿越,很好地解决了此问题。
为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的,用户端设备的IP地址为动态获取的情况,在IKE阶段的协商模式中增加了IKE野蛮模式,它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字,并最终完成协商。IKE野蛮模式相对于主模式来说更加灵活,能够支持协商发起端为动态IP地址的情况。
在IPsec/IKE组建的VPN隧道中,若存在NAT网关设备,且NAT网关设备对VPN业务数据流进行了NAT转换的话,则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之后的IPsec数据传输中使用UDP封装(即将IPsec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPsec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPsec报文将不作修改),从而保证了IPsec报文的完整性(IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。目前仅在IKE野蛮模式下支持NAT穿越,主模式下不支持。
2 特性的优点
该特性适合IPsec隧道中间存在NAT设备的组网情况。同时,由于使用了IKE野蛮模式,同样也适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。
3 使用指南
3.1 使用场合
1) IPsec隧道中间存在NAT设备的组网情况
2) 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。


购买主题 本主题需向作者支付 4 金币 才能浏览

0

主题

397

帖子

5586

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
0
活跃
-3
在线时间
0 小时
发表于 2014-3-17 17:55:25 | 显示全部楼层
谁知盘中餐,发帖真辛苦!

0

主题

569

帖子

5303

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
0
活跃
-1
在线时间
0 小时
发表于 2014-3-28 10:44:34 | 显示全部楼层
虚拟化,据库,程学习就在www.santongit.com!

0

主题

291

帖子

856

积分

Gib

Rank: 5Rank: 5

贡献
0
技术
0
活跃
0
在线时间
0 小时
发表于 2014-4-15 06:35:24 | 显示全部楼层
这个消息太震惊了!

2

主题

313

帖子

1670

积分

Gib

Rank: 5Rank: 5

贡献
0
技术
0
活跃
366
在线时间
14 小时
发表于 2014-12-20 18:35:24 | 显示全部楼层
谢谢分享,谢谢啊  

3

主题

2306

帖子

1万

积分

Cib

Rank: 13Rank: 13Rank: 13Rank: 13

贡献
0
技术
0
活跃
787
在线时间
61 小时
发表于 2014-12-22 08:23:34 | 显示全部楼层
坚持学习,成就技术技术之王!

0

主题

34

帖子

175

积分

Kib

Rank: 3Rank: 3

贡献
0
技术
0
活跃
35
在线时间
1 小时
发表于 2015-2-11 15:27:38 | 显示全部楼层
哈哈 我来了

3

主题

540

帖子

2855

积分

Pib

Rank: 8Rank: 8

贡献
0
技术
0
活跃
695
在线时间
24 小时
发表于 2015-2-12 08:24:41 | 显示全部楼层
微软,Linux,操作系统技术尽在www.santongit.com

0

主题

159

帖子

1058

积分

论坛贵宾VIP-永久权限

Rank: 8Rank: 8

贡献
0
技术
0
活跃
193
在线时间
11 小时
发表于 2017-3-4 14:47:09 | 显示全部楼层
谢谢你的分享

2

主题

1797

帖子

1万

积分

论坛贵宾VIP-永久权限

Rank: 8Rank: 8

贡献
0
技术
0
活跃
2135
在线时间
332 小时
发表于 2017-3-4 15:18:23 | 显示全部楼层
好东西, 谢谢楼主分享!
使用 高级模式(可批量传图、插入视频等)
您需要登录后才可以回帖 登录 | 立即注册

快速回复 返回顶部 返回列表