1、目 錄TOC o 1-3第1章 IPSec和IKE故障排除 PAGEREF _Toc25747327 h 1-11.1 IPSec和IKE故障排除綜述 PAGEREF _Toc25747328 h 1-11.1.1 IPSec和IKE知識(shí)簡(jiǎn)介 PAGEREF _Toc25747329 h 1-11.1.2 IPSec和IKE配置的一般步驟 PAGEREF _Toc25747330 h 1-21.1.3 手工方式下IPSec功能和性能的常見(jiàn)問(wèn)題 PAGEREF _Toc25747331 h 1-31.1.4 協(xié)商方式下IPSec和IKE功能和性能的常見(jiàn)問(wèn)題 PAGEREF _Toc2574733

2、2 h 1-51.1.5 IPSec和IKE配置過(guò)程的注意事項(xiàng) PAGEREF _Toc25747333 h 1-61.2 與IPSec和IKE故障相關(guān)的show、debug命令介紹 PAGEREF _Toc25747334 h 1-111.2.1 show access-list PAGEREF _Toc25747335 h 1-111.2.2 show crypto ike policy PAGEREF _Toc25747336 h 1-121.2.3 show crypto ipsec sa PAGEREF _Toc25747337 h 1-131.2.4 show crypto ips

3、ec sa lifetime PAGEREF _Toc25747338 h 1-151.2.5 show crypto ipsec statistics PAGEREF _Toc25747339 h 1-151.2.6 show crypto ipsec transform PAGEREF _Toc25747340 h 1-161.2.7 show crypto map PAGEREF _Toc25747341 h 1-171.2.8 debug ike PAGEREF _Toc25747342 h 1-181.2.9 debug ipsec PAGEREF _Toc25747343 h 1-

4、191.3 IPSec和IKE故障案例分析 PAGEREF _Toc25747344 h 1-201.3.1 兩端的SPI不匹配導(dǎo)致SA協(xié)商失敗 PAGEREF _Toc25747345 h 1-201.3.2 密鑰不匹配造成無(wú)法通信 PAGEREF _Toc25747346 h 1-211.3.3 兩端ACL不匹配導(dǎo)致階段2協(xié)商失敗 PAGEREF _Toc25747347 h 1-231.3.4 兩端pre-shared不一致導(dǎo)致階段1的SA協(xié)商失敗 PAGEREF _Toc25747348 h 1-251.3.5 應(yīng)用接口錯(cuò)誤導(dǎo)致階段2協(xié)商失敗 PAGEREF _Toc25747349

5、h 1-271.3.6 ACL配置重疊導(dǎo)致通訊失敗 PAGEREF _Toc25747350 h 1-30第2章 包過(guò)濾防火墻故障排除 PAGEREF _Toc25747351 h 2-12.1 包過(guò)濾防火墻故障排除綜述 PAGEREF _Toc25747352 h 2-12.1.1 包過(guò)濾防火墻知識(shí)簡(jiǎn)介 PAGEREF _Toc25747353 h 2-12.1.2 包過(guò)濾防火墻功能和性能的常見(jiàn)問(wèn)題 PAGEREF _Toc25747354 h 2-42.1.3 包過(guò)濾防火墻故障排除的一般步驟 PAGEREF _Toc25747355 h 2-42.2 與包過(guò)濾防火墻故障相關(guān)的show、de

6、bug命令介紹 PAGEREF _Toc25747356 h 2-52.2.1 show access-list PAGEREF _Toc25747357 h 2-52.2.2 show firewall PAGEREF _Toc25747358 h 2-62.2.3 debug filter PAGEREF _Toc25747359 h 2-72.3 包過(guò)濾防火墻故障案例分析 PAGEREF _Toc25747360 h 2-82.3.1 訪(fǎng)問(wèn)控制策略錯(cuò)誤導(dǎo)致防火墻失效 PAGEREF _Toc25747361 h 2-82.3.2 忽略了其他信息使得防火墻不通 PAGEREF _Toc25

