Panabit IPsec对接各厂商设备实例案例

sking9988

IPsec 简介

IPsec（ IP Security）是  IETF  制定的一系列协议 ，为  Internet  上传输的数据提供了高质 量的、可互操作的、基于密码学的安全保护。特定的通信方之间在 IP 层通过加密与数据源 认证等方式， 来保证数据包在网络上传输的机密性（Confidentiality） 、 完整性（ DataIntegrity）、真实性（Data Authentication）和防重放（Anti-Replay）。
IPsec  协议由 AH（ Authentication Header ，认证头）协议、ESP（ Encapsulating Security Payload ，封装安全载荷）协议、IKE（ Internet Key Exchange ，因特网密钥交换）协议和认证 与加密算法等组成。其中 ，AH  协议与 ESP  协议用于提供安全服务 ，IKE  协议用于密钥交换。

Panabit IPsec VPN 模块简介

Panabit IPsec VPN  模块实现了  IKEv1、IKEv2、ESP  等协议 ，其中 IKEv1  协议支持主
模式（Main Mode）与野蛮模式（Aggressive Mode）。支持的认证与加密算法如下。
加密算法（Encryption Algorithms ，ENCR）：
.    3DES
.    AES- 128-CBC
.    AES- 192-CBC
.    AES-256-CBC
.    SM4（国密 SM4 分组密码算法）




哈希函数（Pseudo-random Functions ，PRF）：
.    MD5
.    SHA1
.    SHA2-256
.    SHA2-384
.    SHA2-512
.    SM3（国密 SM3 密码杂凑算法）

认证算法（Integrity Algorithms ，INTEG/AUTH）：
.    MD5-96
.    SHA1-96
.    SHA2-256- 128
.    SHA2-384- 192
.    SHA2-512-256

DH  组（Diffie-Hellman Group ，DH）：
.    Group1（MODP-768）
.    Group2（MODP- 1024）
.    Group3（EC2N- 155）
.    Group4（EC2N- 185）
.    Group5（MODP- 1536）
.    Group14（MODP-2048）
.    Group15（MODP-3072）
.    Group16（MODP-4096）
.    Group17（MODP-6144）
.    Group18（MODP-8192）
.    Group19（ECP-256）
.    Group20（ECP-384）




.    Group21（ECP-521）
.    Group22（MODP- 1024- 160）
.    Group23（MODP-2048-224）
.    Group24（MODP-2048-256）
.    Group25（ECP- 192）
.    Group26（ECP-224）
IPsec VPN 的应用场景

IPsec VPN 一 般 用 于 局 域 网 互 连 （即 Security Gateway to Security Gateway in Tunnel Mode） ，如企业总部与分支机构之间的办公网互连。 当 IPsec  隧道建立后 ，两地办公网内的计算机可以相互访问 ，安全地共享内网资源等。
Panabit IPsec VPN 的配置

Panabit  VPN  模 块 支 持 作 为 发 起 方 （ Initiator ， 或 称 为 客 户 端 ） 和 应 答 方（Responder ，或称为服务端） ，并仅支持使用共享密钥（Pre-Shared Key）作为认证方式。
在 上网行为管理  中 ，IPsec VPN  模块将作为“WAN  线路” ，并结合“策略路由” ，为符合  IPsec

安全策略的数据包提供加解密服务。配置界面如下图：







其中 ，“线路网卡”表示要在哪条 “WAN 线路”上建立  IPsec  隧道。“ 本端  ID”  与“对端”ID”  作为  IKE  协商时进行身份认证的标识 ，其格式支持字符串（如  panabit） 、IP  地址
（如  1.2.3.4）、FQDN（如 panabit.com） 、User FQDN（如 ipsec@panabit.com）等。“DPD
检测频率”表示对“对端网关 IP”  进行心跳检测的频率 ，当连续  5  次心跳检测失败时 ，表示到“对端网关 IP”  的连接已经丢失 ，会从新发起  IKE  协商。
需要注意的是 ，当使用 IKEv1  协议时 ，若本端与对端之间存在 NAT  设备 ，则推荐使 用“野蛮模式” 。当使用“主模式”且需要设置“本端 ID”  或“对端 ID”  时 ，“本端  ID”  或“对端
ID”  应设置为本端或对端的 IP 地址。
实操配置
实操目的实现两端设备下的局域网地址互通
拓扑如下：


1）上网行为管理设备1创建承载IPSec线路，IP地址为：172.16.11.1
2）上网行为管理设备设备2创建承载IPSec线路，IP地址为：172.16.11.2
3）上网行为管理设备设备1创建IPSec服务端
4）上网行为管理设备设备2创建IPSec客户端
5）配置两端局域网地址互通，服务端IP地址为172.16.0.0/24,客户端为192.168.212.0/24


策略路由互通设置截图：
服务端策略路由配置

客户端策略路由配置

手机经过IPSCE隧道连通测试，互通正常。
互通ping测手机截图：

与其他厂商的设备建立 IPsec VPN连接

Panabit IPsec VPN 模块目前仅支持标准的 IKEv1 和 IKEv2 协议，不支持某些厂商的扩展协议（如 Cisco Fragmentation）。因此，在和其他厂商的设备建立 IPsec VPN 连接时，应尽量只配置基础的配置项。

经过测试，Panabit IPsec VPN 模块可以和MikroTik（RouterOS）、天融信、深信服、启明星辰（网御星云）、H3C、Juniper、Netscreen、Fortinet等厂商的设备建立 IPsec VPN 连接。以下测试用例均使用如下网络拓扑，相关 IP 地址可能不一致，请自行带入理解：



