Panabit IPsec对接各厂商设备实例案例
IPsec 简介IPsec( IP Security)是IETF制定的一系列协议 ,为Internet上传输的数据提供了高质 量的、可互操作的、基于密码学的安全保护。特定的通信方之间在 IP 层通过加密与数据源 认证等方式, 来保证数据包在网络上传输的机密性(Confidentiality) 、 完整性( DataIntegrity)、真实性(Data Authentication)和防重放(Anti-Replay)。
IPsec协议由 AH( Authentication Header ,认证头)协议、ESP( Encapsulating Security Payload ,封装安全载荷)协议、IKE( Internet Key Exchange ,因特网密钥交换)协议和认证 与加密算法等组成。其中 ,AH协议与 ESP协议用于提供安全服务 ,IKE协议用于密钥交换。
Panabit IPsec VPN 模块简介
Panabit IPsec VPN模块实现了IKEv1、IKEv2、ESP等协议 ,其中 IKEv1协议支持主
模式(Main Mode)与野蛮模式(Aggressive Mode)。支持的认证与加密算法如下。
加密算法(Encryption Algorithms ,ENCR):
. 3DES
. AES- 128-CBC
. AES- 192-CBC
. AES-256-CBC
. SM4(国密 SM4 分组密码算法)
哈希函数(Pseudo-random Functions ,PRF):
. MD5
. SHA1
. SHA2-256
. SHA2-384
. SHA2-512
. SM3(国密 SM3 密码杂凑算法)
认证算法(Integrity Algorithms ,INTEG/AUTH):
. MD5-96
. SHA1-96
. SHA2-256- 128
. SHA2-384- 192
. SHA2-512-256
DH组(Diffie-Hellman Group ,DH):
. Group1(MODP-768)
. Group2(MODP- 1024)
. Group3(EC2N- 155)
. Group4(EC2N- 185)
. Group5(MODP- 1536)
. Group14(MODP-2048)
. Group15(MODP-3072)
. Group16(MODP-4096)
. Group17(MODP-6144)
. Group18(MODP-8192)
. Group19(ECP-256)
. Group20(ECP-384)
. Group21(ECP-521)
. Group22(MODP- 1024- 160)
. Group23(MODP-2048-224)
. Group24(MODP-2048-256)
. Group25(ECP- 192)
. Group26(ECP-224)
IPsec VPN 的应用场景
IPsec VPN 一 般 用 于 局 域 网 互 连 (即 Security Gateway to Security Gateway in Tunnel Mode) ,如企业总部与分支机构之间的办公网互连。 当 IPsec隧道建立后 ,两地办公网内的计算机可以相互访问 ,安全地共享内网资源等。
Panabit IPsec VPN 的配置
PanabitVPN模 块 支 持 作 为 发 起 方 ( Initiator , 或 称 为 客 户 端 ) 和 应 答 方(Responder ,或称为服务端) ,并仅支持使用共享密钥(Pre-Shared Key)作为认证方式。
在 上网行为管理中 ,IPsec VPN模块将作为“WAN线路” ,并结合“策略路由” ,为符合IPsec
安全策略的数据包提供加解密服务。配置界面如下图:
其中 ,“线路网卡”表示要在哪条 “WAN 线路”上建立IPsec隧道。“ 本端ID”与“对端”ID”作为IKE协商时进行身份认证的标识 ,其格式支持字符串(如panabit) 、IP地址
(如1.2.3.4)、FQDN(如 panabit.com) 、User FQDN(如 ipsec@panabit.com)等。“DPD
检测频率”表示对“对端网关 IP”进行心跳检测的频率 ,当连续5次心跳检测失败时 ,表示到“对端网关 IP”的连接已经丢失 ,会从新发起IKE协商。
需要注意的是 ,当使用 IKEv1协议时 ,若本端与对端之间存在 NAT设备 ,则推荐使 用“野蛮模式” 。当使用“主模式”且需要设置“本端 ID”或“对端 ID”时 ,“本端ID”或“对端
ID”应设置为本端或对端的 IP 地址。
实操配置
实操目的实现两端设备下的局域网地址互通
拓扑如下:
1)上网行为管理设备1创建承载IPSec线路,IP地址为:172.16.11.1
2)上网行为管理设备设备2创建承载IPSec线路,IP地址为:172.16.11.2
3)上网行为管理设备设备1创建IPSec服务端
4)上网行为管理设备设备2创建IPSec客户端
5)配置两端局域网地址互通,服务端IP地址为172.16.0.0/24,客户端为192.168.212.0/24
策略路由互通设置截图:
服务端策略路由配置
客户端策略路由配置
手机经过IPSCE隧道连通测试,互通正常。
互通ping测手机截图:
与其他厂商的设备建立 IPsec VPN连接
Panabit IPsec VPN 模块目前仅支持标准的 IKEv1 和 IKEv2 协议,不支持某些厂商的扩展协议(如 Cisco Fragmentation)。因此,在和其他厂商的设备建立 IPsec VPN 连接时,应尽量只配置基础的配置项。