7、747362 h 2-11第3章 L2TP故障排除 PAGEREF _Toc25747363 h 3-13.1 L2TP故障排除綜述 PAGEREF _Toc25747364 h 3-13.1.1 L2TP知識(shí)簡(jiǎn)介 PAGEREF _Toc25747365 h 3-13.1.2 L2TP功能和性能的常見(jiàn)問(wèn)題 PAGEREF _Toc25747366 h 3-33.1.3 L2TP故障排除的一般步驟 PAGEREF _Toc25747367 h 3-63.2 與L2TP故障相關(guān)的show、debug命令介紹 PAGEREF _Toc25747368 h 3-73.2.1 show l2tp se

8、ssion PAGEREF _Toc25747369 h 3-73.2.2 show l2tp tunnel PAGEREF _Toc25747370 h 3-83.2.3 debug l2tp PAGEREF _Toc25747371 h 3-83.3 L2TP故障案例分析 PAGEREF _Toc25747372 h 3-173.3.1 路由器LAC和LNS之間不能建立隧道 PAGEREF _Toc25747373 h 3-173.3.2 路由器LAC和LNS之間能正常建立隧道但不能創(chuàng)建會(huì)話(huà)（1） PAGEREF _Toc25747374 h 3-193.3.3 路由器LAC和LNS之間能

9、正常建立隧道但不能創(chuàng)建會(huì)話(huà)（2） PAGEREF _Toc25747375 h 3-213.3.4 接入服務(wù)器與路由器LNS之間不能互通 PAGEREF _Toc25747376 h 3-23第4章 GRE故障排除 PAGEREF _Toc25747377 h 4-14.1 GRE故障排除綜述 PAGEREF _Toc25747378 h 4-14.1.1 GRE知識(shí)簡(jiǎn)介 PAGEREF _Toc25747379 h 4-14.1.2 GRE功能和性能的常見(jiàn)問(wèn)題 PAGEREF _Toc25747380 h 4-24.1.3 GRE故障排除的一般步驟 PAGEREF _Toc25747381

10、h 4-24.2 與GRE故障相關(guān)的show、debug命令介紹 PAGEREF _Toc25747382 h 4-34.2.1 show interfaces tunnel PAGEREF _Toc25747383 h 4-34.3 GRE故障案例分析 PAGEREF _Toc25747384 h 4-44.3.1 GRE隧道兩端的PC之間不能互相ping通 PAGEREF _Toc25747385 h 4-4第5章 QoS故障排除 PAGEREF _Toc25747386 h 5-15.1 QoS故障排除綜述 PAGEREF _Toc25747387 h 5-15.1.1 QoS配置的常見(jiàn)

11、問(wèn)題 PAGEREF _Toc25747388 h 5-15.1.2 其他相關(guān)問(wèn)題 PAGEREF _Toc25747389 h 5-55.1.3 QoS故障排除的一般步驟： PAGEREF _Toc25747390 h 5-55.2 與QoS故障相關(guān)的show、debug命令介紹 PAGEREF _Toc25747391 h 5-65.2.1 show access-lists rate-limit PAGEREF _Toc25747392 h 5-65.2.2 show qos-interface rate-limit PAGEREF _Toc25747393 h 5-75.2.3 sho

12、w qos-interface traffic-shape PAGEREF _Toc25747394 h 5-85.2.4 show qos-interface line-rate PAGEREF _Toc25747395 h 5-95.2.5 show qos-interface priority-queue PAGEREF _Toc25747396 h 5-105.2.6 show queueing priority PAGEREF _Toc25747397 h 5-115.2.7 show qos-interface custom-queue PAGEREF _Toc25747398 h

13、 5-115.2.8 show queueing custom PAGEREF _Toc25747399 h 5-125.2.9 show qos-interface fair-queue PAGEREF _Toc25747400 h 5-135.2.10 show qos-interface random-detect PAGEREF _Toc25747401 h 5-145.2.11 show interface PAGEREF _Toc25747402 h 5-155.2.12 show access-list PAGEREF _Toc25747403 h 5-16第6章 DDR、ISD

