h3c secblade防火墙插卡典型配置案例集6w101整本手册攻城狮论坛bbs vlan5com

1、攻城狮论坛 #_#.归原作者所有 本资料试读H3C Secblade插卡典型配置案例集杭州通信技术资料版本：6W101-20101020攻城狮论坛(技术+生活)群 2258097，保留一切权利。本书内容的部分或全部，并不得以任何Copyright © 2010 杭州通信技术及其者本公司形式传播。，任何和个人不得擅自摘抄、H3Care、H3C、Aolynk、TOP G、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngicPath、Comware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N

2、-Bus、TiGem、InnoVision、HUASAN、为杭州通信技术利人拥有。的商标。对于本手册中出现的其它公司的商标、标识及商品名称，由各自权由于版本升级或其他，本手册内容有可能变更。H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，H3C 尽全力在本手册中提供准确的信息，但是 H3C 并不确保手册内容完全没有错误，本手册中的所有陈述、明示或暗示的担保。和建议也不任何技术支持用户支持邮箱：customer_service技术支持：（固话拨打）（、固话均可拨打）：攻城狮论坛 #_#.归原作者所有 本资料试读相关资料及其获取方式相关资料资料获取方式

3、您可以通过 H3C（）获取最新的资料：如下：H3Cl 与资料相关的主要栏目技术：可以获取和技术的文档。l 服务支持/文档中心：可以获取安装类、配置类资料。l 服务支持/：可以获取与版本配套的资料。资料意见反馈如果您在使用过程中发现：info资料的任何问题，可以通过以下方式反馈：感谢您的反馈，让我们做得更好！攻城狮论坛(技术+生活)群 2258097手册名称用途H3C SecPath 系列安全用户手册该手册了 H3C SecPath 系列的功能特性、工作原理， 及Web 配置、命令行配置操作指导、操作举例。H3C SecBlade 插卡升级手册主要了 H3C SecBlade II插卡的启动配置

4、升级维护。H3C SecBlade II插卡 用户手册该手册了 SecBlade II插卡的功能特性、工作原理， 及Web 特性、SecBlade 预配置操作指导、操作举例。H3C SecPath 高端用户手册(F3166_E5114) 该手册了 H3C SecPath 高端的功能特性、工作原理， 及Web 配置、命令行配置操作指导、操作举例。攻城狮论坛 #_#.归原作者所有 本资料试读前 言本书简介本配置案例集包含了以：SecBlade SecBlade SecBlade SecBlade SecBlade SecBlade SecBlade SecBlade SecBlade SecBla

5、de SecBladeSecBlade插卡配置管理典型配置举例；z插卡 ARP 防典型配置举例；z插卡 IPSec 典型配置举例； 插卡 DHCP 典型配置举例； 插卡 NAT 典型配置举例；插卡二三层转发典型配置举例；zzzz插卡防范典型配置举例；z插卡连接数限制典型配置举例；插卡日志管理及与 SecCenter 配合典型配置举例；zz插卡虚拟插卡虚拟典型配置举例；z、及域间策略典型配置举例；z插卡双机热备典型配置举例；z本书约定1.命令行格式约定2.图形界面格式约定攻城狮论坛(技术+生活)群 2258097格 式意 义< >带尖括号“< >”表示按钮名，如“单击&l

6、t;确定>按钮”。 带方括号“ ”表示窗口名、菜单名和数据表，如“弹出新建用户窗口”。/多级菜单用“/”隔开。如文件/新建/文件夹多级菜单表示文件菜单下的新建 子菜单下的文件夹菜单项。格 式意 义粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。 表示用“ ”括起来的部分在命令配置时是可选的。 x | y | . 表示从两个或多个选选取一个。 x | y | . 表示从两个或多个选选取一个或者不选。 x | y | . *表示从两个或多个选选取多个，最少选取一个，最多选取所有选项。 x | y | . *表

7、示从两个或多个选选取多个或者不选。&<1-n>表示符号&前面的参数可以重复输入 1n 次。#由“#”号开始的行表示为注释行。攻城狮论坛 #_#.归原作者所有 本资料试读3.各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：攻城狮论坛(技术+生活)群 2258097提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者损坏。为确保配置或者正常工作而需要特别关注的操作或。对操作内容的描述进行必要的补充和说明。SecBlade插卡配置管理典型配置举例SecBlade插卡配置管理典型配置举例：配置管理，备份摘 要：配置管理模块主要用于