MikroTik RouterOS

  RouterOS 中的配置如下：





















Panabit 中的配置如下：

1. 新建一条“线路类型”为“IPsec” 的 WAN 线路，按照拓扑图填入相关配置，并注意与 RouterOS 中的配置保持一致，否则可能导致 IKE 协商失败。如下图：




2. 在“策略路由”中添加一条策略，将来自 Panabit LAN 侧子网（即上图中的“本端子网范围”）并去往 RouterOS LAN 侧子网（即上图中的“对端子网范围”）的数据包路由到对应的 IPsec 线路。如下图：



3. 在“策略路由”中添加另一条策略，将来自 RouterOS LAN 侧子网并去往 Panabit LAN 侧子网的数据包路由到对应的 LAN 接口。注意，策略中的“源接口”必须为对应的 IPsec 线路。如下图：





4. 设置好后，可以看到 IPsec 线路的状态为“已连接”，RouterOS 中也能看到隧道的状态为“established”，说明 IPsec 隧道已经建立成功。否则，请检查相关配置。如下图：






5. 在 Panabit LAN 侧客户端（即拓扑图中的客户端B）上使用 ping 测试到 RouterOS LAN 侧客户端（即拓扑图中的客户端A）的连通性，如下图：


说明 Panabit 和 RouterOS 的 LAN 侧子网可以互通。否则，请检查相关配置。

6. 在上一步中进行 ping 测试的同时，抓取 Panabit 与 RouterOS 相连的链路上的数据包，验证 ICMP 包是否被加密。如下图：


说明 Panabit 和 RouterOS 的 LAN 侧子网之间的通信经过了 IPsec 加密保护。

7. 在 Panabit LAN 侧客户端上使用 iperf3 测试到 RouterOS LAN 侧客户端（即 Panabit 的上行方向）的吞吐率，如下图：



在 RouterOS LAN 侧客户端上使用 iperf3 测试到 Panabit LAN 侧客户端（即 Panabit 的下行方向）的吞吐率，如下图：




天融信

天融信中的配置如下：




注意，当使用“主模式”时，不需要设置“本地标识”与“对方标识”。

Panabit 中的配置如下：


Panabit配置请参照前面的配置或配置指导手册。

深信服

深信服中的配置如下：





Panabit配置请参照前面的配置或配置指导手册。




启明星辰


启明星辰中的配置如下：







Panabit配置请参照前面的配置或配置指导手册。


H3C

H3C中的IPsec有两种角色，“对等/分支节点”和“中心节点”。其中“对等/分支节点”多用作发起方（Initiator，或称为客户端），也可作为应答方（Responder，或称为服务端），“中心节点”用作应答方（Responder，或称为服务端）。

对等/分支节点

H3C作为“对等/分支节点”时的配置如下：

1. 在“网络 -> VPN -> IPsec -> IKE提议”中新建IKE提议：

2. 在“网络 -> VPN -> IPsec -> 策略”中新建IPsec策略：








Panabit配置请参照前面的配置或配置指导手册。


需要注意的是，H3C在IPsec认证阶段只支持格式为192.168.1.0/255.255.255.0的“保护的数据流”，所以在Panabit“本端子网范围”和“对端子网范围”中填写的格式必须是192.168.1.0/255.255.255.0或192.168.1.0/24。


中心节点

H3C作为“中心节点”时页面配置比较繁琐，推荐使用命令行配置。参考文档：IPsec多分支经由总部互通 - 知了社区 (h3c.com)

1. 进入配置模式：
<H3C>system-view

2. 新建预共享密钥：
[H3C]ike keychain panabit
[H3C-ike-keychain-panabit]pre-shared-key hostname panabit key simple test
[H3C-ike-keychain-panabit]quit

3. 新建IKE配置：
[H3C]ike profile panabit
[H3C-ike-profile-panabit]keychain panabit
[H3C-ike-profile-panabit]exchange-mode aggressive
[H3C-ike-profile-panabit]local-identity fqdn h3c
[H3C-ike-profile-panabit]match remote identity fqdn panabit
[H3C-ike-profile-panabit]quit

4. 新建IPsec配置：
[H3C]ipsec transform-set panabit
[H3C-ipsec-transform-set-panabit]esp encryption-algorithm aes-cbc-128
[H3C-ipsec-transform-set-panabit]esp authentication-algorithm sha1
[H3C-ipsec-transform-set-panabit]quit

5. 新建ACL策略，即”保护的数据流“：
[H3C]acl number 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.7.0 0.255.255.255 destination 192.168.5.0 0.255.255.255
[H3C-acl-ipv4-adv-3000]quit

6. 新建IPsec策略模板，并引用ACL策略与IKE配置：
[H3C]ipsec policy-template panabit 1
[H3C-ipsec-policy-template-panabit-1]transform-set panabit
[H3C-ipsec-policy-template-panabit-1]security acl 3000
[H3C-ipsec-policy-template-panabit-1]ike-profile panabit
[H3C-ipsec-policy-template-panabit-1]quit

7. 使用模板新建IPsec策略：
[H3C]ipsec policy panabit 1 isakmp template panabit

8. 将IPsec策略应用到WAN接口：
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]ipsec apply policy panabit
[H3C-GigabitEthernet1/0/1]quit
[H3C]quit

Panabit配置请参照前面的配置或配置指导手册。