一、 場景需求
總部及多分支機構之間資源或檔案共享,傳統且常見的方式就是藉助一些聊天工具、網路雲盤、郵件等方式進行傳輸,甚至儲存,但這些方式帶來了便利的同時,也給檔案或資源的共享、管理以及安全帶來諸多問題,諸如:
1。 總部與分支機構之間採用聊天工具或雲盤方式傳輸或分享,導致檔案或資源無法集中管理。
2。 檔案傳輸速率受制於APP或雲盤服務提供商的限制,無法最大化使用頻寬傳輸,效率太低。
3。 由於總部與分支機構之間往返傳輸檔案或資源,經常導致存在有大量的重複性檔案或資源,導致版本太多,管理混亂。
4。 無法有效或快速協同/協作辦公。
5。 檔案或資源儲存在雲盤或聊天工具伺服器上的安全性問題,容易被服務提供商所使用或被“大資料”。
6。 日常的聊天工具、郵件或檔案傳輸,大都是以明文方式傳輸的,存在諸多安全風險,容易被竊取。
7。 檔案或資源的傳輸過程中容易被篡改,導致檔案內容真實性或準確性發生變化。
基於以上情況,壹雲小壹-小陳建議採用IPSEC VPN的點到多點的解決方案,該方案也是目前總部與分支機構之間採用的最常用最流行的VPN解決方案,它透過建立總部與分支機構之間經過認證可信的IPSEC VPN隧道進行通訊,同時對傳輸資料進行加密處理,同時對資料的完整性進行驗證,對資料來源身份進行認證等方式,以實現總部與分支機構之間的通訊及資料安全,防止資料被非法篡改,確保資料的真實性。
二、 方案思路
如上圖示意,IPSEC VPN點到多點的方案並不複雜,壹雲小壹提供以下準備工作和部署思路:
1。 總部及分支機構之間部署IPSEC VPN的裝置,比如防火牆、路由器或VPN集中器等支援IPSEC VPN的裝置。
2。 總部VPN裝置出口需要配置靜態公網IP地址(如下圖所示採用VPN防火牆部署位置)或公網IP地址經過NAT地址對映後的私有地址(一般位於邊界路由器後面,公網IP地址配置在路由器出口上)。
3。 分支機構的IPSEC VPN裝置出口無需靜態公網IP地址或對映。
4。 以下是根據以上示意拓撲圖對VPN進行了簡單規劃,以一個總部和2個分支機構為例介紹。
三、 配置步驟
本配置步驟共分為兩大部分,一是總部IPSEC VPN配置,二是分支機構的IPSEC VPN配置:
A.總部IPSEC VPN配置
第一步,配置IPSec安全提議
IPSec安全提議是安全策略或者安全框架的一個組成部分,它包括IPSec使用的安全協議、認證/加密演算法以及資料的封裝模式,定義了IPSec的保護方法,為IPSec協商SA提供各種安全引數。IPSec隧道兩端裝置需要配置相同的安全引數。
#ipsec proposal prop10516444584
encapsulation-mode auto //選擇封裝方式
esp authentication-algorithm sha2-256 //選擇認證演算法
esp encryption-algorithm aes-256 //選擇加密演算法
第二步,配置ike安全提議
IKE安全提議是IKE對等體的一個組成部分,定義了對等體進行IKE協商時使用的引數,包括加密演算法、認證方法、認證演算法、DH組和IKE安全聯盟的生存週期。
#ike proposal 1
encryption-algorithm aes-256 //配置加密演算法
dh group14 //配置dh組
authentication-algorithm sha2-256 //配置使用者認證演算法
authentication-method pre-share //配置使用者身份驗證方式
integrity-algorithm hmac-sha2-256 //配置使用者完整性演算法
prf hmac-sha2-256 //配置使用者編碼脈衝
第三步,配置ike Peer
配置IKE動態協商方式建立IPSec隧道時,需要引用IKE對等體,並配置IKE協商時對等體間的一系列屬性。
# ike peer ike105164445848
exchange-mode auto //配置交換方式
pre-shared-key xxxxxxxxxxxx //配置預共享金鑰
ike-proposal 1 //配置ike建議
remote-id-type none //配置遠端id型別
local-id 1。1。3。1 //配置本地id
dpd type periodic //配置dpd型別
ike negotiate compatible //配置ike協商相容
第四步,配置高階ACL
採用ACL方式建立IPSec隧道包括透過手工方式和IKE動態協商方式建立IPSec隧道。在對等體間映象配置ACL,篩選出需要進入IPSec隧道的報文,ACL規則允許(permit)的報文將被保護,ACL規則拒絕(deny)的報文將不被保護。這種方式可以利用ACL配置的靈活性,根據IP地址、埠、協議型別等對報文進行過濾進而靈活制定安全策略。
# acl number 3000
rule 5 permit ip source address-set 10。1。1。1 destination address-set 10。1。2。1
rule 10 permit ip source address-set 10。1。1。1 destination address-set 10。1。3。1
第五步,配置IPSec策略模板
配置IPSec安全策略時,透過引用ACL和IPSec安全提議,將ACL定義的資料流和IPSec安全提議定義的保護方法關聯起來,並可以指定SA的協商方式、IPSec隧道的起點和終點、所需要的金鑰和SA的生存週期等。
# ipsec policy-template tpl105164445848 1
security acl 3000 //配置相應的安全策略