8、对 SecBlade插卡进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在web 页面方便地对的配置进行维护和管理。缩略语：第 1 页，共 7 页杭州通信技术缩略语英文全名中文解释-SecBlade插卡配置管理典型配置举例目 录1234特性简介3应用场合3注意事项3配置举例34.1 组网需求34.2 配置思路34.3 使用版本44.4 配置步骤44.4.1 基本配置44.4.2 配置管理44.5 验证结果64.5.1 配置保存64.5.2 配置备份74.5.3 配置恢复74.5.4 恢复出厂配置74.5.54.5.6升级7重启7第 2 页，共 7 页杭州通信技术SecBla

9、de插卡配置管理典型配置举例1特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。配置保存可以加密保存配置，如果将配置备份下来，打开文件查看时，看到的是密文显示。在此页面可以对当前的配置进行配置备份和备份恢复。升级和系统重启可以让用户通过web 页面对进行管理和操作。2应用场合用于的日常维护，当配置修改后，可以保存配置以免断电配置丢失。也可以将配置信息备份下来，用于日后的配置恢复。如果想清空配置时，可以恢复出厂配置。3注意事项(1)(2)升级时，尽量在流量少的时候操作，以免影响用户正常使用。备份或恢复时请将 startup.cfg 和system.xml

10、 一起备份和恢复。4配置举例4.1组网需求本配置举例中，使用的是 Secblade II卡。插卡。本典型配置举例同样适合 Secblade LB 插图1 配置管理组网图4.2配置思路GE0/1 所在的局域网（内网）接口配置地址为 192.168.252.98/22，加入 ManageMent 域，使 GE0/1成为管理口。第 3 页，共 7 页杭州通信技术SecBlade插卡配置管理典型配置举例4.3 使用版本Secblade 插卡：R3166 系列版本、F3166 系列版本4.4 配置步骤4.4.1 基本配置1. 配置接口 IP 地址H3C interface GigabitEthernet

11、0/1H3C-GigabitEthernet0/1 ip address 192.168.252.98 222. GE0/1 加入 Management 域在隐含模式下，将 GE0/1 加入到管理域：H3C hidecmdH3C-hidecmd zone add interface GigabitEthernet 0/1 to management4.4.2配置管理1. 配置保存管理 > 配置管理> 配置保存”页面，点击<确定>按钮，即可将当前的配置l 在“保存，页面提示正在保存当前配置。l 如果想将配置文件加密，可以选中“加密配置文件”前面的复选框。2. 配置备份l

12、在“管理 > 配置管理> 配置备份”页面，点击<备份>按钮。第 4 页，共 7 页杭州通信技术攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡配置管理典型配置举例l 在弹出框中选择保存的路径，输入文件名保存即可。3. 配置恢复管理 > 配置管理> 配置恢复”页面，点击<浏览>按钮，选择备份文件。l 在“l 点击<确定>按钮，配置文件导入下次启动后生效。后，页面会显示下面的提示，恢复的配置文件会在4. 恢复出厂配置l 在“管理 > 配置管理>恢复出厂配置”页面，点击<恢复出厂配置>按钮。第 5 页

13、，共 7 页杭州通信技术攻城狮论坛(技术+生活)群 2258097攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡配置管理典型配置举例5.升级在“管理 >升级”页面，点击<浏览>按钮，选择升级版本的路径，点击<确定>按钮。z6.重启管理 >重启”页面，点击<确定>按钮。在“z4.5 验证结果4.5.1 配置保存l 保存系统的当前配置后，重启，配置丢失。显示密文。l 加密保存配置文件时，导出配置文件，查看配置第 6 页，共 7 页杭州通信技术攻城狮论坛(技术+生活)群 2258097攻城狮论坛 #_#.归原作者所有 本资料试读Sec

