2873| 38
|
H3C IPsec+NAT穿越配置举例 H3C认证技术之安全技术文档 |
H3C IPsec+NAT穿越配置举例 H3C认证技术之安全技术文档 文档节选:IPsec NAT穿越配置举例 关键词:IPsec、NAT、野蛮模式 摘 要:本文简单描述了IPsec穿越NAT网关的特点,详细描述了在SecPath防火墙系列防火墙上配置IPsec野蛮模式下穿越NAT的基本配置方法和详细步骤,给出了一种IPsec穿越NAT的基本配置案例。 目 录 1 特性介绍..................................................................................................................................1 2 特性的优点...............................................................................................................................1 3 使用指南..................................................................................................................................1 3.1 使用场合...................................................................................................................................1 3.2 配置步骤...................................................................................................................................2 3.3 注意事项...................................................................................................................................4 3.4 举例..........................................................................................................................................4 3.4.1 组网需求........................................................................................................................4 3.4.2 组网图............................................................................................................................4 3.4.3 配置...............................................................................................................................4 3.4.4 验证结果........................................................................................................................8 3.4.5 故障排除......................................................................................................................10 4 关键命令................................................................................................................................11 4.1 ipsec policy(系统视图).......................................................................................................11 4.2 ipsec proposal........................................................................................................................12 4.3 ike peer..................................................................................................................................13 5 相关资料................................................................................................................................14 5.1 相关协议和标准.......................................................................................................................14 5.2 其它相关资料..........................................................................................................................14 1 特性介绍 IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPsec作为一种重要的安全技术得到越来越广泛的应用,但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前,NAT和IPsec之间存在的不兼容性问题主要可以分为以下三类: 􀁺 IP地址和端口不匹配的问题 􀁺 IPsec不能验证NAT报文的问题 􀁺 NAT超时影响IPsec的问题 针对此问题,我司在IKE野蛮模式的基础上实现NAT穿越,很好地解决了此问题。 为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的,用户端设备的IP地址为动态获取的情况,在IKE阶段的协商模式中增加了IKE野蛮模式,它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字,并最终完成协商。IKE野蛮模式相对于主模式来说更加灵活,能够支持协商发起端为动态IP地址的情况。 在IPsec/IKE组建的VPN隧道中,若存在NAT网关设备,且NAT网关设备对VPN业务数据流进行了NAT转换的话,则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之后的IPsec数据传输中使用UDP封装(即将IPsec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPsec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPsec报文将不作修改),从而保证了IPsec报文的完整性(IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。目前仅在IKE野蛮模式下支持NAT穿越,主模式下不支持。 2 特性的优点 该特性适合IPsec隧道中间存在NAT设备的组网情况。同时,由于使用了IKE野蛮模式,同样也适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。 3 使用指南 3.1 使用场合 1) IPsec隧道中间存在NAT设备的组网情况 2) 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。
购买主题
本主题需向作者支付 4 金币 才能浏览
| |
发表于 2014-3-17 17:55:25
|
显示全部楼层
| ||
发表于 2014-3-28 10:44:34
|
显示全部楼层
| ||
发表于 2014-4-15 06:35:24
|
显示全部楼层
| ||
发表于 2014-12-20 18:35:24
|
显示全部楼层
| ||
发表于 2014-12-22 08:23:34
|
显示全部楼层
| ||
发表于 2015-2-11 15:27:38
|
显示全部楼层
| ||
发表于 2015-2-12 08:24:41
|
显示全部楼层
| ||
发表于 2017-3-4 14:47:09
|
显示全部楼层
| ||
发表于 2017-3-4 15:18:23
|
显示全部楼层
| ||