【应用场景】
通过配置向导创建IPsec隧道策略,便捷完成IPsec VPN功能的部署。
IPsec VPN支持以下两种部署场景:
l 点到点(分支):在两个固定站点(如出口网关)之间建立IPsec隧道,使两个站点以及站点所连接的私网之间可以安全地互访。该场景下要求通信对端拥有固定的IP地址或域名,两端都可以主动发起隧道协商。
l 点到多点(总部):在中心站点与多个分支站点之间同时建立多条IPsec隧道,实现站点以及站点所连接私网的互联。该场景下不要求对端拥有固定地址,但IPsec隧道协商只能由分支站点主动发起。
【前置条件】
配置IPsec VPN前,请先完成以下工作:
l 点到点IPsec VPN场景下,提前获取对端设备的IP地址或域名,以及内网中需要访问的地址范围。
l 确保需要建立IPsec隧道的两端设备之间路由可达。
l 若隧道对端网络为域名格式,需要为防火墙配置可用的DNS服务器,以实现域名解析。
l 与对端设备的管理员共同协商确定IPsec隧道使用的安全参数以及预共享密钥口令。
注意
● IPsec隧道的建立需要通信双方的共同协商,IPsec隧道两端的设备均需部署IPsec VPN功能。
● IPsec隧道两端设备上配置的IKE参数、IPsec参数(安全协议、验证算法、加密算法、报文封装模式等)应相一致,否则隧道无法协商成功。
【注意事项】
l 支持两个站点之间配置主备两条隧道,且感兴趣流可以相同。例如:站点A与站点B之间配置了主备两条隧道时,这两条隧道的感兴趣流可以相同。
l 不支持为不同站点配置相同的感兴趣流。例如:站点A分别与站点B、站点C建立隧道时,两条隧道上不能配置相同的感兴趣流。因为设备根据感兴趣流来创建路由,若站点A到站点B的感兴趣流与站点A到站点C的感兴趣流相同,会出现去往同一个目的存在两条路由,设备根据路由优先级转发时,其中一条隧道的报文会被转发到另一条隧道上,导致业务异常。
【配置步骤】
(1) 点击[网络]>>[VPN管理]>>[IPsec VPN]>>[配置向导]菜单项,进入配置准备页面。
设备会自动进行检测当前配置是否满足建立IPsec VPN隧道的条件,并显示检测结果。
点击“下载配置信息模板”可以下载配置信息模板到本地进行查看和修改。
(2) 跟随配置向导,首先配置IPsec隧道的基本信息。
配置项 |
说明 |
配置方法 |
隧道接口 |
为IPsec隧道创建并关联一个隧道接口,设备会对路由到该隧道接口并匹配感兴趣流的数据流进行IPsec处理。 接口名称默认为“vti+接口编号”;通过配置向导完成IPsec VPN配置后,可在[接口]>>[隧道接口]>>[VTI接口]页面查看到自动创建的隧道接口信息。 |
输入接口编号。 [示例] vti2 |
隧道名称 |
IPsec隧道策略的名称 |
[示例] ipsec_1 |
部署场景 |
根据部署场景选择IPsec隧道的类型: ● 点到点(分支):适用于对端拥有固定IP地址的场景,如企业分支机构的IPsec VPN部署。 ● 点到多点(总部):适用于对端IP地址不固定或存在多个对端的场景,如企业总部的IPsec VPN部署;隧道协商需要由对端主动发起。 |
[示例] 点到点(分支) |
(3) 点击<下一步>,配置身份认证相关的配置项。
配置项 |
说明 |
配置方法 |
对端网络 |
对端设备建立隧道所使用的IP地址或域名。 |
● “点到点(分支)”场景下需要配置。 ● 输入IP地址或域名后,可点击<连通性检测>检测两端设备是否路由可达。 ● 对端网络需要与对端设备配置的“本端地址”相对应。 [示例1] 40.0.0.50 [示例2] 1234::100 |
本端地址 |
与IKE对端建立IPsec隧道使用的出接口。受IPsec保护的数据流通过该接口转发给隧道对端。 |
● 选择具备IP地址的路由模式接口。 ● 若对端地址为IP地址,则本端地址的IP类型(IPv4或IPv6)需要与对端地址保持一致。 [示例] Ge0/2 |
认证方式 |
隧道两端的身份认证方式。 默认采用预共享密钥(pre-shared key)认证,即通信双方采用共享的密钥对报文进行Hash计算,若双方的计算结果相同,则认证通过。 |
- |
口令 |
预共享密钥认证方式下,用于身份认证的密钥字符串。 |
通信双方需要配置相同的身份认证方式(预共享密钥)及认证口令。 [示例] Ruijie123 |
(4) 点击<下一步>,配置需要通过IPsec隧道进行加密传输的数据流。