14、Blade插卡配置管理典型配置举例4.5.2 配置备份l 可以将当前保存的配置文件备份到 PC 或其他介质中。4.5.3 配置恢复l 导入配置文件后，WEB 页面会提示配置导入。一致。重启后，配置与导入的配置文件z4.5.4 恢复出厂配置系统会自动重启，将删除当前的配置，恢复到出厂的默认配置。z4.5.5升级升级过程中会显示系统正在升级z如果选择“升级之后，直接重启”，升级后系统会自动重启。z否则需要手动重启。z4.5.6重启直接点击<确定>按钮后，会自动重启。z选择“检查当前配置是否保存到下次启动配置文件中”选项，点击<确定>按钮。如果当前配z置没有保存，系统会给出提

15、示，系统自动重启。Copyright © 2010 杭州通信技术，保留一切权利。非经本公司本文档中的，任何和个人不得擅自摘抄、本文档内容的部分或全部，并不得以传播。可能变动，恕不另行通知。第 7 页，共 7 页杭州通信技术攻城狮论坛(技术+生活)群 2258097攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡 ARP 防典型配置举例SecBlade插卡 ARP 防典型配置举例：ARP摘 要：ARP 协议因为没有任何安全机制而容易被发起者利用。为了避免各种带来的危害，设备提供了多种技术对进行检测和解决。缩略语：第 1 页，共 10 页杭州通信技术攻城狮论坛(技术+生活

16、)群 2258097缩略语英文全名中文解释ARPAddress Resolution Protocol地址协议攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡 ARP 防典型配置举例目 录1234特性简介3应用场合3注意事项3配置举例34.1 组网需求34.2 配置思路44.3 使用版本44.4 S7500E配置44.5 Secblade配置步骤44.5.1 配置接口地址44.5.2 配置ARP防4.5.3 配置ARP防4.5.4 配置ARP防ARP6ARP扫描7ARP固化84.6 验证结果84.6.1ARP验证结果84.6.2 ARP扫描验证结果84.6.3 ARP固化验证结

17、果9相关资料105.1 相关协议和标准105.2 其它相关资料105第 2 页，共 10 页杭州通信技术攻城狮论坛(技术+生活)群 2258097攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡 ARP 防典型配置举例1特性简介ARP 协议有简单、易用的优点，但是也因为其没有任何安全机制而容易被发起者利用。目前ARP和 ARP已经成为局域网安全的一大威胁，为了避免各种进行检测和解决。带来的危害，提供了多种技术对2应用场合校园网、企业网的安全网络。3注意事项l 配置ARP 功能后，只有当接口链路 Up 并且配置 IP 地址后，此功能才真正生效。l 如果修改了ARP 报文的发送周期

18、，则在下一个发送周期才能生效。l 不要在配置了 VRRP 备份组的接口下使能ARP 功能。l 建议用户在 ARP 自动扫描期间不要进行其他操作。l 只有三层以太网接口、三层以太网子接口、VLAN 接口学习到的动态 ARP 表项可以被固化。4配置举例4.1组网需求使用的是S7500E 的Secblade插卡。本典型配置适合S9500E、S12500、本配置举例中S5800 等上的 Secblade插卡。图1 ARP 防组网图第 3 页，共 10 页杭州通信技术攻城狮论坛(技术+生活)群 2258097SecBlade插卡 ARP 防典型配置举例如 图 1，LAN接Switch7500E的端口Gi

19、gabitEthernet1/0/1，通过 10GE端口连接SecbladeII的II 的XGE0/0.10, Internet 接Switch7500E 的GigabitEthernet1/0/2 ，通过10GE 端口接SecbladeXGE0/0.11。利用该组网测试ARP防功能。4.2配置思路l 配置接口地址l 配置l 配置ARPl 配置 ARP 扫描l 配置 ARP 固化4.3使用版本Secblade 插卡： R3166 系列版本、F3166 系列版本。4.4S7500E 配置S7500E 的配置如下：# 配置连接 LAN 的接口 GigabitEthernet1/0/1 加入 Vla

20、n10。H3C interface GigabitEthernet1/0/1H3C-GigabitEthernet1/0/1 port access vlan 10# 配置连接 Internet 的接口 GigabitEthernet1/0/2 加入 Vlan11。H3C interface GigabitEthernet1/0/2H3C-GigabitEthernet1/0/2 port access vlan 11# 配置连接 Secblade II插卡的 10GE 端口为 Trunk 类型，Vlan1 到 Vlan11 通过。H3C interface Ten-GigabitEthern