14、N故障排除 PAGEREF _Toc25747404 h 6-16.2 DDR、ISDN故障排除綜述 PAGEREF _Toc25747405 h 6-16.2.1 DDR、ISDN知識(shí)簡(jiǎn)介 PAGEREF _Toc25747406 h 6-16.2.2 DDR功能和性能的常見(jiàn)問(wèn)題 PAGEREF _Toc25747407 h 6-26.2.3 DDR故障排除的一般步驟 PAGEREF _Toc25747408 h 6-76.3 與DDR故障相關(guān)的show、debug命令介紹 PAGEREF _Toc25747409 h 6-86.3.1 show dialer interface PAGER

15、EF _Toc25747410 h 6-86.3.2 show dialer map PAGEREF _Toc25747411 h 6-96.3.3 show isdn active PAGEREF _Toc25747412 h 6-106.3.4 show isdn status PAGEREF _Toc25747413 h 6-106.3.5 debug dialer PAGEREF _Toc25747414 h 6-116.3.6 debug modem PAGEREF _Toc25747415 h 6-126.4 DDR故障案例分析 PAGEREF _Toc25747416 h 6-1

16、36.4.1 Dialer接口借用Ethernet0口地址時(shí)ping不通 PAGEREF _Toc25747417 h 6-136.4.2 遠(yuǎn)程撥號(hào)Modem配置引起無(wú)法登錄 PAGEREF _Toc25747418 h 6-156.4.3 與Cisco路由器無(wú)法互通 PAGEREF _Toc25747419 h 6-156.4.4 與NT Workstation無(wú)法互通 PAGEREF _Toc25747420 h 6-166.4.5 路由器ISDN撥號(hào)不成功 PAGEREF _Toc25747421 h 6-166.4.6 路由器不能正常提供接入服務(wù)器功能 PAGEREF _Toc2574

17、7422 h 6-186.4.7 AUX接口數(shù)據(jù)配置錯(cuò)誤導(dǎo)致超級(jí)終端顯示亂碼 PAGEREF _Toc25747423 h 6-186.4.8 撥號(hào)用戶(hù)可以訪(fǎng)問(wèn)Internet而無(wú)法訪(fǎng)問(wèn)局域網(wǎng)內(nèi)的服務(wù)器 PAGEREF _Toc25747424 h 6-196.5 Modem AT命令集 PAGEREF _Toc25747425 h 6-16.5.1 AT 標(biāo)準(zhǔn)指令 PAGEREF _Toc25747426 h 6-16.5.2 AT 擴(kuò)充指令 PAGEREF _Toc25747427 h 6-3第7章 語(yǔ)音故障排除 PAGEREF _Toc25747428 h 6-17.2 語(yǔ)音故障排除綜述

18、 PAGEREF _Toc25747429 h 6-17.2.1 語(yǔ)音知識(shí)簡(jiǎn)介 PAGEREF _Toc25747430 h 6-17.2.2 語(yǔ)音功能和性能的常見(jiàn)問(wèn)題 PAGEREF _Toc25747431 h 6-37.3 與VoIP故障相關(guān)的show、debug命令介紹 PAGEREF _Toc25747432 h 6-147.3.1 show aaa unsent-h323-call-record PAGEREF _Toc25747433 h 6-157.3.2 show call-history PAGEREF _Toc25747434 h 6-167.3.3 show call-

19、history voice-port PAGEREF _Toc25747435 h 6-187.3.4 show gateway PAGEREF _Toc25747436 h 6-197.3.5 show gw-h323 statistics aaa PAGEREF _Toc25747437 h 6-207.3.6 show gw-voip-aaa local-user PAGEREF _Toc25747438 h 6-207.3.7 show ip rtp header-compression PAGEREF _Toc25747439 h 6-217.3.8 show ip tcp head

20、er-compression PAGEREF _Toc25747440 h 6-227.3.9 show r2 call-statistics PAGEREF _Toc25747441 h 6-227.3.10 show rcv ccb PAGEREF _Toc25747442 h 6-237.3.11 show rcv statistic PAGEREF _Toc25747443 h 6-257.3.12 show running-config h323 PAGEREF _Toc25747444 h 6-277.3.13 show vcc PAGEREF _Toc25747445 h 6-2