a 若为“点到点(分支)”部署场景,点击<新增>,进入感兴趣流配置页面。
说明:若为“点到多点(总部)”部署场景,设备自动识别并生成感兴趣流,用户需要确认是否符合实际组网需求。
b 根据隧道两端需要安全互访的网段或主机地址,添加感兴趣流。
配置项 |
说明 |
配置方法 |
感兴趣流 |
根据隧道两端需要安全互访的地址范围,设置感兴趣流的代理方式: ● 自动:本端不对保护的数据流范围进行限制,根据对端定义的感兴趣流自动识别需要进行加密传输的流量。 ● 子网到子网:对两个子网之间的数据流进行保护。需手动配置IPsec要保护的数据流的源地址和目的地址。 |
● 点到点(分支)部署模式下感兴趣流均为“子网到子网”类型,不支持配置“自动”类型的感兴趣流。 ● 通向不同站点的IPsec隧道的感兴趣流不能相同,否则将导致VPN路由冲突;通向相同站点的主备IPsec隧道的感兴趣流可以相同。 [示例] 子网到子网 |
本端网络 |
感兴趣流的源地址,通常为本端内网中需要保护的网段或特定主机。 |
不同代理方式下,填写格式不同: ● 自动:无需设置。 ● 子网到子网:填写IP网段或主机地址,如 192.168.1.0/255.255.255.0 192.168.1.0/24 192.168.1.1 1234::100/128 1234::100 |
对端网络 |
感兴趣流的目的地址,通常为需要访问的对端内网网段或特定主机。 |
不同代理方式下,填写格式不同: ● 自动:无需设置。 ● 子网到子网:填写IP网段或主机地址,如 192.168.1.0/255.255.255.0 192.168.1.0/24 192.168.1.1 1234::100/128 1234::100 |
c 点击<确认>,保存感兴趣流配置。
“点到点(分支)”部署模式下,支持配置多条“子网到子网”类型的感兴趣流,点击<新增>可继续创建。
“点到多点(总部)”部署模式下,若存在“自动”类型的感兴趣流,则其他感兴趣流实际不会生效。
(5) 点击<下一步>,对已配置的参数进行确认。页面显示前面步骤中配置的各项参数,点击<修改>可对配置进行变更。
(6) (可选)“高级配置”选项用于设置协商IPsec隧道使用的各项安全参数。
系统提供了默认的IPsec安全参数配置,默认参数适用于大部分IPsec VPN部署场景;如果默认参数无法满足协商要求,可以修改“高级配置”中的参数。
a 点击“高级配置”选项旁的<展开>,展开配置选项。
b 对需要修改的协商参数进行修改。
配置项 |
说明 |
配置方法 |
身份认证参数 |
||
密钥类型 |
● 单密钥:不同分支节点接入中心设备时使用相同的预共享密钥。 ● 多密钥:允许设备作为中心时,每个分支节点接入进来可以使用不同的预共享密钥,通过ID匹配预共享密钥。 |
点到多点场景下中心设备需进行密钥类型设置。 [示例] 单密钥 |
本端ID类型 |
本端ID用于标识本端设备的身份,供对端设备认证自身的合法性。支持以下类型: ● IPV4_ADDRESS:采用IPv4地址作为IKE协商过程中使用的本端ID。 ● IPV6_ADDRESS:采用IPv6地址作为IKE协商过程中使用的本端ID。 ● FQDN:采用FQDN(Fully Qualified Domain Name,完全合格域名)类型的字符串作为IKE协商过程中使用的本端ID。 ● USER_FQDN:采用User FQDN(用户域名)类型的字符串作为IKE协商过程中使用的本端ID。 ● KEY_ID:采用指定的密钥标识符作为IKE协商过程中使用的本端ID。 |
根据本端地址自动填充。默认使用本端IPv4地址或本端IPv6地址作为本端ID。 [示例] IPV4_ADDRESS |
本端ID |
标识本端设备身份的字符串,用于身份认证。 |
● 需要与对端设备上设置的“对端ID”参数保持一致。 ● 根据本端ID类型,填写相应格式的字符串: ○ FQDN:本端的域名地址,如aaa.com。 ○ USER_FQDN:本端的用户域名,格式为“用户名@域名”,如julia@aaa.com。 ○ IPV4_ADDRESS:本端的IPv4地址,如6.6.6.2。 ○ IPV6_ADDRESS:本端的IPv6地址,如2002::2。 ○ KEY_ID:可以标识本端身份的特定字符串,例如厂商的私有标识。 |
验证对端ID |
是否对对端设备的身份进行认证。 |
点击开关设置是否启用本功能。启用后,需要设置对端设备的身份验证信息。 [示例] 启用 |
对端ID类型 |