ike-peer ike105164445848 //配置ike peer
proposal prop10516444584 //配置提議支撐
tunnel local 1。1。3。1 //配置本地地址
alias 001 //配置別名
sa duration traffic-based 10485760 //配置sa持續流量
sa duration time-based 3600 //配置sa持續時間
第六步,呼叫IPSec策略模板
ipsec policy ipsec1051644458 10000 isakmp template tpl105164445848
第七步,將策略應用到介面上
為使介面能對資料流進行IPSec保護,需要在該介面上應用一個IPSec安全策略組。當取消IPSec安全策略組在介面上的應用後,此介面便不再具有IPSec的保護功能。
# interface GigabitEthernet1/0/1
undo shutdown
ip address 1。1。3。1 255。255。255。0
ipsec policy ipsec1051644458
B.分支機構的IPSEC VPN配置
第一步,配置IPSec安全提議
IPSec安全提議是安全策略或者安全框架的一個組成部分,它包括IPSec使用的安全協議、認證/加密演算法以及資料的封裝模式,定義了IPSec的保護方法,為IPSec協商SA提供各種安全引數。IPSec隧道兩端裝置需要配置相同的安全引數。
# ipsec proposal prop1451731338
encapsulation-mode auto //選擇封裝方式
esp authentication-algorithm sha2-256 //選擇認證演算法
esp encryption-algorithm aes-256 //選擇加密演算法
第二步,配置ike安全提議
IKE安全提議是IKE對等體的一個組成部分,定義了對等體進行IKE協商時使用的引數,包括加密演算法、認證方法、認證演算法、DH組和IKE安全聯盟的生存週期。
# ike proposal 1
encryption-algorithm aes-256 //配置加密演算法
dh group14 //配置dh組
authentication-algorithm sha2-256 //配置使用者認證演算法
authentication-method pre-share //配置使用者身份驗證方式
integrity-algorithm hmac-sha2-256 //配置使用者完整性演算法
prf hmac-sha2-256 //配置使用者編碼脈衝
第三步,配置ike Peer
配置IKE動態協商方式建立IPSec隧道時,需要引用IKE對等體,並配置IKE協商時對等體間的一系列屬性。
# ike peer ike1451731338
exchange-mode auto //配置交換方式
pre-shared-key xxxxxxxxxxxx //配置預共享金鑰
ike-proposal 1 //配置ike建議
remote-id-type ip //配置遠端id型別
remote-id 1。1。3。1 //配置對端id
local-id 1。1。5。1 //配置本地id
dpd type periodic //配置dpd型別
remote-address 1。1。3。1
第四步,配置高階ACL
採用ACL方式建立IPSec隧道包括透過手工方式和IKE動態協商方式建立IPSec隧道。在對等體間映象配置ACL,篩選出需要進入IPSec隧道的報文,ACL規則允許(permit)的報文將被保護,ACL規則拒絕(deny)的報文將不被保護。這種方式可以利用ACL配置的靈活性,根據IP地址、埠、協議型別等對報文進行過濾進而靈活制定安全策略。
# acl number 3000
rule 5 permit ip source address-set 10。1。2。1 destination address-set 10。1。1。1
第五步,配置IPSec策略
配置IPSec安全策略時,透過引用ACL和IPSec安全提議,將ACL定義的資料流和IPSec安全提議定義的保護方法關聯起來,並可以指定SA的協商方式、IPSec隧道的起點和終點、所需要的金鑰和SA的生存週期等。
# ipsec policy ipsec1451731329 1 isakmp
security acl 3000 //配置相應的安全策略
ike-peer ike1451731338 //配置ike peer
proposal prop1451731338 //配置提議支撐
tunnel local applied-interface //配置隧道區域性應用介面
alias 001 //配置別名
sa trigger-mode auto // 配置sa觸發模式自動
sa duration traffic-based 10485760 //配置sa持續流量
sa duration time-based 3600 //配置sa持續時間
第六步,將策略應用到介面上
為使介面能對資料流進行IPSec保護,需要在該介面上應用一個IPSec安全策略組。當取消IPSec安全策略組在介面上的應用後,此介面便不再具有IPSec的保護功能。
# interface GigabitEthernet1/0/1
undo shutdown
ip address 1。1。5。1 255。255。255。0
ipsec policy ipsec1451731329
四、 效果驗證
1。 透過IPSEC監控列表檢視一下IPSEC協商是否成功,如下圖示意。
2。 透過總部與分支機構之間的內部檔案/資源共享或應用程式是否可以直接使用。