21、87.3.14 show voice-port PAGEREF _Toc25747446 h 6-317.3.15 show voip PAGEREF _Toc25747447 h 6-327.3.16 show voip data-statistic PAGEREF _Toc25747448 h 6-337.3.17 show vpp PAGEREF _Toc25747449 h 6-357.3.18 debug ip rtp header-compression PAGEREF _Toc25747450 h 6-367.3.19 debug ip tcp header-compressio

22、n PAGEREF _Toc25747451 h 6-367.3.20 debug ipfax PAGEREF _Toc25747452 h 6-377.3.21 debug ipp PAGEREF _Toc25747453 h 6-387.3.22 debug r2 PAGEREF _Toc25747454 h 6-437.3.23 debug ras PAGEREF _Toc25747455 h 6-497.3.24 debug rcv PAGEREF _Toc25747456 h 6-497.3.25 debug vcc PAGEREF _Toc25747457 h 6-507.3.26

23、 debug voice-data PAGEREF _Toc25747458 h 6-597.3.27 debug vpm PAGEREF _Toc25747459 h 6-607.3.28 debug vpp PAGEREF _Toc25747460 h 6-707.4 語(yǔ)音故障案例分析 PAGEREF _Toc25747461 h 6-1IPSec和IKE故障排除IPSec和IKE故障排除綜述IPSec和IKE知識(shí)簡(jiǎn)介IPSec簡(jiǎn)介IPSec就是IP安全，也就是安全的IP。IPsec在網(wǎng)絡(luò)層起作用，為上層協(xié)議提供安全服務(wù)。IPSec提供的安全服務(wù)包括：完整性：確保接收到的數(shù)據(jù)在傳送過(guò)程中沒(méi)

24、有被中間人竄改過(guò)。真實(shí)性：確保接收到的數(shù)據(jù)是由所聲稱(chēng)的發(fā)送方發(fā)送的，防止地址欺騙。機(jī)密性：發(fā)送方在發(fā)送前將數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)的私有性。反重放：IPsec報(bào)文的接收方可以檢測(cè)到并拒絕重放的報(bào)文。IPSec安全協(xié)議包括：AH和ESP。AH協(xié)議提供了完整性、真實(shí)性、以及放重放服務(wù)，沒(méi)有提供機(jī)密性服務(wù)。但是AH協(xié)議的完整性和真實(shí)性服務(wù)比ESP協(xié)議的保護(hù)范圍更大。ESP協(xié)議提供了完整性、真實(shí)性、機(jī)密性以及防重放服務(wù)。IPSec使用的主要算法目前有：驗(yàn)證算法：MD5、SHA1，用于提供完整性和真實(shí)性。加密算法：DES、3DES，用于提供機(jī)密性。IKE簡(jiǎn)介與IPSec密不可分的一個(gè)協(xié)議是IKE，它用于I

25、PSec安全聯(lián)盟及密鑰的自動(dòng)化管理，定時(shí)為IPSec協(xié)商密鑰、創(chuàng)建、刪除安全聯(lián)盟等。IKE使用兩個(gè)階段的ISAKMP：第一階段：協(xié)商創(chuàng)建一個(gè)通信信道，并對(duì)該信道進(jìn)行認(rèn)證，為雙方進(jìn)一步的IKE通信提供機(jī)密性、消息完整性以及消息源認(rèn)證服務(wù)。第二階段，使用已建立的IKE SA建立IPSec SA。從下圖我們可以看出IKE和IPSec之間的關(guān)系。IKE和IPSec之間的關(guān)系圖IPSec和IKE配置的一般步驟IPSec和IKE故障排除的一般步驟IPSec和IKE的配置過(guò)程比較復(fù)雜，需要配置的命令較多。IPSec配置的三個(gè)要素如下，熟練掌握將有助于安全配置：what：哪些數(shù)據(jù)需要保護(hù)，用ACL去定義你要保