21、et2/0/1H3C-Ten-GigabitEthernet2/0/1 port link-type trunkH3C-Ten-GigabitEthernet2/0/1 port trunk permit vlan 1 to 114.5Secblade 配置步骤4.5.1 配置接口地址1. 创建子接口 XGE0/0.10、XGE0/0.11，并配置地址l 在左侧导航栏中点击“管理 > 接口管理，创建 XGE0/0.10,并设置地址 192.168.1.1，所属 Vlan10，如下图所示：第 4 页，共 10 页杭州通信技术SecBlade插卡 ARP 防典型配置举例图2 创建接口 1按&

22、lt;确定>按钮完成创建。l 在左侧导航栏中点击“ 管理 >接口管理” 创建 XGE0/0.11, 并设置 IP地址 192.168.103.171，子接口所属 Vlan11。图3 创建接口 22. 接口 XGE0/0.10 加入 Trust 域l 点击左侧导航栏“管理>”。第 5 页，共 10 页杭州通信技术SecBlade插卡 ARP 防典型配置举例图4l 点击 Trust 栏中的”界面。按照下图将接口 XGE0/0.10 加入 Trust按钮，进入“修改域，点击<确定>返回“图5 编辑”界面。按照相同的操作将接口 XGE0/0.11 加入 Untrust 域

23、。4.5.2配置 ARP 防ARP1.ARP 简介ARP 报文是一种特殊的 ARP 报文，该报文中携带的发送者 IP 地址和目标 IP 地址都是本机 IP地址，发送者 MAC 地址是本机 MAC 地址，目标 MAC 地址是广播地址。通过对外发送ARP 报文，实现以下功能：l 确定其它的 IP 地址是否与本机 IP 地址。改变了硬件地址，通过发送ARP 报文通知其他更新 ARP 表项。z通过学习ARP 报文，实现以下功能：ARP 报文，如果 ARP 表中没有与此报文对应的 ARP 表项，就将ARP 报文中对于收到的携带的添加到本地动态 ARP表中2. 配置接口发送ARPl 点击左侧导航栏“>

24、; ARP 防>ARP 定时发送”。第 6 页，共 10 页杭州通信技术SecBlade插卡 ARP 防典型配置举例选择接口 XGE0/0.10，发送时间间隔采用默认值，或者输入合适的时间间隔，然后点击，再点击<确定 >按钮完成配置。这是让内网所有机器内网接口 XGE0/0.10 的 ARP 表项。图6 配置发送ARP4.5.3配置 ARP 防1. ARP 扫描简介ARP 扫描所谓 ARP 自动扫描，就是对于局域网内的邻居进行扫描，向邻居发送 ARP 请求报文，获取邻居的MAC 地址，从而建立动态 ARP 表项。2. 配置 ARP 扫描l 点击左侧导航栏“> ARP 防

25、> 扫描”。选择接口 XGE0/0.10，设置扫描的开始和结束 IP 地址范围，例如下图所示。如果不输入地址，则系统会按照接口地址的掩码范围进行扫描。图7 ARP 扫描第 7 页，共 10 页杭州通信技术攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡 ARP 防典型配置举例4.5.4 配置 ARP 防1. ARP 固化简介ARP 固化ARP 固化功能用来将当前的 ARP 动态表项（ARP 自动扫描生成的动态 ARP 表项）转换为静态 ARP 表项。通过对动态 ARP 表项的固化，可以有效的防止者修改 ARP 表项。2. 配置 ARP 固化> ARP 防ARP 扫描

26、获取的。> 固化”，表中将出现所有l 点击左侧导航栏“态和静态 ARP，图8 ARP上学习到的全部动想要固化的 ARP 表项，点击<固化>。或者不想固化的 ARP，点击<解除固化>。“全z部固化”和“解除全部固化”用来对 ARP 固化表中的全部 ARP 表项进行操作。解除固化操作，实际上是删除该 ARP 静态表项。图9 ARP 固化4.6 验证结果4.6.1ARP 验证结果在内网（192.168.1.0/24）抓取报文，抓取 XGE0/0.10 每隔 2 秒钟发送的ARP 报文ARP 报文。z图104.6.2 ARP 扫描验证结果l 扫描之后，内网所有 ARP 表

