【应用场景】
通过配置向导创建IPsec隧道策略,便捷完成IPsec VPN功能的部署。
IPsec VPN支持以下两种部署场景:
l 点到点:在两个固定站点(如出口网关)之间建立IPsec隧道,使两个站点以及站点所连接的私网之间可以安全地互访。该场景下要求通信对端拥有固定的IP地址或域名,IPsec隧道协商可由本端主动发起。
l 点到多点:在中心站点与多个分支站点之间同时建立多条IPsec隧道,实现站点以及站点所连接私网的互联。该场景下不要求对端拥有固定地址,但IPsec隧道协商只能由对端主动发起。
【前置条件】
配置IPsec VPN前,请先完成以下工作:
l 点到点IPsec VPN场景下,提前获取对端设备的IP地址或域名,以及内网中需要访问的地址范围。
l 确保需要建立IPsec隧道的两端设备之间路由可达。
l 若隧道对端网络为域名格式,需要为防火墙配置可用的DNS服务器,以实现域名解析。
l 与对端设备的管理员共同协商确定IPsec隧道使用的安全参数以及预共享密钥口令。
注意
● IPsec隧道的建立需要通信双方的共同协商,IPsec隧道两端的设备均需部署IPsec VPN功能。
● IPsec隧道两端设备上配置的IKE参数、IPsec参数(安全协议、验证算法、加密算法、报文封装模式等)应相匹配,否则隧道无法协商成功。
【配置步骤】
(1) 点击[网络]>>[IPsec VPN]>>[配置向导]菜单项。
(2) 跟随配置向导,首先配置IPsec隧道的基本信息。
配置项 |
说明 |
配置方法 |
隧道接口 |
为IPsec隧道创建并关联一个隧道接口,设备会对路由到该隧道接口并匹配感兴趣流的数据流进行IPsec处理。 接口名称默认为“vti+接口编号”;通过配置向导完成IPsec VPN配置后,可在[隧道接口]页面查看到自动创建的隧道接口信息。 |
输入接口编号,取值范围为1~1000。 [示例] vti2 |
隧道名称 |
IPsec隧道策略的名称 |
不能包含以下字符:~!#%^&*+\|{};:",/<>? [示例] ipsec_1 |
部署场景 |
根据部署场景选择IPsec隧道的类型: ● 点到点:适用于对端拥有固定IP地址的场景,如企业分支机构的IPsec VPN部署。 ● 点到多点:适用于对端IP地址不固定或存在多个对端的场景,如企业总部的IPsec VPN部署;隧道协商需要由对端主动发起。 |
设备支持配置1条“点到多点”类型的IPsec VPN隧道,以及多条“点到点”类型的IPsec VPN隧道。 若已存在“点到多点”类型隧道,可在[网络配置]>>[IPsec VPN]>>[自定义隧道]修改配置。 [示例] 点到点 |
(3) 点击<下一步>,配置身份认证相关的配置项。
配置项 |
说明 |
配置方法 |
对端网络 |
对端设备建立隧道所使用的IP地址或域名。 |
● “点到点”场景下需要配置。 ● 输入IP地址或域名后,可点击<ping测试>检测两端设备是否路由可达。 ● 对端网络需要与对端设备配置的“本端地址”相对应。 [示例] 40.0.0.50 |
外出接口 |
与对端建立IPsec隧道使用的的物理接口。受IPsec保护的数据流通过该接口转发给隧道对端。 使用向导方式配置IPsec VPN,则出接口的IP地址将同时作为隧道接口的源地址。 |
选择具备IP地址的路由模式接口。 [示例] Ge0/2 |
认证方式 |
隧道两端的身份认证方式。 默认采用预共享密钥(pre-shared key)认证,即通信双方采用共享的密钥对报文进行Hash计算,若双方的计算结果相同,则认证通过。 |
[示例] 预共享密钥 |
口令 |
预共享密钥认证方式下,用于身份认证的密钥字符串。 |
● 口令长度范围为6~16。 ● 通信双方需要配置相同的身份认证方式(预共享密钥)及认证口令。 [示例] Ruijie123 |
(4) 点击<下一步>,配置需要通过IPsec隧道进行加密传输的数据流。
a 点击<新增>,进入[新增感兴趣流]配置页面。
b 根据隧道两端需要安全互访的网段或主机地址,添加感兴趣流。
配置项 |
说明 |
配置方法 |
代理方式 |
根据隧道两端需要安全互访的地址范围,设置感兴趣流的代理方式: ● 自动:本端不对保护的数据流范围进行限制,根据对端定义的感兴趣流自动识别需要进行加密传输的流量。 ● 子网到子网:对两个子网之间的数据流进行保护。 ● 主机到主机:对两个主机之间的数据流进行保护。 |
点到点IPsec VPN不支持设置感兴趣流的代理方式为“自动”。 [示例] 子网到子网 |
本端网络 |