经过测试,Panabit IPsec VPN 模块可以和MikroTik(RouterOS)、天融信、深信服、启明星辰(网御星云)、H3C、Juniper、Netscreen、Fortinet等厂商的设备建立 IPsec VPN 连接。以下测试用例均使用如下网络拓扑,相关 IP 地址可能不一致,请自行带入理解:
MikroTik RouterOS
RouterOS 中的配置如下:
Panabit 中的配置如下:
1. 新建一条“线路类型”为“IPsec” 的 WAN 线路,按照拓扑图填入相关配置,并注意与 RouterOS 中的配置保持一致,否则可能导致 IKE 协商失败。如下图:
2. 在“策略路由”中添加一条策略,将来自 Panabit LAN 侧子网(即上图中的“本端子网范围”)并去往 RouterOS LAN 侧子网(即上图中的“对端子网范围”)的数据包路由到对应的 IPsec 线路。如下图:
3. 在“策略路由”中添加另一条策略,将来自 RouterOS LAN 侧子网并去往 Panabit LAN 侧子网的数据包路由到对应的 LAN 接口。注意,策略中的“源接口”必须为对应的 IPsec 线路。如下图:
4. 设置好后,可以看到 IPsec 线路的状态为“已连接”,RouterOS 中也能看到隧道的状态为“established”,说明 IPsec 隧道已经建立成功。否则,请检查相关配置。如下图:
5. 在 Panabit LAN 侧客户端(即拓扑图中的客户端B)上使用 ping 测试到 RouterOS LAN 侧客户端(即拓扑图中的客户端A)的连通性,如下图:
说明 Panabit 和 RouterOS 的 LAN 侧子网可以互通。否则,请检查相关配置。
6. 在上一步中进行 ping 测试的同时,抓取 Panabit 与 RouterOS 相连的链路上的数据包,验证 ICMP 包是否被加密。如下图:
说明 Panabit 和 RouterOS 的 LAN 侧子网之间的通信经过了 IPsec 加密保护。
7. 在 Panabit LAN 侧客户端上使用 iperf3 测试到 RouterOS LAN 侧客户端(即 Panabit 的上行方向)的吞吐率,如下图:
在 RouterOS LAN 侧客户端上使用 iperf3 测试到 Panabit LAN 侧客户端(即 Panabit 的下行方向)的吞吐率,如下图:
天融信
天融信中的配置如下:
注意,当使用“主模式”时,不需要设置“本地标识”与“对方标识”。
Panabit 中的配置如下:
Panabit配置请参照前面的配置或配置指导手册。
深信服
深信服中的配置如下:
Panabit配置请参照前面的配置或配置指导手册。
启明星辰
启明星辰中的配置如下:
Panabit配置请参照前面的配置或配置指导手册。
H3C
H3C中的IPsec有两种角色,“对等/分支节点”和“中心节点”。其中“对等/分支节点”多用作发起方(Initiator,或称为客户端),也可作为应答方(Responder,或称为服务端),“中心节点”用作应答方(Responder,或称为服务端)。
对等/分支节点
H3C作为“对等/分支节点”时的配置如下:
1. 在“网络 -> VPN -> IPsec -> IKE提议”中新建IKE提议:
2. 在“网络 -> VPN -> IPsec -> 策略”中新建IPsec策略:
Panabit配置请参照前面的配置或配置指导手册。
需要注意的是,H3C在IPsec认证阶段只支持格式为192.168.1.0/255.255.255.0的“保护的数据流”,所以在Panabit“本端子网范围”和“对端子网范围”中填写的格式必须是192.168.1.0/255.255.255.0或192.168.1.0/24。
中心节点
H3C作为“中心节点”时页面配置比较繁琐,推荐使用命令行配置。参考文档:IPsec多分支经由总部互通 - 知了社区 (h3c.com)
1. 进入配置模式:
<H3C>system-view
2. 新建预共享密钥:
ike keychain panabit
pre-shared-key hostname panabit key simple test
quit
3. 新建IKE配置:
ike profile panabit
keychain panabit
exchange-mode aggressive
local-identity fqdn h3c
match remote identity fqdn panabit
quit
4. 新建IPsec配置:
ipsec transform-set panabit
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
quit
5. 新建ACL策略,即”保护的数据流“:
acl number 3000
rule 0 permit ip source 192.168.7.0 0.255.255.255 destination 192.168.5.0 0.255.255.255
quit
6. 新建IPsec策略模板,并引用ACL策略与IKE配置:
ipsec policy-template panabit 1
transform-set panabit
security acl 3000
ike-profile panabit
quit
7. 使用模板新建IPsec策略:
ipsec policy panabit 1 isakmp template panabit
8. 将IPsec策略应用到WAN接口:
interface GigabitEthernet 1/0/1
ipsec apply policy panabit
quit
quit
Panabit配置请参照前面的配置或配置指导手册。
页:
[1]