27、项将全部出现在 ARP 表中，可以查看“ 固化”中所有表项，例如能看到 192.168.1.0/24 网段的 ARP 表项为：> ARP 防>第 8 页，共 10 页杭州通信技术攻城狮论坛(技术+生活)群 2258097SecBlade插卡 ARP 防典型配置举例图11 ARP4.6.3 ARP 固化验证结果1. ARP 固化验证结果> ARP 防> 固化”界面中，ARP 表项 192.168.1.20，然后点击<固化l 在“>。ARP 固化之后变成静态 ARP，静态 ARP 会列举在 ARP 表的最前面。图12 ARP 固化2. ARP 解除固化验证结果&

28、gt; ARP 防> 固化”界面中，ARP 表项 192.168.1.20，然后点击<解除l 在“固化>。将会出现如下提示。点击<确定>，则这项 ARP 静态表项被删除。表中暂时查看不到这个 ARP 表项，除非图13 解除 ARP 固化重新学习到 ARP，或者进行了对应接口的 ARP 扫描。第 9 页，共 10 页杭州通信技术SecBlade插卡 ARP 防典型配置举例5 相关资料5.1相关协议和标准表1 相关协议与标准5.2其它相关资料Web 配置手册ARP 防Copyright © 2010 杭州通信技术，保留一切权利。非经本公司，任何和个人不得擅自

29、摘抄、本文档内容的部分或全部，并不得以传播。本文档中的可能变动，恕不另行通知。第 10 页，共 10 页杭州通信技术标准号标题RFC 826An Ethernet Address Resolution ProtocolSecBlade插卡 IPSec 典型配置举例SecBlade插卡 IPSec 典型配置举例：IKEIPSec摘 要：本章首先了 IKE 和 IPSec 的基本概念，随后说明了两种典型应用的举例。插卡的配置，最后给出缩略语：第 1 页，共 44 页杭州通信技术缩略语英文全名中文解释IKEInternet Key Exchange因特网密钥交换IPsecIP SecurityIP

30、网络安全协议SecBlade插卡 IPSec 典型配置举例目 录1特性简介31.1 IPSec基本概念31.1.1 SA31.1.2 认证算法与加密算法4应用场合4配置指南43.1 配置概述43.2 配置ACL63.3 配置IKE63.3.1 配置IKE全局参数63.3.2 配置IKE安全提议73.3.3 配置IKE对等体83.4 IPSec安全提议103.5 配置安全策略模板123.6 配置安全策略143.7 应用安全策略组16配置举例一：基本应用174.1 组网需求174.2 使用版本184.3 配置步骤184.4 配置结果验证314.4.1 查看IPSec安全联盟314.4.2 查看报文

31、统计31配置举例二：与NAT结合325.1 组网需求325.2 配置说明325.3 配置步骤335.4 配置验证结果425.4.1 查看IPSec安全联盟425.4.2 查看报文统计43注意事项43相关资料437.1 相关协议和标准437.2 其它相关资料44234567第 2 页，共 44 页杭州通信技术攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡 IPSec 典型配置举例1 特性简介IPsec（IP Security）协议族是 IETF 制定的一系列协议，它为 IP 数据报提供了高质量的、可互操之间在 IP 层通过加密与数据源验证等方式，来保证数作的、基于学的安全性。特

32、定的据报在网络上传输时的私有性、完整性、真实性和防重放。IPsec 通过 AH（Authentication Header，认证头）和 ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过 IKE（Internet Key Exchange，因特网密钥交换协议）为 IPsec 提供自动协商交换密钥、建立和维护安全联盟的服务，以简化 IPsec的使用和管理。1.1 IPSec 基本概念1.1.1 SAIPSec 在两个端点之间提供安全通信，端点被称为 IPSec 对等体。SA（Security Association，安

33、全联盟）是 IPSec 的基础，也是 IPSec 的本质。SA 是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP 还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、3DES 和 AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。SA 可以通过 IKE 自动协商建立。1. 封装模式IPSec 有如下两种工作模式：l 隧道（Tunnel）模式：用户的整个 IP 数据包被用来计算 AH 或 ESP 头，AH 或 ESP 头以及ESP 加密的用户数据被封装在一个新的 IP 数据间的通讯。通常，隧道模式应用在两个安全网关之l 传输（Transport）模