对端ID用于认证对端设备的身份,支持以下类型: ● IPV4_ADDRESS:对端采用IPv4地址作为ID进行认证。 ● IPV6_ADDRESS:对端采用IPv6地址作为ID进行认证。 ● FQDN:对端采用域名类型的字符串作为ID进行认证。 ● USER_FQDN:对端采用用户域名类型的字符串作为ID进行认证。 ● KEY_ID:对端采用指定的密钥标识符作为ID进行认证。 |
● 启用“对端身份验证”时需要配置。 ● 对端ID的类型与取值均需要与对端设备上设置的“本端ID”参数保持一致。请向对端管理员获取本参数。 [示例] IPV4_ADDRESS |
对端ID |
标识对端设备身份的字符串,用于认证对端设备的合法性。 |
● 启用“对端身份验证”时需要配置。 ● 对端ID取值需要与对端设备上设置的“本端ID”参数保持一致。请向对端管理员获取本参数。 ● 根据对端ID类型,填写相应格式的字符串: ○ IPV4_ADDRESS:对端的IPv4地址,如10.1.1.1 ○ IPV6_ADDRESS:对端的IPv6地址,如3002::2。 ○ FQDN:对端的域名地址,如bbb.com。 ○ USER_FQDN:对端的用户域名,格式为“用户名@域名”,如susan@bbb.com。 ○ KEY_ID:可以标识对端身份的特定字符串,例如厂商的私有标识。 |
预共享密钥 |
单密钥配置时,对端ID验证功能校验对端的ID是否在配置的校验ID列表中,不存在则协商失败。多密钥配置在此基础上,增加了预共享密钥配置,需要使用预共享密钥时,通过ID进行匹配查询配置的预共享密钥。 |
● 点到多点(总部)部署模式下设置密钥类型为“多密钥”时支持配置。 ● 在IKEv1主模式下,仅支持通过IPv4地址查找密钥。 [示例] Test123 |
DPD DPD(Dead Peer Detection,对等体存活检测)用于检测IPsec隧道对端设备的状态;设备会主动发送DPD报文检测对端是否存活,以便及时拆除异常的隧道。 |
||
DPD类型 |
DPD支持两种检测模式: ● 空闲模式:若本端发送报文后未收到对端的响应报文,则主动向对端发送DPD报文。 ● 定期模式:按照配置的DPD探测周期,定时发送DPD报文。 |
“点到点(分支)”场景下支持配置。 [示例] 空闲模式 |
DPD探测周期 |
定期模式下,两次DPD探测之间的时间间隔。单位为秒。 |
默认为30秒。 [示例] 30 |
DPD重试间隔 |
重新发送DPD探测报文的时间间隔。 本端发送DPD请求报文后,若在重试间隔时间内未收到响应报文,将重传DPD请求报文;若重传3次后,仍未收到对端的响应,则认为对端已经失效,自动拆除IPsec隧道。 |
默认为5秒。 [示例] 3 |
反向路由注入 开启反向路由注入功能后,设备会将把通往对端保护网段的路由自动添加到路由表中,管理员无需再手工配置静态路由。建议在与多个分支对接的总部网关上开启本功能。 |
||
反向路由注入 |
设置是否启用反向路由注入功能。 |
[示例] 启用 |
优先级 |
设置路由的优先级。值越大,优先级越低。 |
[示例] 5 |
IKE参数 VPN两端设备应至少拥有一组相同的IKE参数,才能成功建立起IKE SA。 以下IKE参数中,除“SA生存周期”之外,所有参数必须在对端设备的IPsec VPN配置中存在相同选项。 |
||
IKE类型 |
IKE协商类型。 |
同时选择时,若防火墙作为响应方可以响应IKEv1或IKEv2的协商;若作为发起方默认发起IKEv2的协商。 [示例] IKEv1 |
协商模式 |
设置IKE第一阶段的协商模式: ● 自动:在响应协商时可接受主模式和野蛮模式,在发起协商时使用主模式。 ● IKEv1主模式:对身份信息进行加密保护,安全性更高。 ● IKEv1野蛮模式:协商速度更快,但不对身份信息进行加密保护。 |
[示例] IKEv1主模式 |
伪随机算法 |
设置IKE协商使用的PRF算法: ● MD5:采用MD5算法,可产生128比特的密钥。 ● SHA:采用SHA1算法,可产生160比特的密钥。 ● SHA-256:采用SHA2-256算法,可产生256比特的密钥。 ● SHA-384:采用SHA2-384算法,可产生384比特的密钥。 ● SHA-512:采用SHA2-512算法,可产生512比特的密钥。 IKEv2在交换密钥前使用伪随机函数对密钥进行加密,增强了密钥交换的安全性。按照安全性从高到低,依次为:SHA-512 > SHA-384 > SHA-256 > SHA > MD5。 |
