網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第五章 網(wǎng)絡(luò)設(shè)備全配置

第五章

網(wǎng)絡(luò)設(shè)備安全配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)本章主要介紹主流網(wǎng)絡(luò)安全設(shè)備的基本配置方法、路由器點到點的VPN、防火墻的主要配置方法?！局R目標(biāo)】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墻【技能目標(biāo)】?掌握和AAA的認(rèn)證、授權(quán)的配置。?了解華為系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相關(guān)配置。

?掌握USG防火墻安全策略及相關(guān)配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墻5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

5.1.1項目背景1.需求分析

某公司為了實現(xiàn)對內(nèi)部員工的上網(wǎng)行為進行管理，在公司內(nèi)部架設(shè)一臺華為安全訪問控制服務(wù)器。該服務(wù)器可以在用戶訪問Internet時對用戶進行認(rèn)證和授權(quán)，并控制員工訪問Internet。目前，ARG3系列路由器只支持配置認(rèn)證和授權(quán)。圖5-1是AAA的應(yīng)用場景。5.1

路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.環(huán)境準(zhǔn)備(1)硬件環(huán)境見下表設(shè)備類型設(shè)備型號設(shè)備數(shù)量備注路由器華為路由器設(shè)備1臺含電源線、配置線三層交換機S57001臺含電源線、配置線計算機雙核CPU、內(nèi)存4GB、硬盤80GB以上4臺巳安裝WindowsXPSP3雙絞線超5類5條1條交叉線，4條直通線(2)軟件環(huán)境見下表軟件名稱數(shù)量備注WindowsXPProSP2（中文版）1系統(tǒng)平臺VMwareWorkstation7.1.41虛擬機MicrosoftOffice2007(中文版)1文檔編輯WindowsServer2003R2(中文版)1服務(wù)器平臺CiscoSecureACS4.2forWindows1安全訪問控制服務(wù)jre-6u2-Windows-i586或更高版本1Java運行環(huán)境硬件環(huán)境一覽表軟件環(huán)境一覽表5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準(zhǔn)備

AAA是一種提供認(rèn)證、授權(quán)和計費的安全技術(shù)。該技術(shù)可以用于驗證用戶帳戶是否合法，授權(quán)用戶可以訪問的服務(wù)，并記錄用戶使用網(wǎng)絡(luò)資源的情況。例如，企業(yè)總部需要對服務(wù)器的資源訪問進行控制，只有通過認(rèn)證的用戶才能訪問特定的資源，并對用戶使用資源的情況進行記錄。在這種場景下，可以按照如圖所示的方案進行AAA部署，NAS為網(wǎng)絡(luò)接入服務(wù)器，負(fù)責(zé)集中收集和管理用戶的訪問請求。

AAA服務(wù)器表示遠端的Radius或HWTACACS服務(wù)器，負(fù)責(zé)制定認(rèn)證、授權(quán)和計費方案。如果企業(yè)分支的員工希望訪問總部的服務(wù)器，遠端的Radius或HWTACACS服務(wù)器會要求員工發(fā)送正確的用戶名和密碼，之后會進行驗證，通過后則執(zhí)行相關(guān)的授權(quán)策略，接下來，該員工就可以訪問特定的服務(wù)器了。如果還需要記錄員工訪問網(wǎng)絡(luò)資源的行為，網(wǎng)絡(luò)管理員還可以在Radius或HWTACACS服務(wù)器上配置計費方案。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程AAA的含義如下。①Athentication(認(rèn)證):對用戶的身份進行驗證，決定是否允許該用戶

訪問網(wǎng)絡(luò)。②Authorization(授權(quán)):給不同的用戶分配不同的權(quán)限，限制每個用

戶可使用的網(wǎng)絡(luò)服務(wù)。③Accounting(審計)：對用戶的行為進行審計和計費。認(rèn)證方法解釋與命令示例enable使用enable口令進行身份驗證aaaauthenticationloginnameenablelocal使用本地數(shù)據(jù)庫進行身份驗證aaaauthenticationloginnamelocal定義本地數(shù)據(jù)庫的命令為：UsernameusernamepasswordpasswordTACACS+使用TACACS+服務(wù)器進行身份驗證aaaauthenticationloginnamegrouptacacs+RADIUS使用RADIUS服務(wù)器進行身份驗證aaaauthenticationloginnamegroupradiusnone不進行身份驗證aaaauthenticationloginnamenone常見的認(rèn)證方法5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程ACS包含多種身份驗證方法，可以確保在第一種方法失效時，設(shè)備可以使

用備用的身份驗證系統(tǒng)，

例如：aaaauthenticationloginexamplegrouptacacs+groupradius5.1.2項目設(shè)計

客戶單位需要對用戶上網(wǎng)行為進行安全訪問控制，用戶連接Internet必須

經(jīng)過認(rèn)證、授權(quán)和審計過程進行驗證，且驗證通過才能上網(wǎng)。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程1.認(rèn)證

認(rèn)證：驗證用戶是否可以獲得網(wǎng)絡(luò)訪問的權(quán)限。AAA支持的認(rèn)證方式有：不認(rèn)證、本地認(rèn)證、遠端認(rèn)證。AAA支持三種認(rèn)證方式:

不認(rèn)證：完全信任用戶，不對用戶身份進行合法性檢查。鑒于安全考慮，這種認(rèn)證方式很少被采用。

本地認(rèn)證：將本地用戶信息（包括用戶名、密碼和各種屬性）配置在NAS上。本地認(rèn)證的優(yōu)點是處理速度快、運營成本低；缺點是存儲信息量受設(shè)備硬件條件限制。

遠端認(rèn)證：將用戶信息（包括用戶名、密碼和各種屬性）配置在認(rèn)證服務(wù)器上。AAA支持通過RADIUS協(xié)議或HWTACACS協(xié)議進行遠端認(rèn)證。NAS作為客戶端，與RADIUS服務(wù)器或HWTACACS服務(wù)器進行通信。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

如果一個認(rèn)證方案采用多種認(rèn)證方式，這些認(rèn)證方式按配置順序生效。比如，先配置了遠端認(rèn)證，隨后配置了本地認(rèn)證，那么在遠端認(rèn)證服務(wù)器無響應(yīng)時，會轉(zhuǎn)入本地認(rèn)證方式。如果只在本地設(shè)備上配置了登錄賬號，沒有在遠端服務(wù)器上配置，AR2200認(rèn)為賬號沒有通過遠端認(rèn)證，不再進行本地認(rèn)證，如圖所示5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（1）授權(quán)

授權(quán)：授權(quán)用戶可以訪問或使用網(wǎng)絡(luò)上的哪些服務(wù)。

AAA支持的授權(quán)方式有：不授權(quán)，本地授權(quán)，遠端授權(quán)。

AAA授權(quán)功能賦予用戶訪問的特定網(wǎng)絡(luò)或設(shè)備的權(quán)限。AAA支持以下授權(quán)方式：

不授權(quán)：不對用戶進行授權(quán)處理。

本地授權(quán)：根據(jù)NAS上配置的本地用戶賬號的相關(guān)屬性進行授權(quán)。

遠端授權(quán)：HWTACACS授權(quán)，使用TACACS服務(wù)器對用戶授權(quán)。RADIUS授權(quán)，對

通過RADIUS服務(wù)器認(rèn)證的用戶授權(quán)。RADIUS協(xié)議的認(rèn)證和授權(quán)是綁定在一起的，不能單獨使用RADIUS進行授權(quán)。

5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

如果在一個授權(quán)方案中使用多種授權(quán)方式，這些授權(quán)方式按照配置順序生效。不授權(quán)方式最后生效，如圖所示5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程(2)計費計費：記錄用戶使用網(wǎng)絡(luò)資源的情況。計費功能用于監(jiān)控授權(quán)用戶的網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源的使用情況。AAA支持以下兩種計費方式：

不計費：為用戶提供免費上網(wǎng)服務(wù)，不產(chǎn)生相關(guān)活動日志。

遠端計費：通過RADIUS服務(wù)器或HWTACACS服務(wù)器進行遠端計費。RADIUS服務(wù)器或HWTACACS服務(wù)器具備充足的儲存空間，可以儲存各授權(quán)用戶的網(wǎng)絡(luò)訪問活動日志，支持計費功能。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程本示例中(如圖所示)展示了用戶計費日志中記錄的典型信息。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.AAA域

AAA可以通過域來對用戶進行管理，不同的域可以關(guān)聯(lián)不同的認(rèn)證、授權(quán)和計費方案。設(shè)備基于域來對用戶進行管理，每個域都可以配置不同的認(rèn)證、授權(quán)和計費方案，用于對該域下的用戶進行認(rèn)證、授權(quán)和計費。每個用戶都屬于某一個域。用戶屬于哪個域是由用戶名中的域名分隔符@后的字符串決定。例如，如果用戶名是user@huawei，則用戶屬于huawei域。如果用戶名后不帶有@，則用戶屬于系統(tǒng)缺省域default。ARG3系列路由設(shè)備支持兩種缺省域：default域為普通用戶的缺省域。default_admin域為管理用戶的缺省域。用戶可以修改但不能刪除這兩個缺省域。默認(rèn)情況下，設(shè)備最多支持32個域，包括兩個缺省域，應(yīng)用場景如圖所示5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.1.3項目實施1.AAA配置：如圖拓?fù)鋄RTA]aaa[RTA-aaa]authentication-schemeauth1[RTA-aaa-authen-auth1]authentication-modelocal[RTA-aaa-authen-auth1]quit[RTA-aaa]local-userhuawei@huaweipasswordcipherhuawei123[RTA-aaa]local-userhuawei@huaweiservice-typetelnet[RTA-aaa]local-userhuawei@huaweiprivilegelevel15[RTA]user-interfacevty04[RTA-ui-vty0-4]authentication-modeaaa[RTA-aaa]domainhuawei[RTA-aaa-domain-huawei]authentication-schemeauth1[RTA-aaa-domain-huawei]authorization-schemeauth2[RTA-aaa-domain-huawei]quit5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

authentication-schemeauthentication-scheme-name命令用來配置域的認(rèn)證方案。缺省情況下，域使用名為“default”的認(rèn)證方案。

authentication-mode{hwtacacs|radius|local}命令用來配置認(rèn)證方式，local指定認(rèn)證模方式為本地認(rèn)證。缺省情況下，認(rèn)證方式為本地認(rèn)證。