感兴趣流的源地址,通常为本端内网中需要保护的网段或特定主机。 |
不同代理方式下,填写格式不同: ● 子网到子网:填写IP网段,如192.168.1.0/255.255.255.0或192.168.1.0/24。 ● 主机到主机:填写单个IP地址,如192.168.1.1。 |
对端网络 |
感兴趣流的目的地址,通常为需要访问的对端内网网段或特定主机。 |
不同代理方式下,填写格式不同: ● 子网到子网:填写IP网段,如192.168.1.0/255.255.255.0或192.168.1.0/24。 ● 主机到主机:填写单个IP地址,如192.168.1.1。 |
c 点击<确认>,保存感兴趣流配置。支持配置多条感兴趣流,点击<新增>可继续创建。
(5) 点击<下一步>,对已配置的参数进行确认。页面显示前面步骤中配置的各项参数,点击<修改>可对配置进行变更。
(6) (可选)“高级配置”选项用于设置协商IPsec隧道使用的各项安全参数。
系统提供了默认的IPsec安全参数配置,默认参数适用于大部分IPsec VPN部署场景;如果默认参数无法满足协商要求,可以修改“高级配置”中的参数。
a 点击“高级配置”选项旁的<展开>,展开配置选项。
b 对需要修改的协商参数进行修改。
配置项 |
说明 |
配置方法 |
身份认证参数 |
||
对端身份验证 |
是否对对端设备的身份进行认证 |
点击开关设置是否启用本功能。启用后,需要设置对端设备的身份验证信息。 [示例] 启用 |
本端ID类型 |
本端ID用于标识本端设备的身份,供对端设备认证自身的合法性。支持以下类型: ● IPV4_ADDRESS:采用IPv4地址作为IKE协商过程中使用的本端ID。 ● FQDN:采用FQDN(Fully Qualified Domain Name,完全合格域名)类型的字符串作为IKE协商过程中使用的本端ID。 ● USER_FQDN:采用User FQDN(用户域名)类型的字符串作为IKE协商过程中使用的本端ID。 |
若选择“IPV4_ADDRESS”,则设备将使用本端的IP地址(即外出接口的IP)作为本端ID。 [示例] IPV4_ADDRESS |
本端ID |
标识本端设备身份的字符串,用于身份认证。 |
● 需要与对端设备上设置的“对端ID”参数保持一致。 ● 根据本端ID类型,填写相应格式的字符串: ○ FQDN:本端的域名地址,如aaa.com。 ○ USER_FQDN:本端的用户域名,格式为“用户名@域名”,如julia@aaa.com。 |
对端ID类型 |
对端ID用于认证对端设备的身份,支持以下类型: ● IPV4_ADDRESS:对端采用IPv4地址作为ID进行认证。 ● FQDN:对端采用域名类型的字符串作为ID进行认证。 ● USER_FQDN:对端采用用户域名类型的字符串作为ID进行认证。 |
● 启用“对端身份验证”时需要配置。 ● 对端ID的类型与取值均需要与对端设备上设置的“本端ID”参数保持一致。请向对端管理员获取本参数。 [示例] IPV4_ADDRESS |
对端ID |
标识对端设备身份的字符串,用于认证对端设备的合法性。 |
● 启用“对端身份验证”时需要配置。 ● 对端ID取值需要与对端设备上设置的“本端ID”参数保持一致。请向对端管理员获取本参数。 ● 根据对端ID类型,填写相应格式的字符串: ○ IPV4_ADDRESS:对端的IP地址,如10.1.1.1 ○ FQDN:对端的域名地址,如bbb.com。 ○ USER_FQDN:对端的用户域名,格式为“用户名@域名”,如susan@bbb.com。 |
DPD DPD(Dead Peer Detection,对等体存活检测)用于检测IPsec隧道对端设备的状态;设备会主动发送DPD报文检测对端是否存活,以便及时拆除异常的隧道。 |
||
DPD类型 |
DPD支持两种检测模式: ● 空闲模式:若本端发送报文后未收到对端的响应报文,则主动向对端发送DPD报文。 ● 定期模式:按照配置的DPD探测周期,定时发送DPD报文。 |
“点到点”场景下支持配置。 [示例] 空闲模式 |
DPD探测周期 |
定期模式下,两次DPD探测之间的时间间隔。单位为秒。 |
默认为30秒。 [示例] 30 |
DPD重试间隔 |
重新发送DPD探测报文的时间间隔。 本端发送DPD请求报文后,若在重试间隔时间内未收到响应报文,将重传DPD请求报文;若重传3次后,仍未收到对端的响应,则认为对端已经失效,自动拆除IPsec隧道。 |
默认为5秒。 [示例] 3 |