34、式：只是传输层数据被用来计算 AH 或 ESP 头，AH 或 ESP 头以及 ESP加密的用户数据被放置在原 IP 包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。不同的安全协议在Tunnel和Transport模式下的数据封装形式如 图 1 所示，data为传输层数据。图1 安全协议数据封装格式第 3 页，共 44 页杭州通信技术攻城狮论坛(技术+生活)群 2258097SecBlade插卡 IPSec 典型配置举例1.1.2 认证算法与加密算法1. 认证算法认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算

35、法，该输出称为消息摘要。IPSec 对等体计算摘要，如果两个摘要是相同的，则表示报文是完整篡改的。IPSec 使用两种认证算法：l MD5：MD5 通过输入任意长度的消息，产生 128bit 的消息摘要。l SHA-1：SHA-1 通过输入长度小于 2 的 64 次方 bit 的消息，产生 160bit 的消息摘要。MD5 算法的计算速度比 SHA-1 算法快，而 SHA-1 算法的安全强度比 MD5 算法高。2. 加密算法加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和实现三种加密算法：。目前的IPSecl DES（Data Encryption Standard）：使用

36、56bit 的密钥对一个 64bit 的明文块进行加密。l 3DES（Triple DES）：使用三个 56bit 的 DES 密钥（共 168bit 密钥）对明文进行加密。l AES（Advanced Encryption Standard）：使用 128bit、192bit 或 256bit 密钥长度的 AES 算法对明文进行加密。这三个加密算法的安全性由高到低依次是：AES、3DES、DES。安全性高的加密算法实现机制复杂，运算速度慢。对于普通的安全要求，DES 算法就可以满足需要。2 应用场合IPsec 作为一种技术，其最显著的特点就是可以为载荷数据提供加密以及数据源验证服务，保护数据

37、的性和完整性。同时通过 IKE 可以对密钥进行定时更新维护，增强系统的安全性。鉴于这些特点，IPsec 被广泛应用于传输敏感数据的网络中。3 配置指南3.1配置概述目前，List，支持使用 IPSec 安全策略建立 IPSec 安全隧道。这种方式下，由 ACL（Access Control列表）来指定要保护的数据流范围，通过配置安全策略并将安全策略绑定在实际的物理接口上来完成 IPsec 的配置。这种方式可以利用 ACL 的丰富配置功能，结合实际的组网环境灵活制定 IPsec 安全策略。其基本配置思路如下：(1)(2)(3)通过配置 ACL，用于匹配需要保护的数据流。通过配置安全提议，指定安全

38、协议、认证算法和加密算法、封装模式等。通过配置安全策略，将要保护的数据流和安全提议进行关联（即定义对何种数据流实施何种保护），并指定 SA 的协商方式、对等体 IP 地址（即保护路径的起/终点）、所需要的密钥和SA 的生存周期等。最后在 接口上应用安全策略即完成了 IPSec 的配置。(4)第 4 页，共 44 页杭州通信技术SecBlade插卡 IPSec 典型配置举例IPSec配置的推荐步骤如 表 1 所示。表1 IPSec 配置步骤第 5 页，共 44 页杭州通信技术步骤配置任务说明13.2 配置ACL必选ACL 是用来实现流识别功能的。网络 为了过滤报文，需要配置一系列的匹配条件对报文

39、进行 ，当 的端口接收到报文后，即根据当前端口上应用的ACL 规则对报文进行分析、识别之后，根据预先设定的策略对报文进行不同的处理ACL 在“ > ACL”中配置，本章中只 在配置 IPSec 所引用的ACL 时需要注意的事项23.3 配置IKE必选IKE 为 IPSec 提供了自动协商交换密钥、建立 SA 的服务，能够简化IPSec 的使用和管理，大大简化 IPSec 的配置和维护工作33.4 IPSec安全提议必选安全提议用于保存 IPSec 需要使用的特定安全协议、加密/认证算法以及封装模式，为 IPSec 协商 SA 提供各种安全参数若已 的 IPSec 安全提议的配置发生了修改

