SECPATH典型组网及维护案例

培训提纲产品简介产品特色典型组网典型配置常见问题分部secpath100N和总部secpath1000使用IPSec,

IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，

同时接受移动用户使用Secpoint分部secpath100N和总部secpath1000实现GRE+IPSEC隧道IP网络远程办公企业总部企业分支合作伙伴SecPath100VPN网关SecPath1000华为3ComVPN客户端MCU应用服务器群话音设备语音视频数据语音视频数据VPN隧道SecPath100分部secpath100N和总部secpath1000使用IPSec,

IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，

同时接受移动用户使用Secpoint-----------secpath100----------------Internet----------------secpath1000-------ipsec-----------------------------------------------------ipsec

ikelocal-namezongbu假设公网地址：secpath100:(动态),secpath1000:(固定)分部Ikelocal-namefenbu总部ikelocal-namezongbuIpsec使用隧道方式封装私网数据流Ipsec安全提议使用esp协议，认证算法MD5，加密算法3DES预共享密钥12345同时总部的secpath1000还接受VPN客户端Secpoint接入L2tp隧道名Client_Secpoint隧道使用同样的Ipsec策略加密Aaa验证使用rsaaceserver进行radius验证和计费用户密码采用双因素pin码+Token码保证安全和唯一相关配置如下：secpath100:#ikelocal-namefenbu#ikepeer1exchange-modeaggressivepre-shared-key12345id-typenameremote-namezongburemote-addressnattraversal#ipsecproposal1espencryption-algorithm3des#ipsecpolicy11isakmpsecurityacl3000ike-peer1proposal1#interfaceEthernet0/0ipaddress这里可能是动态获得比如dhcpipsecpolicy1#interfaceEthernet0/1ipaddress私网地址#aclnumber3000rule0permitipsource55destination55定义分部和总部私网之间数据流的ACL#分部secpath100N和总部secpath1000使用IPSec,

IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，

同时接受移动用户使用Secpoint总部Secpath1000相关配置如下：#l2tpenable#ippool100#aaaenableaaaaccounting-schemeoptionalradiusserver00authentication-port1645accounting-port1646radiusshared-keyabcdef98765//radius预共享密钥radiustimerresponse-timeout120aaaaccounting-schemepppdefaultstart-stopradiusaaaauthentication-schemepppdefaultradius#ikelocal-namezongbu//总部ikelocal-name#ikepeer1exchange-modeaggressive//野蛮模式pre-shared-key12345//预共享密钥id-typenameremote-namefenbunattraversal//nat穿越max-connections1000//此peer最大允许1000个用户同时使用#ipsecproposal1espencryption-algorithm3des#ipsecpolicy-templatetp1//ipsec策略模板配置，不用配置aclike-peer1proposal1#ipsecpolicy11isakmptemplatetp#interfaceVirtual-Template1//接受l2tp接入的虚模板pppauthentication-modepapipaddressremoteaddresspool1#interfaceGigabitEthernet0/0ipaddress//公网固定地址ipsecpolicy1#interfaceGigabitEthernet0/1ipaddress//私网口#interfaceNULL0#l2tp-group1//l2tp配置undotunnelauthentication//不使用隧道验证allowl2tpvirtual-template1remoteClient_Secpoint//指定l2tp对端隧道名#分部secpath100N和总部secpath1000使用IPSec,

IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，

同时接受移动用户使用Secpoint详细配置步骤请参见如下典型配置注意理解文件中所附的隧道报文格式基本配置如果对报文格式没有明晰的概念，则配置VPN很容易出错DVPN典型配置华为3Com的动态VPN技术解决了全网互联N/2问题，配置太轻松了！IP网络企业总部企业分支企业分支合作伙伴VPN网关VPN网关VPN网关VPN网关采用C/S结构分支节点自动建立隧道实现互访降低总部设备数据压力维护隧道数量降到最小N*(N-1)/2-----------N-1