authorization-schemeauthorization-scheme-name命令用來配置域的授權(quán)方案。缺省情況下，域下沒有綁定授權(quán)方案。

authorization-mode{[hwtacacs|if-authenticated|local]*[none]}命令用來配置當(dāng)前授權(quán)方案使用的授權(quán)方式。缺省情況下，授權(quán)模式為本地授權(quán)方式。

domaindomain-name命令用來創(chuàng)建域，并進入AAA域視圖。

local-useruser-namepasswordcipherpassword命令用來創(chuàng)建本地用戶，并配置本地用戶的密碼。如果用戶名中帶域名分隔符，如@，則認(rèn)為@前面的部分是用戶名，后面部分是域名。如果沒有@，則整個字符串為用戶名，域為默認(rèn)域。local-useruser-nameprivilegelevellevel命令用來指定本地用戶的優(yōu)先級。免責(zé)申明：設(shè)備支持通過Telnet協(xié)議和Stelnet協(xié)議登錄。使用Telnet、Stelnetv1協(xié)議存在安全風(fēng)險，建議您使用STelnetv2登錄設(shè)備。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.配置驗證[RTA]displaydomainnamehuaweiDomain-name:huaweiDomain-state:ActiveAuthentication-scheme-name:auth1Accounting-scheme-name:defaultAuthorization-scheme-name:auth2Service-scheme-name:-RADIUS-server-template:-HWTACACS-server-templateUser-group:-User-group:-

displaydomain[namedomain-name]命令用來查看域的配置信息。Domain-state為Active表示激活狀態(tài)。Authentication-scheme-name表示域使用的認(rèn)證方案為auth1。

缺省情況下，域使用系統(tǒng)自帶的default認(rèn)證方案。Authorization-scheme-name表示域使用的授權(quán)方案為auth2。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.1.4項目總結(jié)與文檔1.項目總結(jié)

本項目介紹了在華為路由器上配置AAA安全認(rèn)證方法，還介紹了路由器的認(rèn)證代理配置。

經(jīng)過項目實施，可以了解配置路由器AAA安全認(rèn)證，掌握配置AAA的基本方法，以及如何配置路由器認(rèn)證代理和實現(xiàn)對局域網(wǎng)用戶的上網(wǎng)驗證。

2.項目文檔

在項目結(jié)束后完成項目規(guī)劃及實施報告。謝謝！THANKYOU!網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程第五章

網(wǎng)絡(luò)設(shè)備安全配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)本章主要介紹主流網(wǎng)絡(luò)安全設(shè)備的基本配置方法、路由器點到點的VPN、防火墻的主要配置方法?！局R目標(biāo)】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墻【技能目標(biāo)】?掌握和AAA的認(rèn)證、授權(quán)的配置。?了解華為系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相關(guān)配置。

?掌握USG防火墻安全策略及相關(guān)配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墻5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.2.1項目背景

某跨國公司總部設(shè)在中國香港，在北京和上海分別設(shè)有兩個分公司，分公司需要訪問總部的各種服務(wù)器資源，如OA系統(tǒng)等。各分公司各自分別連接Internet,由于在Internet上傳輸信息數(shù)據(jù)存在安全隱患，公司希望通過部署IPSecVPN技術(shù)實現(xiàn)公司間的數(shù)據(jù)安全傳輸。其中中國香港總部與北京分公司

之間使用數(shù)字證書的方式來配置IPSecVPN,而北京分公司與上海公司之間采用使用預(yù)共享密鑰的方式來配置IPSecVPN上海分公司不與中國香港總部直

接連接，而是通過北京分公司來與總部建立連接。1.需求分析

首先需要在北京分公司與上海分公司之間建立一條預(yù)共享密鑰IPSecVPN隧道實現(xiàn)端到端的連接，然后在中國香港總部的路由器建立一臺路由器CA認(rèn)證服務(wù)器，北京分公司則作為CAM戶端，與總部建立IPScVPN隧道

實現(xiàn)端到端的連接。從而實現(xiàn)分公司之間以及分公司與總部之間的信息安全傳輸。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.環(huán)境準(zhǔn)備設(shè)備類型設(shè)備型號設(shè)備數(shù)量備注路由器AR設(shè)備4臺含電源線、配置線計算機雙核、4GB、80GB以上3臺已安裝WindowsXPSP3雙絞線超5類3條3條交叉線廣域網(wǎng)模塊1T或2T6個與路由器配套使用廣域網(wǎng)線纜CAB-V35MT和CAB—V35FC3對實現(xiàn)路由器廣域網(wǎng)接口的對接軟件環(huán)境列表軟件名稱數(shù)量備注WindowsXPProSP2(中文版)1系統(tǒng)平臺VMwareWorkstation7.1.41虛擬機MicrosoftOffice2007(中文版)1文檔編輯WindowsServer2003R2(中文版)1服務(wù)器平臺硬件環(huán)境列表5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準(zhǔn)備

企業(yè)對網(wǎng)絡(luò)安全性的需求日益提升，而傳統(tǒng)的TCP/IP協(xié)議缺乏有效的安全認(rèn)證和保密機制。IPSec（InternetProtocolSecurity）作為一種開放標(biāo)準(zhǔn)的安全框架結(jié)構(gòu)，可以用來保證IP數(shù)據(jù)報文在網(wǎng)絡(luò)上傳輸?shù)臋C密性、完整性和防重放.IPSec協(xié)議標(biāo)準(zhǔn)集提供了TCP/IP網(wǎng)絡(luò)中IP層的安全性，可以為IP分組提

