一、%20場景需求
總部及多分支機構(gòu)之間資源或文件共享,傳統(tǒng)且常見的方式就是借助一些聊天工具、網(wǎng)絡(luò)云盤、郵件等方式進(jìn)行傳輸,甚至存儲,但這些方式帶來了便利的同時,也給文件或資源的共享、管理以及安全帶來諸多問題,諸如:
1.%20總部與分支機構(gòu)之間采用聊天工具或云盤方式傳輸或分享,導(dǎo)致文件或資源無法集中管理。
2.%20文件傳輸速率受制于App或云盤服務(wù)提供商的限制,無法最大化使用帶寬傳輸,效率太低。
3.%20由于總部與分支機構(gòu)之間往返傳輸文件或資源,經(jīng)常導(dǎo)致存在有大量的重復(fù)性文件或資源,導(dǎo)致版本太多,管理混亂。
4.%20無法有效或快速協(xié)同/協(xié)作辦公。
5.%20文件或資源存儲在云盤或聊天工具服務(wù)器上的安全性問題,容易被服務(wù)提供商所使用或被“大數(shù)據(jù)”。
6.%20日常的聊天工具、郵件或文件傳輸,大都是以明文方式傳輸?shù)模嬖谥T多安全風(fēng)險,容易被竊取。
7.%20文件或資源的傳輸過程中容易被篡改,導(dǎo)致文件內(nèi)容真實性或準(zhǔn)確性發(fā)生變化。
基于以上情況,壹云小壹-小陳建議采用IPSEC%20VPN的點到多點的解決方案,該方案也是目前總部與分支機構(gòu)之間采用的最常用最流行的VPN解決方案,它通過建立總部與分支機構(gòu)之間經(jīng)過認(rèn)證可信的IPSEC%20VPN隧道進(jìn)行通信,同時對傳輸數(shù)據(jù)進(jìn)行加密處理,同時對數(shù)據(jù)的完整性進(jìn)行驗證,對數(shù)據(jù)源身份進(jìn)行認(rèn)證等方式,以實現(xiàn)總部與分支機構(gòu)之間的通信及數(shù)據(jù)安全,防止數(shù)據(jù)被非法篡改,確保數(shù)據(jù)的真實性。
二、 方案思路
如上圖示意,IPSEC VPN點到多點的方案并不復(fù)雜,壹云小壹提供以下準(zhǔn)備工作和部署思路:
1. 總部及分支機構(gòu)之間部署IPSEC VPN的設(shè)備,比如防火墻、路由器或VPN集中器等支持IPSEC VPN的設(shè)備。
2. 總部VPN設(shè)備出口需要配置靜態(tài)公網(wǎng)IP地址(如下圖所示采用VPN防火墻部署位置)或公網(wǎng)IP地址經(jīng)過NAT地址映射后的私有地址(一般位于邊界路由器后面,公網(wǎng)IP地址配置在路由器出口上)。
3. 分支機構(gòu)的IPSEC VPN設(shè)備出口無需靜態(tài)公網(wǎng)IP地址或映射。
4. 以下是根據(jù)以上示意拓?fù)鋱D對VPN進(jìn)行了簡單規(guī)劃,以一個總部和2個分支機構(gòu)為例介紹。
三、 配置步驟
本配置步驟共分為兩大部分,一是總部IPSEC VPN配置,二是分支機構(gòu)的IPSEC VPN配置:
A.總部IPSEC VPN配置
第一步,配置IPSec安全提議
IPSec安全提議是安全策略或者安全框架的一個組成部分,它包括IPSec使用的安全協(xié)議、認(rèn)證/加密算法以及數(shù)據(jù)的封裝模式,定義了IPSec的保護(hù)方法,為IPSec協(xié)商SA提供各種安全參數(shù)。IPSec隧道兩端設(shè)備需要配置相同的安全參數(shù)。
#ipsec proposal prop10516444584
encapsulation-mode auto //選擇封裝方式
esp authentication-algorithm sha2-256 //選擇認(rèn)證算法
esp encryption-algorithm aes-256 //選擇加密算法
第二步,配置ike安全提議
IKE安全提議是IKE對等體的一個組成部分,定義了對等體進(jìn)行IKE協(xié)商時使用的參數(shù),包括加密算法、認(rèn)證方法、認(rèn)證算法、DH組和IKE安全聯(lián)盟的生存周期。
#ike proposal 1
encryption-algorithm aes-256 //配置加密算法
dh group14 //配置dh組
authentication-algorithm sha2-256 //配置用戶認(rèn)證算法
authentication-method pre-share //配置用戶身份驗證方式