40、，则对已协商 的SA，新修改的安全提议并不起作用，即 SA 仍然使用原来的 IPSec 安全提议，只有新协商的 SA 将使用新的 IPSec 安全提议43.5 配置安全策略模板安全策略中需要 安全策略模板组时必选名称相同 的所有安全策略模板称为一个安全策略模板组。其中，序号越小的安全策略模板，优先级越高。在配置安全策略时，可以直接引用安全策略模板组来创建安全策略53.6 配置安全策略必选Web 界面采用 IKE 方式来配置安全策略，在配置时可以直接设置策略中的参数，也可以通过已创建的安全策略模板组来配置名称相同的所有安全策略称为一个安全策略组。其中，序号越小的安全策略，优先级越高不能用应用安全

41、策略模板的安全策略来发起安全联盟的协商，但可以响应协商。在协商过程中进行策略匹配时，策略模板中定义的参数必须相符，而策略模板中没有定义的参数由发起方来决定，响应方接受发起方的建议63.7 应用安全策略组必选在要加密的数据流和要的数据流所在接口（逻辑的或物理的）上应用一个安全策略组74.4.1 查看IPSec安全联盟可选查看所有IPSec 安全联盟的概要，通过查看显示验证配置的效果84.4.2 查看报文统计可选查看 IPSec 处理报文的统计，通过查看 IPSec 的运行情况验证配置的效果SecBlade插卡 IPSec 典型配置举例3.2配置ACLIPsec 通过配置 ACL（Access C

42、ontrol List，列表）来定义需要过滤的数据流。在 IPsec的应用中，ACL 规则中的 permit 关键字表示与之匹配的流量需要被 IPsec 保护，而规则中的 deny关键字则表示与之匹配的那些流量不需要保护。配置 ACL，需要在“下配置：> ACL”菜单中做如l 创建列表。l 配置相应的匹配规则（rule）。仅对确实需要 IPSec 保护的数据流配置“”规则，否则，一旦指定范围上入方向收到的某流量本来应该不被 IPSec 保护的，那么该流量就会被丢弃，这会造成一些本不需要 IPSec 处理的流量丢失，影响正常的业务流传输。3.3配置IKE需要通过 IKE 方式来配置 IPs

43、ec 安全策略，所以在法。IPSec 的配置步骤前，先IKE 的配置方3.3.1 配置 IKE 全局参数在导航栏中选择“> IKE > 全局设置”，进入IKE全局设置的页面，如 图 2 所示。图2 全局设置IKE全局参数的详细配置如 表 2 所示。表2 IKE 全局参数的详细配置第 6 页，共 44 页杭州通信技术配置项说明IKE 本端名称设置本端安全网关的名称当IKE 协商的发起端使用安全网关名称进行协商时，本端需要设置该参数，发起端会发送的“IKE 本端名称”给对端来标识的，而对端使用“对端网关名称”参数来认证发起端，故此时“对端网关名称”应与发起端上的“IKE 本端名称”保持

44、一致缺省情况下，使用名作为IKE 本端名称SecBlade插卡 IPSec 典型配置举例3.3.2 配置 IKE 安全提议在导航栏中选择“> IKE > 安全提议”，进入IKE安全提议的显示页面，如 图 4 所示。单击<新建>按钮，进入新建IKE安全提议的配置页面，如 图 4 所示。图3 安全提议在日常使用时通常省略 IKE 安全提议的设置，直接使用缺省提议 default 即可完成协商。图4 新建IKE 安全提议新建IKE安全提议的详细配置如 表 3 所示。第 7 页，共 44 页杭州通信技术配置项说明NAT Keepalive 报文时间间隔设置 ISAKMP SA

45、向对端发送 NAT Keepalive 报文的时间间隔由于在 NAT 网关上的 NAT 会话有一定存活时间，因此一旦安全隧道建立后如果长时间没有报文穿越，NAT 会话表项会被删除，这样将导致在 NAT 外侧的隧道无法继续传输数据。为防止 NAT 表项老化，ISAKMP SA 以一定的时间间隔向对端发送 NAT Keepalive 报文，以维持 NAT 会话的存活攻城狮论坛 #_#.归原作者所有 本资料试读SecBlade插卡 IPSec 典型配置举例表3 新建IKE 安全提议的详细配置3.3.3 配置 IKE 对等体在导航栏中选择“> IKE >对等体”，进入IKE对等体的显示页面