● IKEv2协商类型下需要配置该项。 ● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用SHA-256加密算法。 [示例] MD5 |
加密算法 |
设置IKE协商建立IPsec SA使用的加密算法: ● DES:采用密钥长度为56比特的DES加密算法。 ● 3DES:采用密钥长度为168比特(3*56比特)的3DES加密算法。 ● AES-128:采用密钥长度为128比特的AES加密算法。 ● AES-192:采用密钥长度为192比特的AES加密算法。 ● AES-256:采用密钥长度为256比特的AES加密算法。 按照安全性从高到低,依次为:AES-256 > AES-192 > AES128 > 3DES > DES。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用AES-128加密算法。 [示例] AES-192 |
验证算法 |
设置IKE协商使用的验证算法: ● MD5:采用MD5算法,可产生128比特的消息摘要。 ● SHA:采用SHA1算法,可产生160比特的消息摘要。 ● SHA-256:采用SHA2-256算法,可产生256比特的消息摘要。 ● SHA-384:采用SHA2-384算法,可产生384比特的消息摘要。 ● SHA-512:采用SHA2-512算法,可产生512比特的消息摘要。 消息摘要越长,安全性越高,同时计算速度也会越慢。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用SHA算法。 [示例] MD5 |
DH组 |
设置IKE协商使用的DH(Diffie-Hellman)组: ● GROUP1:采用768位的DH组 ● GROUP2:采用1024位的DH组 ● GROUP5:采用1536位的DH组 ● GROUP14:采用2048位的DH组 ● GROUP15:采用3072位的DH组 ● GROUP16:采用4096位的DH组 DH组确定了密钥交换过程中使用的密钥强度;组编号越大,安全性越高,同时计算密钥所耗费的时间也会越长。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用GROUP5。 [示例] GROUP14 |
SA生存周期 |
设置IKE SA的生存周期。 当IKE SA存活时间超过该值时,设备会将使用新协商建立的SA取代旧SA。 IKE SA实际的生存周期以两端协商结果为准。 |
● 取值范围为120~604800,单位为秒 ● 默认为86400秒(1天) [示例] 86400 |
IPsec参数 VPN两端设备应至少拥有一组相同的IPsec参数,才能成功建立起IPsec SA。 以下IPsec参数中,除“SA生存周期”之外,所有参数必须在对端设备的IPsec VPN配置中存在相同选项。 |
||
协议 |
设置IPsec使用的安全协议,当前仅支持ESP(Encapsulating Security Payload,报文安全封装)协议。 ESP协议支持对报文进行加密和认证。 |
[示例] ESP |
封装模式 |
IPsec的封装模式,当前仅支持配置为Tunnel(隧道模式)。 |
[示例] Tunnel |
加密算法 |
设置IPsec隧道使用的加密算法: ● DES:采用密钥长度为56比特的DES加密算法。 ● 3DES:采用密钥长度为168比特(3*56比特)的3DES加密算法。 ● AES-128:采用密钥长度为128比特的AES加密算法。 ● AES-192:采用密钥长度为192比特的AES加密算法。 ● AES-256:采用密钥长度为256比特的AES加密算法。 ● NULL:不对数据进行加密。 按照安全性从高到低,依次为:AES-256 > AES-192 > AES128 > 3DES > DES |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用AES-128加密算法。 [示例] AES-192 |
验证算法 |