integrity-algorithm hmac-sha2-256 //配置用戶完整性算法
prf hmac-sha2-256 //配置用戶編碼脈沖
第三步,配置ike Peer
配置IKE動態(tài)協(xié)商方式建立IPSec隧道時,需要引用IKE對等體,并配置IKE協(xié)商時對等體間的一系列屬性。
# ike peer ike105164445848
exchange-mode auto //配置交換方式
pre-shared-key xxxxxxxxxxxx //配置預(yù)共享密鑰
ike-proposal 1 //配置ike建議
remote-id-type none //配置遠(yuǎn)程id類型
local-id 1.1.3.1 //配置本地id
dpd type periodic //配置dpd類型
ike negotiate compatible //配置ike協(xié)商兼容
第四步,配置高級ACL
采用ACL方式建立IPSec隧道包括通過手工方式和IKE動態(tài)協(xié)商方式建立IPSec隧道。在對等體間鏡像配置ACL,篩選出需要進(jìn)入IPSec隧道的報文,ACL規(guī)則允許(permit)的報文將被保護(hù),ACL規(guī)則拒絕(deny)的報文將不被保護(hù)。這種方式可以利用ACL配置的靈活性,根據(jù)IP地址、端口、協(xié)議類型等對報文進(jìn)行過濾進(jìn)而靈活制定安全策略。
# acl number 3000
rule 5 permit ip source address-set 10.1.1.1 destination address-set 10.1.2.1
rule 10 permit ip source address-set 10.1.1.1 destination address-set 10.1.3.1
第五步,配置IPSec策略模板
配置IPSec安全策略時,通過引用ACL和IPSec安全提議,將ACL定義的數(shù)據(jù)流和IPSec安全提議定義的保護(hù)方法關(guān)聯(lián)起來,并可以指定SA的協(xié)商方式、IPSec隧道的起點和終點、所需要的密鑰和SA的生存周期等。
# ipsec policy-template tpl105164445848 1
security acl 3000 //配置相應(yīng)的安全策略
ike-peer ike105164445848 //配置ike peer
proposal prop10516444584 //配置提議支撐
tunnel local 1.1.3.1 //配置本地地址
alias 001 //配置別名
sa duration traffic-based 10485760 //配置sa持續(xù)流量
sa duration time-based 3600 //配置sa持續(xù)時間
第六步,調(diào)用IPSec策略模板
ipsec policy ipsec1051644458 10000 isakmp template tpl105164445848
第七步,將策略應(yīng)用到接口上
為使接口能對數(shù)據(jù)流進(jìn)行IPSec保護(hù),需要在該接口上應(yīng)用一個IPSec安全策略組。當(dāng)取消IPSec安全策略組在接口上的應(yīng)用后,此接口便不再具有IPSec的保護(hù)功能。
# interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.3.1 255.255.255.0
ipsec policy ipsec1051644458
B.分支機構(gòu)的IPSEC VPN配置
第一步,配置IPSec安全提議
IPSec安全提議是安全策略或者安全框架的一個組成部分,它包括IPSec使用的安全協(xié)議、認(rèn)證/加密算法以及數(shù)據(jù)的封裝模式,定義了IPSec的保護(hù)方法,為IPSec協(xié)商SA提供各種安全參數(shù)。IPSec隧道兩端設(shè)備需要配置相同的安全參數(shù)。
# ipsec proposal prop1451731338
encapsulation-mode auto //選擇封裝方式
esp authentication-algorithm sha2-256 //選擇認(rèn)證算法