供許多防護措施：數(shù)據(jù)完整性(DataIntegrity)、數(shù)據(jù)可用性(DataAvailability)、數(shù)據(jù)機密性(DataConfidentiality)、授權(quán)(Authorization).鑒別(Authentication)以及避免重放攻擊(ReplayAvoidance)等。IPSecVPN的主要目的是利用加密技術(shù)在公共網(wǎng)絡(luò)上構(gòu)建通信雙方之間

安全的信息傳輸通道，以提供類似專用網(wǎng)絡(luò)的功能。IPSec通信雙方通過密鑰

管理協(xié)議進行相互身份認(rèn)證，并協(xié)商信息加密或完整性保護所需算法及其他有

關(guān)參數(shù)，以此構(gòu)建安全的。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程IPSec傳輸模式(如圖所示)：IPSec協(xié)議有兩種封裝模式：傳輸模式和隧道模式。傳輸模式中，在IP報文頭和高層協(xié)議之間插入AH或ESP頭。傳輸模式中的AH或ESP主要對上層協(xié)議數(shù)據(jù)提供保護。傳輸模式中的AH：在IP頭部之后插入AH頭，對整個IP數(shù)據(jù)包進行完整性校驗。傳輸模式中的ESP：在IP頭部之后插入ESP頭，在數(shù)據(jù)字段后插入尾部以及認(rèn)證字段。對高層數(shù)據(jù)和ESP尾部進行加密，對IP數(shù)據(jù)包中的ESP報文頭，高層數(shù)據(jù)和ESP尾部進行完整性校驗。傳輸模式中的AH+ESP：在IP頭部之后插入AH和ESP頭，在數(shù)據(jù)字段后插入尾部以及認(rèn)證字段。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程IPSec隧道模式(如圖所示)：

隧道模式中，AH或ESP頭封裝在原始IP報文頭之前，并另外生成一個新的IP頭封裝到AH或ESP之前。隧道模式可以完全地對原始IP數(shù)據(jù)報進行認(rèn)證和加密，而且，可以使用IPSec對等體的IP地址來隱藏客戶機的IP地址。

隧道模式中的AH：對整個原始IP報文提供完整性檢查和認(rèn)證，認(rèn)證功能優(yōu)于ESP。但AH不提供加密功能，所以通常和ESP聯(lián)合使用。

隧道模式中的ESP：對整個原始IP報文和ESP尾部進行加密，對ESP報文頭、原始IP報文和ESP尾部進行完整性校驗。

隧道模式中的AH+ESP：對整個原始IP報文和ESP尾部進行加密，AH、ESP分別會對不同部分進行完整性校驗。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.2.2項目設(shè)計

網(wǎng)絡(luò)公司技術(shù)支持工程師需要為客戶配置IPSecVPN?？蛻艄痉植荚谥袊愀?、北京和上海3個城市，為了實現(xiàn)公司內(nèi)部資源的安全訪問和信息傳輸,需要在北京分公司和上海分公司之間的路由器配置預(yù)共享密鑰IPSecVPN,實現(xiàn)兩分公司的鏈路安全連接。而中國香港總部路由器則設(shè)置為CA服務(wù)器，北

京分公司的路由器設(shè)置為CA客戶端，兩者之間使用基于CA數(shù)字證書的IPSecVPN建立連接，實現(xiàn)安全數(shù)據(jù)通信。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程1.IPSecVPN應(yīng)用場景(如圖所示)IPSec是IETF定義的一個協(xié)議組。通信雙方在IP層通過加密、完整性校驗、數(shù)據(jù)源認(rèn)證等方式，保證了IP數(shù)據(jù)報文在網(wǎng)絡(luò)上傳輸?shù)臋C密性、完整性和防重放。機密性（Confidentiality）指對數(shù)據(jù)進行加密保護，用密文的形式傳送數(shù)據(jù)。完整性（Dataintegrity）指對接收的數(shù)據(jù)進行認(rèn)證，以判定報文是否被篡改。防重放（Anti-replay）指防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊，即接收方會拒絕舊的或重復(fù)的數(shù)據(jù)包。企業(yè)遠程分支機構(gòu)可以通過使用IPSecVPN建立安全傳輸通道，接入到企業(yè)總部網(wǎng)絡(luò)。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IPSec架構(gòu)(如圖所示)IPSec不是一個單獨的協(xié)議，它通過AH和ESP這兩個安全協(xié)議來實現(xiàn)IP數(shù)據(jù)報文的安全傳送。IKE協(xié)議提供密鑰協(xié)商，建立和維護安全聯(lián)盟SA等服務(wù)。IPSecVPN體系結(jié)構(gòu)主要由AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）和IKE（InternetKeyExchange）協(xié)議套件組成。

AH協(xié)議：主要提供的功能有數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗和防報文重放功能。然而，AH并不加密所保護的數(shù)據(jù)報。

ESP協(xié)議：提供AH協(xié)議的所有功能外（但其數(shù)據(jù)完整性校驗不包括IP頭），還可提供對IP報文的加密功能。

IKE協(xié)議：用于自動協(xié)商AH和ESP所使用的密碼算法。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.安全聯(lián)盟SA