反向路由注入 开启反向路由注入功能后,设备会将把通往对端保护网段的路由自动添加到路由表中,管理员无需再手工配置静态路由。建议在与多个分支对接的总部网关上开启本功能。 |
||
反向路由注入 |
设置是否启用反向路由注入功能。 |
[示例] 启用 |
下一跳地址 |
指定路由的下一跳地址。 |
● 可选配置。 ● 路由出接口默认为IPsec隧道关联的虚拟隧道接口。 [示例] 192.168.1.1 |
优先级 |
设置路由的优先级。 |
取值范围为1~255,默认为5。 [示例] 5 |
IKE参数 VPN两端设备应至少拥有一组相同的IKE参数,才能成功建立起IKE SA。 以下IKE参数中,除“SA生存周期”之外,所有参数必须在对端设备的IPsec VPN配置中存在相同选项。 |
||
协商模式 |
设置IKE第一阶段的协商模式: ● 主模式:对身份信息进行加密保护,安全性更高。 ● 野蛮模式:协商速度更快,但不对身份信息进行加密保护。 |
[示例] IKEv1主模式 |
加密算法 |
设置IKE协商建立IPsec SA使用的加密算法: ● DES:采用密钥长度为56比特的DES加密算法。 ● 3DES:采用密钥长度为168比特(3*56比特)的3DES加密算法。 ● AES-128:采用密钥长度为128比特的AES加密算法。 ● AES-192:采用密钥长度为192比特的AES加密算法。 ● AES-256:采用密钥长度为256比特的AES加密算法。 按照安全性从高到低,依次为:AES-256 > AES-192 > AES128 > 3DES > DES |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用AES-128加密算法。 [示例] AES-192 |
验证算法 |
设置IKE协商使用的验证算法: ● MD5:采用MD5算法,可产生128比特的消息摘要。 ● SHA:采用SHA1算法,可产生160比特的消息摘要。 ● SHA-256:采用SHA2-256算法,可产生256比特的消息摘要。 ● SHA-384:采用SHA2-384算法,可产生384比特的消息摘要。 ● SHA-512:采用SHA2-512算法,可产生512比特的消息摘要。 消息摘要越长,安全性越高,同时计算速度也会越慢。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用SHA算法。 [示例] MD5 |
DH组 |
设置IKE协商使用的DH(Diffie-Hellman)组: ● GROUP1:采用768位的DH组 ● GROUP2:采用1024位的DH组 ● GROUP5:采用1536位的DH组 ● GROUP14:采用2048位的DH组 ● GROUP15:采用3072位的DH组 ● GROUP16:采用4096位的DH组 DH组确定了密钥交换过程中使用的密钥强度;组编号越大,安全性越高,同时计算密钥所耗费的时间也会越长。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用GROUP5。 [示例] GROUP14 |
SA生存周期 |
设置IKE SA的生存周期。 当IKE SA存活时间超过该值时,设备会将使用新协商建立的SA取代旧SA。 IKE SA实际的生存周期以两端协商结果为准。 |
● 取值范围为120~604800,单位为秒 ● 默认为86400秒(1天) [示例] 86400 |
IPsec参数 VPN两端设备应至少拥有一组相同的IPsec参数,才能成功建立起IPsec SA。 以下IPsec参数中,除“SA生存周期”之外,所有参数必须在对端设备的IPsec VPN配置中存在相同选项。 |
||
协议 |
设置IPsec使用的安全协议,当前仅支持ESP(Encapsulating Security Payload,报文安全封装)协议。 ESP协议支持对报文进行加密和认证。 |
[示例] ESP |
封装模式 |
IPsec的封装模式,当前仅支持配置为Tunnel(隧道模式)。 |
[示例] Tunnel |
加密算法 |
设置IPsec隧道使用的加密算法: ● DES:采用密钥长度为56比特的DES加密算法。 ● 3DES:采用密钥长度为168比特(3*56比特)的3DES加密算法。 ● AES-128:采用密钥长度为128比特的AES加密算法。 ● AES-192:采用密钥长度为192比特的AES加密算法。 ● AES-256:采用密钥长度为256比特的AES加密算法。 ● NULL:不对数据进行加密。 按照安全性从高到低,依次为:AES-256 > AES-192 > AES128 > 3DES > DES |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用AES-128加密算法。 [示例] AES-192 |