esp encryption-algorithm aes-256 //選擇加密算法
第二步,配置ike安全提議
IKE安全提議是IKE對等體的一個組成部分,定義了對等體進(jìn)行IKE協(xié)商時使用的參數(shù),包括加密算法、認(rèn)證方法、認(rèn)證算法、DH組和IKE安全聯(lián)盟的生存周期。
# ike proposal 1
encryption-algorithm aes-256 //配置加密算法
dh group14 //配置dh組
authentication-algorithm sha2-256 //配置用戶認(rèn)證算法
authentication-method pre-share //配置用戶身份驗證方式
integrity-algorithm hmac-sha2-256 //配置用戶完整性算法
prf hmac-sha2-256 //配置用戶編碼脈沖
第三步,配置ike Peer
配置IKE動態(tài)協(xié)商方式建立IPSec隧道時,需要引用IKE對等體,并配置IKE協(xié)商時對等體間的一系列屬性。
# ike peer ike1451731338
exchange-mode auto //配置交換方式
pre-shared-key xxxxxxxxxxxx //配置預(yù)共享密鑰
ike-proposal 1 //配置ike建議
remote-id-type ip //配置遠(yuǎn)程id類型
remote-id 1.1.3.1 //配置對端id
local-id 1.1.5.1 //配置本地id
dpd type periodic //配置dpd類型
remote-address 1.1.3.1
第四步,配置高級ACL
采用ACL方式建立IPSec隧道包括通過手工方式和IKE動態(tài)協(xié)商方式建立IPSec隧道。在對等體間鏡像配置ACL,篩選出需要進(jìn)入IPSec隧道的報文,ACL規(guī)則允許(permit)的報文將被保護(hù),ACL規(guī)則拒絕(deny)的報文將不被保護(hù)。這種方式可以利用ACL配置的靈活性,根據(jù)IP地址、端口、協(xié)議類型等對報文進(jìn)行過濾進(jìn)而靈活制定安全策略。
# acl number 3000
rule 5 permit ip source address-set 10.1.2.1 destination address-set 10.1.1.1
第五步,配置IPSec策略
配置IPSec安全策略時,通過引用ACL和IPSec安全提議,將ACL定義的數(shù)據(jù)流和IPSec安全提議定義的保護(hù)方法關(guān)聯(lián)起來,并可以指定SA的協(xié)商方式、IPSec隧道的起點和終點、所需要的密鑰和SA的生存周期等。
# ipsec policy ipsec1451731329 1 isakmp
security acl 3000 //配置相應(yīng)的安全策略
ike-peer ike1451731338 //配置ike peer
proposal prop1451731338 //配置提議支撐
tunnel local applied-interface //配置隧道局部應(yīng)用界面
alias 001 //配置別名
sa trigger-mode auto // 配置sa觸發(fā)模式自動
sa duration traffic-based 10485760 //配置sa持續(xù)流量
sa duration time-based 3600 //配置sa持續(xù)時間
第六步,將策略應(yīng)用到接口上
為使接口能對數(shù)據(jù)流進(jìn)行IPSec保護(hù),需要在該接口上應(yīng)用一個IPSec安全策略組。當(dāng)取消IPSec安全策略組在接口上的應(yīng)用后,此接口便不再具有IPSec的保護(hù)功能。
# interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.5.1 255.255.255.0
ipsec policy ipsec1451731329
四、 效果驗證
1. 通過IPSEC監(jiān)控列表查看一下IPSEC協(xié)商是否成功,如下圖示意。
2. 通過總部與分支機構(gòu)之間的內(nèi)部文件/資源共享或應(yīng)用程序是否可以直接使用。