DVPN优点支持NAT穿越动态建立，支持动态地址支持认证支持多个VPN域支持动态路由DVPN典型配置

DVPN原理

动态VPN采用了Client/Server的方式，一台路由器作为Server，其他的路由器作为Client。每个Client都需要到Server进行注册，注册成功之后Client就可以互相通讯了。Server在一个VPN当中的主要任务就是获得Client的注册信息，当有一个Client需要访问另一个Client时通知该Client所要到达目的地的真正地址。DVPN典型配置sever|----------||clientAclientB一个server,两个client,使用udp封装可以穿越NAT隧道上运行OSPF动态路由此配置未使用ipsec加密dvpn数据如果需要使用ipsec加密则和前一个典型配置大致相同，不同的是在客户端定义acl时指定Dvpn数据流即可DVPN典型配置#sysnameClientA#interfaceDialer0link-protocolpppipaddress#interfaceEthernet1/0ipaddress#interfaceAtm2/0adslstandardgdmt#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceEthernet1/0dvpnserverserverdvpnvpn-id100dvpnudp-port8000ospfnetwork-typep2mp#ospf1areanetwork55network55#dvpnclassserverpublic-ipprivate-ipudp-port8005#return#sysnameClientB#interfaceDialer0link-protocolpppipaddress#interfaceEthernet1/0ipaddress#interfaceAtm2/0adslstandardgdmt#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceEthernet1/0dvpnserverserverdvpnvpn-id100dvpnudp-port8003ospfnetwork-typep2mp#ospf1areanetwork55network55#dvpnclassserverpublic-ipprivate-ipudp-port8005#return#sysnameserver#interfaceAux0asyncmodeflowlink-protocolppp#interfaceDialer0link-protocolpppipaddress#interfaceGigabitEthernet0/0#interfaceGigabitEthernet0/1ipaddress#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceGigabitEthernet0/1dvpninterface-typeserverdvpnvpn-id100dvpnudp-port8005ospfnetwork-typep2mp#interfaceNULL0#ospf1areanetwork55network55#user-interfacecon0user-interfaceaux0user-interfacevty04#returnOSPFoverGREoverIPSec典型配置Internet移动办公SecPoint分支机构L2TP+IPSEC隧道SecPath100N公司总部内网SecPath1000SecPath1000RSAACESERVEROSPFOVERGREOVERIPSEC隧道L2TPOVERIPSEC隧道OSPFoverGREoverIPSec典型配置组网说明：此方案能够解决分支机构的IP地址是通过ISP动态获取，而且Secpath网关互相备份，同时在GRE封装上实现ipsec加密等多个需求。支机构的用户上网方式没有限制，拨号或者固定IP上网。 分支机构的网关设备接口地址是动态获取的 公司总部有两台SecPath，两台SecPath互相备份 公司总部与分支机构之间的数据连接要求IPSEC加密 3680模拟Internet，为分支结构动态分配IP地址

/24-----2630-----------secpath1----------

3680-------------1760---/24

/24-----3640-----------secpath2----------

OSPFoverGREoverIPSec典型配置参见如下文档注意事项Tunnel的外层IP不要在OSPF中发布，否则会引起路由自环RSAACESERVER典型配置EncryptedtunnelthroughpublicnetworkInternet华为3Com客户端软件移动用户接入动态IP地址动态令牌用户认证，保证用户的唯一性用户名和密码企业总部用户动态认证服务器RSAACE/ServerRADIUS服务器RSAACESERVER典型配置参见如下文档CA证书验证配置