26、護(hù)的數(shù)據(jù)流。where：在傳輸路徑的哪一段實(shí)施保護(hù)，定義隧道的兩個(gè)端點(diǎn)。how：如何保護(hù)這些數(shù)據(jù)，定義轉(zhuǎn)換方式transform。手工模式IPSec基本配置手工方式和協(xié)商方式的配置過(guò)程稍有不同：對(duì)于手工方式，配置步驟如下：明確要保護(hù)什么（what），也就是定義ACL。明確實(shí)施保護(hù)的位置（where）。明確如何保護(hù)（how），定義transform。定義安全策略（crypto map），定義安全策略的模式為manual，將上面三個(gè)要素捆綁到安全策略中。定義安全聯(lián)盟所用的密鑰。在合適的接口上應(yīng)用安全策略。協(xié)商模式IPSec基本配置對(duì)于協(xié)商方式，由于安全聯(lián)盟的參數(shù)是協(xié)商出來(lái)的，而不是手工配置的，所以

27、只有第5步與手工方式不同，其余5步基本相同。配置步驟如下：明確要保護(hù)什么（what），也就是定義ACL。明確實(shí)施保護(hù)的位置（where）。明確如何保護(hù)（how），定義transform。定義安全策略（crypto map），定義安全策略的模式為isakmp，將上面三個(gè)要素捆綁到安全策略中。配置IKE的參數(shù)（IKE的policy和共享密鑰）。在合適的接口上應(yīng)用安全策略。手工方式下IPSec功能和性能的常見(jiàn)問(wèn)題手工方式下安全聯(lián)盟不能建立當(dāng)用show crypto ipsec sa 或show crypto ipsec sa map命令檢查安全聯(lián)盟時(shí)發(fā)現(xiàn)沒(méi)有看到相應(yīng)的安全聯(lián)盟時(shí)，檢查以下配置：相應(yīng)的

28、安全策略是否應(yīng)用到了接口上。檢查安全策略是否設(shè)置了要保護(hù)的數(shù)據(jù)流。檢查match address命令是否引用了正確的ACL號(hào)，該ACL號(hào)是否已經(jīng)定義。檢查安全策略是否設(shè)置了轉(zhuǎn)換方式。檢查set transform命令是否引用了轉(zhuǎn)換方式（transform），而且該transform已經(jīng)被定義。檢查安全策略是否設(shè)置了隧道端點(diǎn)。檢查set peer命令和set local-address命令是否設(shè)置。檢查安全聯(lián)盟的SPI。檢查在安全策略中是否設(shè)置了安全聯(lián)盟的SPI，是否進(jìn)入和外出兩個(gè)方向都設(shè)置了，SPI的值是否是唯一的，不能與其它的一樣。檢查安全聯(lián)盟的密鑰是否設(shè)置正確。如果在引用的轉(zhuǎn)換方式中采用了

29、加密算法，則應(yīng)該設(shè)置加密密鑰；如果在轉(zhuǎn)換方式中采用了驗(yàn)證算法，則應(yīng)該設(shè)置驗(yàn)證密鑰。如果采用十六進(jìn)制方式指定密鑰，則要分別指定加密密鑰和驗(yàn)證密鑰；如果采用字符串方式指定密鑰，則只需配置一個(gè)string-key參數(shù)。需要注意的是，外出和進(jìn)入兩個(gè)方向的密鑰都要設(shè)置。如果以十六進(jìn)制指定密鑰，還要檢查密鑰的長(zhǎng)度是否與算法要求的相同。在接口應(yīng)用IPSec安全策略或改變安全策略參數(shù)時(shí)會(huì)給出一定的提示信息，用戶(hù)可以根據(jù)這些信息來(lái)定位問(wèn)題。參數(shù)不全時(shí)（例如SPI或驗(yàn)證密鑰沒(méi)有配置）的提示信息如下： Some parameters of the crypto map mapm-10 are invalid,ple

