IPsec 设置向导

前言

本文档中,就下图所示的基本VPN结构说明设置的流程。即使不是这个结构,基本的设置也不变,因此,建议在设置范例中寻找其他的结构之前阅读一下。

连接至互联网                                连接至互联网
     |                                           |
     | 128kbit/s 专线                            | 1.5Mbit/s 专线
     |                                           |
     | 172.16.253.100                            | 172.17.254.16-31/28
+----+----+                                 +----+----+
|   RT 1  | <*****************************> |   RT 2  |
+----+----+           IPsec通道             +----+----+
     | 192.168.0.1                               | 192.168.1.1
     |                                           |
-----+--------- 192.168.0.0/24           --------+------ 192.168.1.0/24

※1 本文档中,为了表示由提供商分配的全局地址,使用172.16.0.0/12的范围的IP地址。
※2 本文档中,基于Rev.6.02.16的固件进行说明。旧的固件中命令格式可能不同,敬请理解!

本结构的主要因素如下:

  • RT 1具有172.16.253.100这个固定的全局地址。
  • RT 2具有172.17.254.16-31这个固定的全局地址。
  • 192.168.0.0/24和192.168.1.0/24的终端能够连接互联网。
  • 192.168.0.0/24和192.168.1.0/24的终端能够通过 IPsec安全地通信。

路由器的IP地址的设置

首先设置路由器的IP地址。路由器的IP地址是指为了识别双方路由器的全局地址。RT 1只具有一个全局地址,因此,它就是路由器的IP地址。RT 2具有多个全局地址,因此,选择其中之一。本例中选择172.17.254.30。

设置本地的路由器的IP地址使用ipsec ike local address命令,设置对方的路由器的IP地址使用ipsec ike remote address命令。

[RT 1的设置]
# ipsec ike local address 1 172.16.253.100 
# ipsec ike remote address 1 172.17.254.30 
[RT 2的设置]
# ipsec ike local address 1 172.17.254.30 
# ipsec ike remote address 1 172.16.253.100 

在这里,当与多个对方构成VPN时,为了区分对方,1这个参数是必须的。本例中,对方只有一个,因此没有意义,不过还是指定1

[补充]

使用NAT时,能够用ipsec ike local address 命令设置私有地址。但是,这种情况下,ipsec ike remote address 必须设置全局地址。详细内容将在5.中进行说明,这里只要留下一个印象即可。

IKE的参数的设置

接下来,设置IKE相关的参数。设置的命令有很多,必须设置的只有一个。那就是称为预共享键(pre-shared key)的密码。设置这个密码使用ipsec ike pre-shared-key 命令。

[RT 1的设置]
# ipsec ike pre-shared-key 1 text himitsu 
[RT 2的设置]
# ipsec ike pre-shared-key 1 text himitsu 

在这里,名为1的参数和刚才的命令一样是识别对方路由器的号码。text指定为文本格式的密码,himitsu部分为密码。密码最多可设置32个字符,实际使用时,请设置更为复杂的密码。

密码用于在开始IPsec的通信时认证对方。因此,密码的设置必须在双方的路由器保持一致。请小心设置,因为只要有一个字符的设置不同,就无法通信。

接下来是键的有效期(寿命)的设置,虽然该设置并非必须。

(若您时间紧急,请进入下一步)

IPsec中自动生成键,如果键的寿命将要到期,将创建新的键替换。寿命设置如下。

[RT 1的设置]
# ipsec ike duration isakmp-sa 1 24000 
# ipsec ike duration ipsec-sa 1 24000 
[RT 2的设置]
# ipsec ike duration isakmp-sa 1 24000 
# ipsec ike duration ipsec-sa 1 24000 

SA有ISAKMP SA和IPsec SA两种。(※)、可以分别设置不同的寿命。寿命的单位为“秒”。虽然双方的路由器设置不同的值也会工作,不过如果没有特别情况,建议保持相同值。另外,不设置此命令时,以28800秒(8小时)的寿命动作。

※ 详细内容请参照RFC2409。这里省略说明。

通道接口的设置

关于通道接口,在IPsec功能的规格 中有所说明,因此,请确认该章节的内容。通道接口是与对方的路由器之间连接的虚拟线路的接口。

首先,通过通道接口选择使用的密码方式。方式有若干种,这里选择ESP的DES-CBC方式。

[RT 1的设置]
ipsec sa policy 101 1 esp des-cbc 

RT 2的设置在后面说明,先说明命令。101只是注册号码,1是与上述命令相同的“对方的识别号码”。esp表示ESP,des-cbc表示DES-CBC。

接下来用以下的命令创建通道接口。

[RT 1的设置]
# tunnel select 1 
# ipsec tunnel 101 
# tunnel enable 1 

tunnel selecttunnel enable命令的1的参数为通道接口的注册号码,指定1以上的整数。并且,用ipsec tunnel命令指定先注册的ipsec sa policy命令的注册号码。