安全聯(lián)盟定義了IPSec對等體間將使用的數(shù)據(jù)封裝模式、認(rèn)證和加密算法、密鑰等參數(shù)。安全聯(lián)盟是單向的，兩個對等體之間的雙向通信，至少需要兩個SA。

5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程SA（SecurityAssociation）安全聯(lián)盟定義了IPSec通信對等體間將使用的數(shù)據(jù)封裝模式、認(rèn)證和加密算法、秘鑰等參數(shù)。SA是單向的，兩個對等體之間的雙向通信，至少需要兩個SA。如果兩個對等體希望同時使用AH和ESP安全協(xié)議來進行通信，則對等體針對每一種安全協(xié)議都需要協(xié)商一對SA。

SA由一個三元組來唯一標(biāo)識，這個三元組包括安全參數(shù)索引SPI（SecurityParameterIndex）、目的IP地址、安全協(xié)議（AH或ESP）。建立SA的方式有以下兩種：手工方式：安全聯(lián)盟所需的全部信息都必須手工配置。手工方式建立安全聯(lián)盟比較復(fù)雜，但優(yōu)點是可以不依賴IKE而單獨實現(xiàn)IPSec功能。當(dāng)對等體設(shè)備數(shù)量較少時，或是在小型靜態(tài)環(huán)境中，手工配置SA是可行的。

IKE動態(tài)協(xié)商方式：只需要通信對等體間配置好IKE協(xié)商參數(shù)，由IKE自動協(xié)商來創(chuàng)建和維護SA。動態(tài)協(xié)商方式建立安全聯(lián)盟相對簡單些。對于中、大型的動態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用IKE協(xié)商建立SA。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.2.3項目實施1.IPSecVPN配置步驟（如圖所示）配置IPSecVPN的步驟如下：

（1）首先需要檢查報文發(fā)送方和接收方之間的網(wǎng)絡(luò)層可達性，確保雙方只有建立IPSecVPN隧道才能進行IPSec通信。

（2）第二步是定義數(shù)據(jù)流。因為部分流量無需滿足完整性和機密性要求，所以需要對流量進行過濾，選擇出需要進行IPSec處理的興趣流?？梢酝ㄟ^配置ACL來定義和區(qū)分不同的數(shù)據(jù)流。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（3）第三步是配置IPSec安全提議。IPSec提議定義了保護數(shù)據(jù)流所用的安全協(xié)議、認(rèn)證算法、加密算法和封裝模式。安全協(xié)議包括AH和ESP，兩者可以單獨使用或一起使用。AH支持MD5和SHA-1認(rèn)證算法；ESP支持兩種認(rèn)證算法（MD5和SHA-1）和三種加密算法（DES、3DES和AES）。為了能夠正常傳輸數(shù)據(jù)流，安全隧道兩端的對等體必須使用相同的安全協(xié)議、認(rèn)證算法、加密算法和封裝模式。如果要在兩個安全網(wǎng)關(guān)之間建立IPSec隧道，建議將IPSec封裝模式設(shè)置為隧道模式，以便隱藏通信使用的實際源IP地址和目的IP地址。

（4）第四步是配置IPSec安全策略。IPSec策略中會應(yīng)用IPSec提議中定義的安全協(xié)議、認(rèn)證算法、加密算法和封裝模式。每一個IPSec安全策略都使用唯一的名稱和序號來標(biāo)識。IPSec策略可分成兩類：手工建立SA的策略和IKE協(xié)商建立SA的策略。第五步是在一個接口上應(yīng)用IPSec安全策略。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.配置[RTA]iproute-static24[RTA]aclnumber3001[RTA-acl-adv-3001]rule5permitipsource55destination55[RTA]ipsecproposaltran1[RTA-ipsec-proposal-tran1]espauthentication-algorithmsha1[RTA]interfaceGigabitEtherneto/o/1[RTA-GigabitEthernet0/0/1]ipsecpolicyP1[RTA-GigabitEtherneto/o/1]quit5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

本示例中的IPSecVPN連接是通過配置靜態(tài)路由建立的，下一跳指向RTB。需要配置兩個方向的靜態(tài)路由確保雙向通信可達。建立一條高級ACL，用于確定哪些感興趣流需要通過IPSecVPN隧道。高級ACL能夠依據(jù)特定參數(shù)過濾流量，繼而對流量執(zhí)行丟棄、通過或保護操作。執(zhí)行ipsecproposal命令，可以創(chuàng)建IPSec提議并進入IPSec提議視圖。配置IPSec策略時，必須引用IPSec提議來指定IPSec隧道兩端使用的安全協(xié)議、加密算法、認(rèn)證算法和封裝模式。缺省情況下，使用ipsecproposal命令創(chuàng)建的IPSec提議采用ESP協(xié)議、MD5認(rèn)證算法和隧道封裝模式。在IPSec提議視圖下執(zhí)行下列命令可以修改這些參數(shù)。

執(zhí)行transform[ah|ah-esp|esp]命令，可以重新配置隧道采用的安全協(xié)議。執(zhí)行encapsulation-mode{transport|tunnel}命令，可以配置報文的封裝模式。執(zhí)行espauthentication-algorithm[md5|sha1|sha2-256|sha2-384|sha2-512]命令，可以配置ESP協(xié)議使用的認(rèn)證算法。執(zhí)行espencryption-algorithm[des|3des|aes-128|aes-192|aes-256]命令，可以配置ESP加密算法。

