山石SA2001A VPN防火墙简明配置手册(6)

山石SA2001A操作指导手册

八，IPSec协议介绍

8.1 IPSec协议简介

IPSec 是为实现 VPN 功能而最普遍使用的协议。IPSec 不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（Authentication Header，简称为 AH）、封装安全负载协议（Encapsulating Security Payload，简称为 ESP）、密钥管理协议（Internet Key Exchange，简称为 IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

认证头协议（AH）：IPsec 体系结构中的一种主要协议，它为 IP 数据包提供无连接完整性的保护与数据源认证，并提供保护以避免重播情况。AH 尽可能为 IP 头和上层协议数据提供足够多的认证。

IPsec 封装安全负载（ESP）：IPsec 体系结构中的一种主要协议。ESP 加密需要保护的数据并且在 IPsec ESP 的数据部分进行数据的完整性校验，以此来保证机密性和完整性。ESP提供了与 AH 相同的安全服务并提供了一种保密性（加密）服务，ESP 与 AH 各自提供的认证根本区别在于它们的覆盖范围。

密钥管理协议（IKE）：用于协商 AH 和 ESP 所使用的密码算法，并将算法所需的必备密钥放到恰当位置。

8.2 IPSec协议在SA2001A中的实现

8.2.1 SA2001A中的VPN模式

SA2001A通过\基于策略的 VPN\和\基于路由的 VPN\两种方式把配置好的 VPN 隧道

应用到SA2001A上，实现流量的加密解密安全传输。

基于策略的 VPN：将配置成功的 VPN 隧道名称引用到策略规则中，使符合条件的流 量通过指定的 VPN 隧道进行传输。

基于路由的 VPN：将配置成功的 VPN 隧道与隧道接口绑定；配置静态路由时，将隧

道接口指定为下一跳路由。

8.2.2 SA2001A中VPN的配置模式

SA2001A支持两种配置 IPSec VPN 的方法，分别是手工密钥 VPN和IKE VPN。

信息中心

7/11/2013

26

山石SA2001A操作指导手册 手工密钥 VPN 的配置包括指定 IPSec 协议的操作模式、安全参数索引、协议

类型、加密算法/验证算法和压缩算法等。

8.2.3 手工配置VPN

创建手工密钥 VPN，在全局配置模式下，使用命令“tunnel ipsec name manual”， name 指定所创建的手工密钥 VPN 隧道的名称。具体如下：

表示创建名为“test”的手工密钥VPN。

接下来使用命令“mode”指定IPSec协议的操作模式，如下：

表示指定模式为隧道模式。

然后需要指定安全参数索引，安全参数索引（Security Parameter Index，简称

为 SPI）是为唯一标识 SA 而生成的一个32 比特的数值，它在 AH 和 ESP 头中传输。SPI 的作用是查找对应的 VPN 隧道进行解密。

使用的命令是spi spi-number out-spi-number，其中spi-number 用来指定本端的 SPI 参数，out-spi-number - 指定对端的 SPI 参数。

具体如下：

表示指定本端spi为6001，对端为6002。

接下来要指定协议类型，IPSec 协议的类型为 ESP 和 AH 两种。为手工密钥 VPN

隧道指定协议类型，在手工密钥 VPN配置模式下使用命令“protocol {esp | ah}”，其中esp指定使用 ESP 协议，该协议为系统默认协议，ah 指定使用 AH 协议。 具体如下：

表示指定协议为ESP。

然后需要指定加密算法，如下：

表示指定加密算法为 “3des”, 可以在“encryption”后面加空格加问号显示

信息中心

7/11/2013

27

山石SA2001A操作指导手册 所有可用的加密算法，如下：

接下来指定验证算法，如下：

表示指定验证算法为“sha”,同样可查看可用的验证算法，如下：

然后需要指定对端IP地址，用如下命令：

表示指定对端IP为200.20.30.4。

接下来需要配置协议的验证密钥，用户需要为安全隧道两端均配置协议的验证密 钥，且本端入方向验证密钥必须与对端出方向的验证密钥相同，而本端出方向的验证 密钥必须与对端入方向的验证密钥相同。如下：

表示指定本端进方向密钥为6100，出方向密钥为61001，需要注意的是密钥必须、 是16进制的形式。

然后要指定协议的加密密钥，如下：

表示指定本端协议进方向的加密密钥为6200，出方向的加密密钥为62001。

最后需要为手工VPN隧道指定出接口，如下：

信息中心

7/11/2013

28

山石SA2001A操作指导手册 表示指定出接口为ethernet0/4。

关于IKE VPN的配置这里省略，具体可以参考山石网科公司的使用手册。 信息中心

7/11/2013

29

山石SA2001A操作指导手册

九，Secure Connect VPN协议介绍

9.1 Secure Connect VPN简介

为解决远程用户安全访问私网数据的问题，SA2001A提供基于 SSL 的远程登录解决方案Secure Connect VPN，简称为 SCVPN。SCVPN 功能可以通过简单易用的方法实现信息的远程连通。

SA2001A的 SCVPN 功能包含设备端和客户端两部分。

配置了 SCVPN功能的SA2001A作为设备端，具有以下功能：

1，接受客户端连接；2，为客户端分配 IP 地址、DNS 服务器地址和 WINS 服务器地址；3，进行客户端用户的认证与授权；4，进行客户端主机的安全检测；5，对 IPSec 数据进行加密与转发。

SA2001A SCVPN 的客户端工具为 Hillstone Secure Connect。用户可以通过浏览器下载该客户端，然后将其安装到 PC，连接设备端成功后，用户就可以通过 SCVPN 功能安全的传输数据信息。

9.2 Secure Connect VPN设备端配置

9.2.1 地址池配置

SCVPN 设备端通过地址池给客户端分配 IP 地址。当客户端连接 SCVPN 设备端成

功后，设备端会从地址池里取出一个 IP 地址与其它相关参数（如 DNS 服务器地址与 WINS 服务器地址等）一起分配给客户端。在全局配置模式，使用命令scvpn pool创建 SCVPN 地址池，具体如下：

表示创建名为“test”的地址池。

接下来配置地址池地址范围，如下：

表示创建的地址池的范围是172.3.0.1到 172.3.3.3。

信息中心

7/11/2013

30

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库山石SA2001A VPN防火墙简明配置手册(6)在线全文阅读。