46、，如 图 5 所示。单击<新建>按钮，进入新建IKE对等体的配置页面，如 图 6 所示。图5 对等体第 8 页，共 44 页杭州通信技术攻城狮论坛(技术+生活)群 2258097配置项说明IKE 安全提议号设置IKE 安全提议的序号该序号同时表示该IKE 安全提议的优先级，数值越小，优先级越高，即在进行 IKE 协商的时候，会从序号最小的IKE 安全提议进行匹配认证设置IKE 安全提议所采用的认证l Preshared Key：采用预共享密钥的认证l RSA Signature：采用 RSA 数字签名的认证认证算法设置IKE 安全提议所采用的认证算法l SHA1：采用 HMAC-S

47、HA1 认证算法l MD5：采用 HMAC-MD5 认证算法加密算法设置IKE 安全提议所采用的加密算法l DES-CBC：采用 CBC 模式的 DES 算法，采用 56 bits 的密钥进行加密l 3DES-CBC：采用 CBC 模式的 3DES 算法，采用 168 bits 的密钥进行加密l AES-128：采用 CBC 模式的 AES 算法，采用 128 bits 的密钥进行加密l AES-192：采用 CBC 模式的 AES 算法，采用 192 bits 的密钥进行加密l AES-256：采用 CBC 模式的 AES 算法，采用 256 bits 的密钥进行加密DH 组设置IKE 阶段

48、 1 密钥协商时所采用的DH 密钥交换参数l Group1：采用 768-bit 的 Diffie-Hellman 组l Group2：采用 1024-bit 的Diffie-Hellman 组l Group5：采用 1536-bit 的Diffie-Hellman 组l Group14：采用 2048-bit 的 Diffie-Hellman 组SA 生存周期设置IKE 安全提议的 ISAKMP SA 生存周期在设定的生存周期超时前，会提前协商另一个 SA 来替换旧的 SA。在新的 SA 还没有协商完之前，依然使用旧的 SA；在新的 SA 建立后，将立即使用新的 SA，而旧的 SA 在生存周

49、期超时后，被自动清除如果 SA 生存周期超时，ISAKMP SA 将自动更新。因为 IKE 协商需要进行 DH 计算，在低端 上需要经过较长的时间，为使 ISAKMP SA 的更新不影响安全通信，建议设置 SA 生存周期大于 10 分钟SecBlade插卡 IPSec 典型配置举例图6 新建IKE 对等体新建IKE对等体的详细配置如 表 4 所示。表4 新建IKE 对等体的详细配置第 9 页，共 44 页杭州通信技术配置项说明对等体名称设置IKE 对等体的名称协商模式设置IKE 第一阶段的协商模式为Main 或Aggressivel 当安全隧道一端的IP 地址为自动获取时，必须将协商模式配置为

50、“Aggressive”。这种情况下，只要建立安全联盟时使用的用户名和正确，就可以建立安全联盟l IKE 对等体中配置的协商模式表示本端作为发起方时所使用的协商模式，响应方将自动适配发起方的协商模式本端ID 类型设置IKE 第一阶段的协商过程中使用的本端ID 的类型l IP 地址：表示选择IP 地址作为IKE 协商过程中使用的 IDl 网关名称：表示选择网关名称作为IKE 协商过程中使用的 ID当协商模式为“Main”时，只能使用 IP 地址类型的进行IKE 协商，建立安全联盟SecBlade插卡 IPSec 典型配置举例3.4 IPSec 安全提议在导航栏中选择“> IPSec > 安全提议”，进入 IPSec 安全提议的配置显示页面。Web页面。提供了两种 IPSec 安全提议的配置方式，在向导页面进行选择对应方式的配置l 套件方式：如 图 7 所示，用户可以直接在详细配置如 表 5 所示。提供的加密套件中选择便用户的操作。第 10 页，共 44 页杭州通信技术配置项说明本端IP 地址设置IKE 协商时的本端安全网关的IP 地址缺省情况下，本端IP 地址使用应用安全策略的接口的主地址。只有当用户需要指定特殊的本端网关地址时才需要设置此配置项情况下本端 IP 地址不需要配置，只有当用户需要指定特殊的本端网关地址时（如指定 loopba