X.509证书格式对证书的摘要用私钥加密数字签名

X.509是由国际电信联盟（ITU-T）制定的数字证书标准。

X.509证书由用户公共密钥与用户标识符组成，此外还包括版本号、证书序列号、、CA标识符、签名算法标识、签发者名称、证书有效期等。#配置PKI域参数。pkidomainhumancaidentifierWIN2000SERVERcertificaterequesturl/certsrv/mscep/mscep.dllcertificaterequestfromracertificaterequestentitytestcrlcheckdisable##配置PKI实体参数。pkientitytestcommon-name1000Aip##配置IKE协商使用数字证书。ikeproposal1authentication-methodrsa-signature##配置IKEpeer与PKI域关联。ikepeerpeer1remote-addresscertificatedomainhumanCA证书验证配置#配置完毕，执行如下步骤获取证书#用RSA算法生成本地的密钥对，可以制定密钥长度rsalocal-key-paircreate#手工申请获得CA证书pkiretrieval-certificatecadomainhuman#手工申请获得设备本地证书pkirequest-certificatedomainhuman#手工察看获得的CA和设备本地证书dispkicertificatecadomainhumandispkicertificatelocaldomainhumanCA证书验证配置＃查看相关文件<SecPath1000-A>dir/allDirectoryofflash:/10-rw-716Nov18200412:15:51hostkey11-rw-572Nov18200412:15:54serverkey12-rw-3926Nov18200412:19:09human_ca.cer13-rw-1298Nov18200412:19:32human_local.cerCA证书验证配置CA证书验证配置参见如下文档IPSEC野蛮模式和NAT穿越NATISPISPNAT企业总部企业分支企业分支ISP分配私网IP地址传统GREVPN隧道ISP分配私网IP地址UDPVPN隧道实现NAT穿越IP网VPN网关SecPath1000VPN网关SecPath100R1760R2610/11AR18-1XIP地址资源紧张ISP采用NAT设备传统GREVPN隧道无法NAT穿越基于UDP协议的NAT穿越专利技术华为3Com提供的VPN解决方案可以轻松穿越NAT，可以使线路选择更轻松。VPN网关SecPath100R1760R2610/11AR18-1Xikelocal-namefenbuikepeer1exchange-modeaggressivepre-shared-key12345id-typenameremote-namezongburemote-addressnattraversal#IPSEC野蛮模式和NAT穿越配置报文格式

Secpoint如何同时上公网和私网去掉该选项将需要访问的私网网段手工加入Secpoint连接后，在DOS提示符下输入”routeprint”，可以看到有这么几条路由：200020//第1条指公网默认路由。去公网数据仍然走默认路由。//第2条中的“0”指Secpoint动态获得的路由，所有去往私网的数据走这条路由。培训提纲产品简介产品特色典型组网典型配置常见问题路由问题路由设置常见错误一：

启用IPSEC或GRE后无指向对端私网的路由。

IPSEC时去往对端私网的路由指向公网的上端路由。

GRE时去往对端私网的路由指向相应的Tunnel口。常见错误二：

DVPN去往对端私网的路由直接指向Tunnel口。

如：Iproute24tunnel0

由于DVPN支持与多个远端建立隧道，因此必须指定远端隧道的地址。

要更改为：iproute24IPSEC的ACL问题

ACL设定常见错误一：

Acl

nu3000

Ruledenyip

Rulepermitip

sou55des55

所有数据流被deny常见错误二：

总部采用模板配置

ipsecpolicypolicy11isatemptemp

ike-peer1

prp1

分部有两条具体的ACL

Acl

nu3000

Rulepermitip

sou55des55

Rulepermitip

sou55des55

导致的数据无法返回常见错误三：

总部对应多个隧道，去往每个隧道的数据流重叠。

Acl

nu3000

Rulepermitip

sou55desany

acl

nu3001

Rulepermitip

sou55des55

无法匹配3001的数据流隧道上启用动态路由隧道的外层IP头

OSPFoverGREoverIPSEC：

inttunnel0

ipadd24

sou

des

int

loopback0

ip

sou32

隧道地址只是起路由作用，不封装在外层IP头。外层IP头为SOU和DES地址。

OSPFoverGREoverIPSEC：

ospf

area0

network

network

network55

外层IP头和外网IP都不能放在OSPF中，否则引起路由自环。路由启用错误隧道如何嵌套GREoverIPSEC

安全性高

安全性低DVPNoverIPSECL2TPoverIPSECIPSECoverGREIPSECoverL2TPIPSECoverDVPN隧道与MTU分片发送MTU1200PCVPN网关internet网站

MTU工作过程IP,LENGTH>1200,DF=0IP,最大长度1200IP,LENGTH>1200,DF=1ICMP不可达，需要分片，MTU=1200（2）报文不可分片（1）报文可分片隧道与MTU