執(zhí)行ahauthentication-algorithm[md5|sha1|sha2-256|sha2-384|sha2-512]命令，可以配置AH協(xié)議使用的認(rèn)證算法。ipsecpolicypolicy-name命令用來在接口上應(yīng)用指定的安全策略組。手工方式配置的安全策略只能應(yīng)用到一個接口。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.驗證[RTA]displayipsecproposalNumberofproposals:1IPSecproposalname:tran1Encapsulationmode:TunnelTransform :esp-newESPprotocol :AuthenticationSHA1-HMAC-96 EncryptionDES

執(zhí)行displayipsecproposal[name<proposal-name>]命令，可以查看IPSec提議中配置的參數(shù)。Numberofproposals字段顯示的是已創(chuàng)建的IPSec提議的個數(shù)。IPSecproposalname字段顯示的是已創(chuàng)建IPSec提議的名稱。Encapsulationmode字段顯示的指定提議當(dāng)前使用的封裝模式，其值可以為傳輸模式或隧道模式。Transform字段顯示的是IPSec所采用的安全協(xié)議，其值可以是AH、ESP或AH-ESP。ESPprotocol字段顯示的是安全協(xié)議所使用的認(rèn)證和加密算法。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程[RTA]displayipsecpolicy=========================================IPSecpolicygroup:"p1"Usinginterface:GigabitEthernet0/0/1=========================================Sequencenumber:10Securitydataflow:3001Tunnellocaladdress:Tunnelremoteaddress:Qospre-classify:DisableProposalname:tranl...

執(zhí)行displayipsecpolicy[brief|namepolicy-name[seq-number]]命令，可以查看指定IPSec策略或所有IPSec策略。命令的顯示信息中包括：策略名稱、策略序號、提議名稱、ACL、隧道的本端地址和隧道的遠端地址等。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.2.4項目總結(jié)與文檔

1.項目總結(jié)

本項目介紹了如何配置預(yù)共享密鑰IPSecVPN通過項目實施讀者能夠掌握定義和配置用于VPN連接的確保認(rèn)證、數(shù)據(jù)完整性和機密性的協(xié)議，以及所遵循的步驟，實現(xiàn)了端到端VPN連接。

同時還介紹了在路由器上如何配置數(shù)字證書IPSecVPN的方法，通過連接CA服務(wù)實現(xiàn)VPN認(rèn)證連接的過程。

經(jīng)過項目實施了解了如何配置路由器預(yù)共享密鑰IPSecVPN和數(shù)字證書IPSecVPN的方法。通過這些配置實現(xiàn)端到端站點間VPN的連接。

2.項目文檔

在項目結(jié)束后完成項目規(guī)劃及實施報告。謝謝！THANKYOU!網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程主講人：萬鵬第五章

網(wǎng)絡(luò)設(shè)備安全配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)本章主要介紹主流網(wǎng)絡(luò)安全設(shè)備的基本配置方法、路由器點到點的VPN、防火墻的主要配置方法。【知識目標(biāo)】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墻【技能目標(biāo)】?掌握和AAA的認(rèn)證、授權(quán)的配置。?了解華為系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相關(guān)配置。

?掌握USG防火墻安全策略及相關(guān)配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墻5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.1項目背景

某公司在辦公地點的中心機房部署有一臺USG防火墻，為更好實現(xiàn)管理,將防火墻分為3個區(qū)域，其中內(nèi)網(wǎng)區(qū)域接公司局域網(wǎng),DMZ區(qū)接公司對外Web服務(wù)器和ACS認(rèn)證服務(wù)器，外網(wǎng)區(qū)域連接Internet,公司內(nèi)網(wǎng)用戶上網(wǎng)通過防火墻地址轉(zhuǎn)換功能來實現(xiàn)，局域網(wǎng)用戶使用DHCP自動獲取IP,并通過公司ACS服務(wù)器的認(rèn)證后才能訪問Internet。公司有一臺Web服務(wù)器需要對內(nèi)外網(wǎng)提供WWW服務(wù)。為實現(xiàn)員工出差也能夠訪問公司內(nèi)部資源，要求提供遠程VPN功能。

1.需求分析USG采用三區(qū)域路由模式結(jié)構(gòu)，DMZ區(qū)域采用靜態(tài)IPNAT的方式對Web服務(wù)器提供服務(wù)，inside(內(nèi)網(wǎng))區(qū)域采用DHCP方式獲取IP,USG充當(dāng)DHCP服務(wù)器，Client需要采用PAT方式訪問Internet,并需要通過AAA認(rèn)證。Client訪問內(nèi)部服務(wù)器采用直接路由的方式，Web服務(wù)器對外發(fā)布服務(wù)

需要映射到防火墻外網(wǎng)接口,并拒絕外部到outside接口的任何ICMP通信，內(nèi)部inside到DMZ和Internet可以采用ICMP測試連通性，內(nèi)部inside到DMZ采用路由方式直接進行訪問，不做NAT/PAT,并在防火墻上啟用SSLVPN提供遠程用戶連接服務(wù)。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