最后,设置对于通道接口的路由。这里选择注册静态路由。

[RT 1的设置]
# ip route 192.168.1.0/24 gateway tunnel 1 

即,将给对方LAN为192.168.1.0/24的IP数据包发送给定义的通道接口。

到这里,只说明了RT 1的设置,不过,RT 2的设置也几乎与RT 1相同。唯一的区别就在于路由设置中网络地址不同。总而言之就是设置如下。

[RT 2的设置]
# ipsec sa policy 101 1 esp des-cbc 

# tunnel select 1 
# ipsec tunnel 101 
# tunnel enable 1 

# ip route 192.168.0.0/24 gateway tunnel 1 

其他的设置 (RT 1)

以上的说明中,IPsec相关的大部分设置已经完成。因此,决定添加线路周围的设置,看一下整体的设置。首先,从RT 1的设置来看。

[RT 1的设置]
; LAN

ip lan1 address 192.168.0.1/24

; WAN

line type bri1 l128
pp select 1
pp bind bri1
ip pp address 172.16.253.100
pp enable 1
ip route default gateway pp 1

; IPsec

ipsec ike local address 1 172.16.253.100
ipsec ike remote address 1 172.17.254.30
ipsec ike pre-shared-key 1 text himitsu

; TUNNEL

ipsec sa policy 101 1 esp des-cbc
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route 192.168.1.0/24 gateway tunnel 1

LAN的终端连接在互联网需要NAT的设置。因此,添加以下的设置。

nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.253.100
nat descriptor address inner 1 172.16.253.100 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1 1 172.16.253.100 udp 500
nat descriptor masquerade static 1 2 172.16.253.100 esp *

pp select 1
ip pp nat descriptor 1
pp enable 1

第三行是重要的关键之处,需要注意NAT内侧的地址包括路由器的IP地址(172.16.253.100)。该地址也是NAT外侧的地址,同时也是内侧的地址。原因是路由器与终端一样使用172.16.253.100。(请注意:RT 1只有一个全局地址。)

第四行中,为了IKE,将UDP的第500个端口分配给路由器。通过这个设置,路由器即可收发IKE的数据包。同样,第五行中将ESP分配给路由器。通过这个设置,路由器即可收发ESP的数据包。

NAT的设置中需要注意的重点是在以下的四个命令中设置同样的IP地址。

ipsec ike local address 1 172.16.253.100 
nat descriptor address inner 1 172.16.253.100 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1 1 172.16.253.100 udp 500
nat descriptor masquerade static 1 2 172.16.253.100 esp *

只要遵守这个规则,路由器的IP地址也能够选择其他的地址。例如,可以选择LAN1接口地址的192.168.0.1,变更为如下的设置。

ipsec ike local address 1 192.168.0.1 
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp *

您可随意选择喜欢的一种设置,与前面的设置相比,后面的设置可能更为简单明了。

[补充]

RT 1中,用ipsec ike local address 命令设置私有地址时,也不必更改RT 2的设置。(以下的设置)。也就是说双方的路由器设置的地址未必一致。

[RT 1的设置]
# ipsec ike local address 1 192.168.0.1 
# ipsec ike remote address 1 172.17.254.30 
[RT 2的设置]
# ipsec ike local address 1 172.17.254.30 
# ipsec ike remote address 1 172.16.253.100 

其他的设置 (RT 2)

接下来说明RT 2。和RT 1一样,添加线路周围的设置。

[RT 2的设置]
; LAN

ip lan1 address 192.168.1.1/24

; WAN

line type pri1 leased
pri leased channel 1/1 1 24
pp select 1
pp bind pri1/1
ip pp address 172.17.254.30
pp enable 1
ip route default gateway pp 1

; IPsec

ipsec ike local address 1 172.17.254.30
ipsec ike remote address 1 172.16.253.100

; TUNNEL

ipsec sa policy 101 1 esp des-cbc
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1

并且,LAN的终端连接至互联网需要NAT的设置。因此添加以下的设置。

nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 172.17.254.17-172.17.254.29
nat descriptor address inner 1 192.168.1.1-192.168.1.254

pp select 1
ip pp nat descriptor 1
pp enable 1

与RT 1不同的是有很多的全局地址,决定用IPsec将使用地址(172.17.254.30)分配给路由器专用。因此,不需要像RT 1那样的静态IP地址掩盖的设置。

动作确认

到这里为止,虽然没有特意地进行说明,不过,让IPsec动作需要在双方的路由器中添加以下的设置。

[RT 1的设置]
# ipsec auto refresh on 
[RT 2的设置]
# ipsec auto refresh on 

这样,没有问题的话就能够IPsec通信。为了确认状态,执行show ipsec sa命令。

# show ipsec sa
SA[4] 寿命: 124秒
对方主机: 192.168.111.218, 收发方向: 收发
协议: IKE
SPI: b9 2c 6f e9 56 4b 66 97 52 8f 0d e1 60 e2 33 95
键 : eb fc 81 25 04 ee b7 e8
----------------------------------------------------
SA[5] 寿命: 126秒
对方主机: 192.168.111.218, 收发方向: 发送
协议: ESP (模式: tunnel)
算法: DES-CBC (认证: none)
SPI: b3 84 c6 02
键 : 85 78 23 e0 2f 89 37 49 4a 69 17 ac 88 92 df ca
----------------------------------------------------

如同本执行范例所显示,显示SA的信息并正常动作。

相关资料

返回顶部Return to Top