30、ase check it.參數(shù)配置了但不符合算法需要時(shí)（例如引用的transform重選擇的是sha1算法，而配置的驗(yàn)證密鑰不足20個(gè)字節(jié)）的提示信息如下： Parameter error. Can not create security association for map_m 10手工方式下建立了安全聯(lián)盟，但不能通信如果用show crypto ipsec sa或show crypto ipsec sa map命令檢查安全聯(lián)盟時(shí)看到相應(yīng)的安全聯(lián)盟已經(jīng)建立，但不能通信，則檢查以下配置：安全聯(lián)盟兩端的配置的ACL是否互為鏡像選用的安全協(xié)議是否一樣選用的算法是否一致SPI是否匹配密鑰是否匹配定

31、義的隧道端點(diǎn)是否相同由于通信是雙方面的，一方雖然建立了安全聯(lián)盟，但其雙方的參數(shù)無(wú)法匹配起來(lái)，同樣不能通信。手工方式下建立了安全聯(lián)盟，有些數(shù)據(jù)流能通信，但有些不通出現(xiàn)這種情況時(shí)，可檢查兩端的安全策略所定義的數(shù)據(jù)流是否互為鏡像。數(shù)據(jù)流部分重疊上圖所示的就是兩個(gè)數(shù)據(jù)流不是互為鏡像，造成雙方只有部分?jǐn)?shù)據(jù)流是相同的。例如：RouterA(config)# access-list 100 permit ip 55 anyRouterB(config)# access-list 100 permit ip 55 any這時(shí)，雙方定義的數(shù)據(jù)流的集合只有之間的數(shù)據(jù)流是相同的（也就是圖中的C部分），其余不相同（上

32、圖中的A、B兩部分）。這樣只能保證相交部分的數(shù)據(jù)流能通信，其它部分的數(shù)據(jù)流不能通信。注意：采用手工方式創(chuàng)建安全聯(lián)盟，由于手工方式的數(shù)據(jù)、安全聯(lián)盟是靜態(tài)的，診斷相對(duì)容易些，只要注意幾點(diǎn)便可排除常見(jiàn)的故障：(1) 參數(shù)是否配齊(2) 參數(shù)是否匹配(3) ACL是否互為鏡像協(xié)商方式下IPSec和IKE功能和性能的常見(jiàn)問(wèn)題協(xié)商方式的IPSec安全聯(lián)盟是由IKE協(xié)商生成的。要診斷此類(lèi)的故障，首先要清楚安全聯(lián)盟的建立過(guò)程。其處理過(guò)程如下：當(dāng)一個(gè)報(bào)文從某接口外出時(shí)，如果此接口應(yīng)用了IPSec，會(huì)進(jìn)行安全策略的匹配。如果找到匹配的安全策略，會(huì)查找相應(yīng)的安全聯(lián)盟。如果安全聯(lián)盟還沒(méi)有建立，則觸發(fā)IKE進(jìn)行協(xié)商。I

33、KE首先建立階段1的安全聯(lián)盟，或稱(chēng)為IKE SA。在階段1安全聯(lián)盟的保護(hù)下協(xié)商階段2的安全聯(lián)盟，也就是IPSec SA。用IPSec SA保護(hù)通訊數(shù)據(jù)。當(dāng)出現(xiàn)故障時(shí)，首先要知道是在哪個(gè)階段出現(xiàn)的問(wèn)題，然后再根據(jù)相應(yīng)的階段進(jìn)行診斷。階段1的SA沒(méi)有建立。如果是階段1的SA沒(méi)有建立，應(yīng)該對(duì)實(shí)施IPSec通信的雙方都進(jìn)行檢查。接口是否應(yīng)用了安全策略；是否有匹配的數(shù)據(jù)流觸發(fā)；是否為對(duì)方配置了共享密鑰，以及共享密鑰是否一致（采用pre-share驗(yàn)證方式時(shí)）。階段2的SA沒(méi)有建立在階段1的SA建立后，影響階段2的SA建立的因素主要有：ACL是否匹配，按照前面所敘述的匹配原則進(jìn)行檢查；轉(zhuǎn)換方式是否一致；設(shè)