某公司在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)。為了使私網(wǎng)中/24網(wǎng)段的用戶可以正常訪問Internet，需要在NGFW上配置源NAT策略。除了公網(wǎng)接口的IP地址外，公司還向ISP申請了2個IP地址（0～1）作為私網(wǎng)地址轉(zhuǎn)換后的公網(wǎng)地址。網(wǎng)絡(luò)環(huán)境如圖所示，其中Router是ISP提供的接入網(wǎng)關(guān)。設(shè)備類型設(shè)備型號設(shè)備數(shù)量備注防火墻USG55001臺含電源線、配置線二層交換機S37001臺含電源線、配置線計算機雙核、4GB、80GB以上4臺已安裝WindowsXPSP3雙絞線超5類6條1條交叉線，5條直通線軟件名稱數(shù)量備注WindowsXPProSP2（中文版）1系統(tǒng)平臺VMwareWorkstation7.1.41虛擬機MicrosoftOffice2007（中文版）1文檔編輯WindowsServer2003R2（中文版）1服務(wù)器平臺jre-6u2-Windows-i586或更髙版本1Java運行環(huán)境USG802-k8.bin1USG系統(tǒng)文件asdm-524.bin1USG設(shè)置管理工具sslclient-win-73.pkg1VPN客戶端軟件asdm50-install.msi1ASDM管理軟件軟件環(huán)境列表硬件環(huán)境列表2.環(huán)境準(zhǔn)備5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.技能準(zhǔn)備（1）華為防火墻產(chǎn)品（如圖所示）5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（2）USG防火墻概述：USG作為PIX的升級產(chǎn)品是一款集防火墻、入侵檢測(IDS)和VPN集中器于一體的安全產(chǎn)品?！胺阑饓Α币辉~起源于建筑領(lǐng)域，用來隔離火災(zāi)，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。引入到通信領(lǐng)域，防火墻這一具體設(shè)備通常用于兩個網(wǎng)絡(luò)之間有針對性的、邏輯意義上的隔離。當(dāng)然，這種隔離是高明的，既能阻斷網(wǎng)絡(luò)中的各種攻擊又能保證正常通信報文的通過。用通信語言來定義，防火墻主要用于保護一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。因其隔離、防守的屬性，靈活應(yīng)用于網(wǎng)絡(luò)邊界、子網(wǎng)隔離等位置，具體如企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離、數(shù)據(jù)中心邊界等等。

華為防火墻產(chǎn)品上默認(rèn)已經(jīng)提供了三個安全區(qū)域，分別是Trust、DMZ和Untrust。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（3）安全區(qū)域、受信任程度與安全級別（如圖所示）

不同的網(wǎng)絡(luò)受信任的程度不同，在防火墻上用安全區(qū)域來表示網(wǎng)絡(luò)后，怎么來判斷一個安全區(qū)域的受信任程度呢?在華為防火墻上，每個安全區(qū)域都有一個唯一的安全級別，用1～100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。對于默認(rèn)的安全區(qū)域，它們的安全級別是固定的：Local區(qū)域的安全級別是100，Trust區(qū)域的安全級別是85，DMZ區(qū)域的安全級別是50，Untrust區(qū)域的安全級別是5。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（4）安全域間、安全策略與報文流動的方向：

“安全域間”是兩個安全區(qū)域之間的唯一“道路”；

“安全策略”即在“道路”上設(shè)立的“安全關(guān)卡”。

任意兩個安全區(qū)域都構(gòu)成一個安全域間（Interzone），并具有單獨的安全域間視圖，大部分的安全策略都需要在安全域間視圖下配置。安全域間這個概念用來描述流量的傳輸通道。它是兩個“區(qū)域”之間的唯一“道路”，如果希望對經(jīng)過這條通道的流量進行控制，就必須在通道上設(shè)立“關(guān)卡”，也就是安全策略。報文在兩個安全區(qū)域之間流動時，我們規(guī)定：報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向（Inbound），報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向（Outbound）。報文在兩個方向上流動時，將會觸發(fā)不同的安全檢查。圖中標(biāo)明了Local區(qū)域、Trust區(qū)域、DMZ區(qū)域和Untrust區(qū)域間的方向。通常情況下，通信雙方一定會交互報文，即安全域間的兩個方向上都有報文的傳輸。而判斷一條流量的方向應(yīng)以發(fā)起該條流量的第一個報文為準(zhǔn)。通過設(shè)置安全區(qū)域，防火墻上的各個安全區(qū)域之間有了等級明確的域間關(guān)系。不同的安全區(qū)域代表不同的網(wǎng)絡(luò)，防火墻成為連接各個網(wǎng)絡(luò)的節(jié)點。以此為基礎(chǔ)，防火墻就可以對各個網(wǎng)絡(luò)之間流動的報文實施管控。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.2項目設(shè)計1.區(qū)域介紹

防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”。

為了在防火墻上區(qū)分不同的網(wǎng)絡(luò)，我們在防火墻上引入了一個重要的概念：安全區(qū)域（SecurityZone），簡稱為區(qū)域（Zone）。安全區(qū)域是一個或多個接口的集合，是防火墻區(qū)別于路由器的主要特性。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”，一般來說，當(dāng)報文在不同的安全區(qū)域之間流動時，才會受到控制。我們都知道，防火墻通過接口來連接網(wǎng)絡(luò)，將接口劃分到安全區(qū)域后，通過接口就把安全區(qū)域和網(wǎng)絡(luò)關(guān)聯(lián)起來。通常說某個安全區(qū)域，就可以表示該安全區(qū)域中接口所連接的網(wǎng)絡(luò)。接口、網(wǎng)絡(luò)和安全區(qū)域的關(guān)系如圖所示。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