设置IPsec隧道使用的认证算法: ● MD5:采用MD5算法,可产生128比特的消息摘要。 ● SHA:采用SHA1算法,可产生160比特的消息摘要。 ● SHA-256:采用SHA2-256算法,可产生256比特的消息摘要。 ● SHA-384:采用SHA2-384算法,可产生384比特的消息摘要。 ● SHA-512:采用SHA2-512算法,可产生512比特的消息摘要。 消息摘要越长,安全性越高,同时计算速度也会越慢。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用SHA算法。 [示例] MD5 |
完美前向保密 |
设置是否开启完美前向保密功能。 完美前向保密(Perfect Forward Secrecy,简称PFS)通过执行一次额外的DH交换,确保即使IKE SA使用的密钥被破解,IPsec SA使用的密钥的安全性也不会受到影响。 |
[示例] 启用 |
DH组 |
设置PFS特性使用的DH组: ● GROUP1:采用768位的DH组 ● GROUP2:采用1024位的DH组 ● GROUP5:采用1536位的DH组 ● GROUP14:采用2048位的DH组 ● GROUP15:采用3072位的DH组 ● GROUP16:采用4096位的DH组 组编号越大,安全性越高,同时计算密钥所耗费的时间也会越长。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 开启完美前向保密功能后,默认使用GROUP5。 [示例] GROUP14 |
SA生存周期 |
设置IPsec SA的生存周期。 当IPsec SA存活时间超过该值时,设备会将使用新协商建立的SA取代旧SA。 IPsec SA实际的生存周期以两端协商结果为准。 |
● 取值范围为60~604800,单位为秒 ● 默认为3600秒(1小时) [示例] 3000 |
隧道MTU |
设置IPsec隧道单次可传输的数据包的最大字节数。 |
● 默认为1400。 ● 隧道MTU应小于出接口的MTU。 [示例] 1480 |
(7) 完成以上配置后,点击<完成>,保存配置。
【后续处理】
l 若出现隧道不通,可通过IPsec VPN诊断检测故障原因,具体请参见 IPsec VPN故障诊断。
l 通过向导方式完成IPsec隧道参数配置后,设备将同步新增以下配置:
配置类型 |
详细配置 |
地址对象 |
新增地址对象,标识感兴趣流中设置的本端网络与对端网络(即VPN隧道两端需要互访的子网或主机地址) |
安全区域 |
新增安全域: ● 名称:同“隧道名称” ● 包含接口:IPsec隧道接口 |
隧道接口 |
新增IPsec隧道接口: ● 所属安全区域:“隧道名称”同名安全域 |
| 静态路由 | 针对点到点IPsec隧道,当感兴趣流中对端网络为具体IP网段,新增通往对端内网的静态路由: ● 目的网段/掩码:感兴趣流中的对端网络地址 ● 出接口:IPsec隧道接口 ● 优先级:5 |
| 智能路由 | 针对点到点IPsec隧道,当感兴趣流中对端网络为“0.0.0.0/0”或“::/0”时,新增通往对端内网的智能路由: ● 策略名称:以“IPsec_"开头 ● 源地址:感兴趣流中的本端网络地址 ● 目的地址:any ● 出接口:IPsec隧道接口 |
安全策略 |
新增安全策略,放行隧道两端内网的通信流量(包含入方向和出方向): ● 入方向(in)的安全策略: ○ 源安全区域:“隧道名称”同名安全域(包含隧道接口) ○ 源地址:感兴趣流中的对端网络地址 ○ 目的安全区域:any ○ 目的地址:感兴趣流中的本端网络地址 ○ 动作:允许 ● 出方向(out)的安全策略: ○ 源安全区域:any ○ 源地址:感兴趣流中的本端网络地址 ○ 目的安全区域:“隧道名称”同名安全域(包含隧道接口) ○ 目的地址:感兴趣流中的对端网络地址 ○ 动作:允许 |
本机防护策略 |
放行送往本机的IKE、ESP协议流量,保证IPsec隧道的正常工作。 ● 源安全区域:any ● 源地址:any ● 目的地址:any ● 服务:IKE, ESP ● 动作:允许 |
l 完成IPsec隧道策略配置后,可以在[自定义隧道]页面查看到对应配置。
○ 点击 
开关可设置是否启用隧道策略。
○ 点击<查看详细配置>,可查看IPsec隧道的详细协商参数配置。
○ 点击<复制>,可复制当前的隧道参数配置进行修改,创建新的隧道。
○ 点击<编辑>,可对隧道配置进行修改。
○ 点击<删除>,可删除配置的IPsec隧道策略。
l 通过向导创建完隧道后,若想在该隧道里继续新增或者修改感兴趣流,则需要手动添加或者修改感兴趣流的对应路由和安全策略,否则会导致IPsec VPN隧道业务不通。