验证算法 |
设置IPsec隧道使用的认证算法: ● MD5:采用MD5算法,可产生128比特的消息摘要。 ● SHA:采用SHA1算法,可产生160比特的消息摘要。 ● SHA-256:采用SHA2-256算法,可产生256比特的消息摘要。 ● SHA-384:采用SHA2-384算法,可产生384比特的消息摘要。 ● SHA-512:采用SHA2-512算法,可产生512比特的消息摘要。 消息摘要越长,安全性越高,同时计算速度也会越慢。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用SHA算法。 [示例] MD5 |
完美前向保密 |
设置是否开启完美前向保密功能。 完美前向保密(Perfect Forward Secrecy,简称PFS)通过执行一次额外的DH交换,确保即使IKE SA使用的密钥被破解,IPsec SA使用的密钥的安全性也不会受到影响。 |
[示例] 启用 |
DH组 |
设置PFS特性使用的DH组: ● GROUP1:采用768位的DH组 ● GROUP2:采用1024位的DH组 ● GROUP5:采用1536位的DH组 ● GROUP14:采用2048位的DH组 ● GROUP15:采用3072位的DH组 ● GROUP16:采用4096位的DH组 组编号越大,安全性越高,同时计算密钥所耗费的时间也会越长。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 开启完美前向保密功能后,默认使用GROUP5。 [示例] GROUP14 |
SA生存周期 |
设置IPsec SA的生存周期。 当IPsec SA存活时间超过该值时,设备会将使用新协商建立的SA取代旧SA。 IPsec SA实际的生存周期以两端协商结果为准。 |
● 取值范围为60~604800,单位为秒 ● 默认为3600秒(1小时) [示例] 3000 |
隧道MTU |
设置IPsec隧道单次可传输的数据包的最大字节数。 |
● 默认为1400。 ● 隧道MTU应小于出接口的MTU。 [示例] 1480 |
(7) 完成以上配置后,点击<完成>,保存配置。
【后续处理】
l 通过向导方式完成IPsec隧道参数配置后,设备将同步新增以下配置:
配置类型 |
详细配置 |
IPv4地址对象 |
新增IPv4地址对象,标识感兴趣流中设置的本端网络与对端网络(即VPN隧道两端需要互访的子网或主机地址) |
安全区域 |
新增安全域: ● 名称:同“隧道名称” ● 包含接口:IPsec隧道接口 |
隧道接口 |
新增IPsec隧道接口: ● 所属安全区域:“隧道名称”同名安全域 ● 隧道源地址:外出接口的IP地址 ● 隧道目的地址:对端建立IPsec隧道使用的IP地址,同认证配置中的“对端网络”地址 |
静态路由 |
新增通往对端内网的静态路由: ● 目的网段/掩码:感兴趣流中的对端网络地址 ● 出接口:IPsec隧道接口 ● 优先级:5 |
安全策略 |
新增安全策略,放行隧道两端内网的通信流量(包含入方向和出方向): ● 入方向(in)的安全策略: ○ 源安全区域:“隧道名称”同名安全域(包含隧道接口) ○ 源地址:感兴趣流中的对端网络地址 ○ 目的安全区域:any ○ 目的地址:感兴趣流中的本端网络地址 ○ 动作:允许 ● 出方向(out)的安全策略: ○ 源安全区域:any ○ 源地址:感兴趣流中的本端网络地址 ○ 目的安全区域:“隧道名称”同名安全域(包含隧道接口) ○ 目的地址:感兴趣流中的对端网络地址 ○ 动作:允许 |
本机防护策略 |
放行送往本机的IKE、ESP协议流量,保证IPsec隧道的正常工作。 ● 源安全区域:any ● 源地址:any ● 目的地址:any ● 服务:IKE, ESP ● 动作:允许 |
l 完成IPsec隧道策略配置后,可以在[自定义隧道]页面查看到对应配置。
○ 点击 
开关可设置是否启用隧道策略。
○ 点击<查看详细配置>,可查看IPsec隧道的详细协商参数配置。
○ 点击<编辑>,可对隧道配置进行修改。
○ 点击<删除>,可删除配置的IPsec隧道策略。