華為防火墻產(chǎn)品上默認(rèn)已經(jīng)提供了三個安全區(qū)域，分別是Trust、DMZ和Untrust：Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)。在網(wǎng)絡(luò)數(shù)量較少、環(huán)境簡單的場合中，使用默認(rèn)提供的安全區(qū)域就可以滿足劃分網(wǎng)絡(luò)的需求。在網(wǎng)絡(luò)數(shù)量較多的場合，還可以根據(jù)需要創(chuàng)建新的安全區(qū)域。如圖5-18所示，假設(shè)接口1和接口2連接的是內(nèi)部用戶，那我們就把這兩個接口劃分到Trust區(qū)域中；接口3連接內(nèi)部服務(wù)器，將它劃分到DMZ區(qū)域；接口4連接Internet，將它劃分到Untrust區(qū)域。當(dāng)內(nèi)部網(wǎng)絡(luò)中的用戶訪問Internet時，報文在防火墻上的路線是從Trust區(qū)域到Untrust區(qū)域；當(dāng)Internet上的用戶訪問內(nèi)部服務(wù)器時，報文在防火墻上的路線是從Untrust區(qū)域到DMZ區(qū)域。DMZ（DemilitarizedZone）起源于軍方，是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種部分管制的區(qū)域。防火墻引用了這一術(shù)語，指代一個與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分離的安全區(qū)域。除了在不同網(wǎng)絡(luò)之間流動的報文之外，還存在從某個網(wǎng)絡(luò)到達防火墻本身的報文（例如我們登錄到防火墻上進行配置），以及從防火墻本身發(fā)出的報文，如何在防火墻上標(biāo)識這類報文的路線呢?

5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.私網(wǎng)用戶訪問Internet場景

NAT（NetworkAddressTranslation）是一種地址轉(zhuǎn)換技術(shù)，可以將IPv4報文頭中的地址轉(zhuǎn)換為另一個地址。通常情況下，利用NAT技術(shù)將IPv4報文頭中的私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，可以實現(xiàn)位于私網(wǎng)的多個用戶使用少量的公網(wǎng)地址同時訪問Internet。因此，NAT技術(shù)常用來解決隨著Internet規(guī)模的日益擴大而帶來的IPv4公網(wǎng)地址短缺的問題。在學(xué)校、公司中經(jīng)常會有多個用戶共享少量公網(wǎng)地址訪問Internet的需求，通常情況下可以使用源NAT技術(shù)來實現(xiàn)。源NAT技術(shù)只對報文的源地址進行轉(zhuǎn)換。通過源NAT策略對IPv4報文頭中的源地址進行轉(zhuǎn)換，可以實現(xiàn)私網(wǎng)用戶通過公網(wǎng)IP地址訪問Internet的目的。如圖所示，F(xiàn)W部署在網(wǎng)絡(luò)邊界處，通過部署源NAT策略，可以將私有網(wǎng)絡(luò)用戶訪問Internet的報文的源地址轉(zhuǎn)換為公網(wǎng)地址，從而實現(xiàn)私網(wǎng)用戶接入Internet的目的。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（1）NATNo-PAT

NATNo-PAT也可以稱為“一對一地址轉(zhuǎn)換”，只對報文的地址進行轉(zhuǎn)換，不轉(zhuǎn)換端口。

NATNo-PAT方式通過配置NAT地址池來實現(xiàn)，NAT地址池中可以包含多個公網(wǎng)地址。轉(zhuǎn)換時只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對一的轉(zhuǎn)換。配置NATNo-PAT后，設(shè)備會為有實際流量的數(shù)據(jù)流建立Server-map表，用于存放私網(wǎng)IP地址與公網(wǎng)IP地址的映射關(guān)系。設(shè)備根據(jù)這種映射關(guān)系對報文的地址進行轉(zhuǎn)換，然后進行轉(zhuǎn)發(fā)。如圖5-20所示，當(dāng)Host訪問WebServer時，F(xiàn)W的處理過程如下：FW收到Host發(fā)送的報文后，根據(jù)目的IP地址判斷報文需要在Trust區(qū)域和Untrust區(qū)域之間流動，通過安全策略檢查后繼而查找NAT策略，發(fā)現(xiàn)需要對報文進行地址轉(zhuǎn)換。FW從NAT地址池中選擇一個空閑的公網(wǎng)IP地址，替換報文的源IP地址，并建立Server-map表和會話表，然后將報文發(fā)送至Internet。FW收到WebServer響應(yīng)Host的報文后，通過查找會話表匹配到上一步驟中建立的表項，將報文的目的地址替換為Host的IP地址，然后將報文發(fā)送至Intranet。此方式下，公網(wǎng)地址和私網(wǎng)地址屬于一對一轉(zhuǎn)換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機訪問外網(wǎng)時不會進行NAT轉(zhuǎn)換，直到地址池中有空閑地址時才會進行NAT轉(zhuǎn)換。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.拓?fù)?，如圖所示5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程業(yè)務(wù)需求Trust區(qū)：PC1通過DH