34、置的隧道對(duì)端地址是否匹配；應(yīng)用的接口是否正確。兩個(gè)階段的SA都建立起來(lái)了，但不能通信在這種情況下，一般都是由于A(yíng)CL的配置不當(dāng)引起的。應(yīng)該檢查ACL的配置是否符合要求。IPSec和IKE配置過(guò)程的注意事項(xiàng)確定要保護(hù)的數(shù)據(jù)流時(shí)的注意事項(xiàng)需要保護(hù)/24與/24子網(wǎng)之間的所有IP 通信。如下圖所示：IPSec和IKE典型組網(wǎng)圖用100199之間的擴(kuò)展ACL來(lái)表示，規(guī)則編號(hào)為169，正確數(shù)據(jù)流過(guò)濾規(guī)則為：Router_A(config)# access-list 169 permit ip 55 55Router_B(config)# access-list 169 permit ip 55 55注意

35、事項(xiàng)：對(duì)于IPSec要保護(hù)的數(shù)據(jù)流，我們只定義外出方向的數(shù)據(jù)流，不需要定義進(jìn)入方向的數(shù)據(jù)流。進(jìn)入方向的數(shù)據(jù)流與外出方向數(shù)據(jù)流的源和目的正好相反。如果只需要保護(hù)某一類(lèi)數(shù)據(jù)，而非所有的IP數(shù)據(jù)，則可以在access-list的定義中明確出來(lái)，如指定具體的端口號(hào)或端口范圍。IPSec提供的是端到端的安全。參與IPSec通信的兩個(gè)對(duì)等體所定義的數(shù)據(jù)流的集合必須完全重合。否則會(huì)造成一部分通信能通，而有些通信不能通。所謂數(shù)據(jù)流完全重合也就是兩個(gè)對(duì)等體所定義的數(shù)據(jù)流互為映射。也就是說(shuō)RA定義的數(shù)據(jù)流的源就是RB定義的數(shù)據(jù)流的目的，RA定義的數(shù)據(jù)流的目的就是RB定義的數(shù)據(jù)流的源。ACL的定義應(yīng)該準(zhǔn)確反映實(shí)際需

36、求，不能用any關(guān)鍵詞簡(jiǎn)單代替。確定實(shí)施保護(hù)的位置時(shí)的注意事項(xiàng)報(bào)文在從源報(bào)文傳輸路徑的哪一段實(shí)施安全保護(hù)呢？或換句話(huà)說(shuō)，IPSec安全隧道的兩個(gè)端點(diǎn)定義在哪里？IPSec安全隧道是用來(lái)保護(hù)需要保護(hù)的通訊數(shù)據(jù)的，應(yīng)該是在要保護(hù)的數(shù)據(jù)進(jìn)入不信任網(wǎng)絡(luò)前就要實(shí)施了IPSec保護(hù)，在離開(kāi)不信任網(wǎng)絡(luò)后才可解除IPSec保護(hù)。一般情況下是連接公網(wǎng)的接口處，或者說(shuō)是連接不信任網(wǎng)絡(luò)的接口處。可以在兩個(gè)子網(wǎng)的網(wǎng)關(guān)間實(shí)施安全保護(hù)，也可以在主機(jī)與網(wǎng)關(guān)，或主機(jī)與主機(jī)間實(shí)施保護(hù)，如下圖所示：IPSec實(shí)施保護(hù)的位置IPSec實(shí)施保護(hù)的位置分為：對(duì)于第一種情況，數(shù)據(jù)在兩個(gè)網(wǎng)關(guān)間是受到保護(hù)的，在子網(wǎng)中是不受保護(hù)的，這種配置的

37、前提是雙方對(duì)于子網(wǎng)是信任的。隧道的端點(diǎn)即是兩個(gè)路由器連接公網(wǎng)的接口。對(duì)于第二種情況，數(shù)據(jù)在主機(jī)和對(duì)方的網(wǎng)關(guān)間受到保護(hù)。這時(shí)隧道的端點(diǎn)是主機(jī)和路由器。主機(jī)不相信自己所在的子網(wǎng)內(nèi)部，而相信對(duì)方所在網(wǎng)絡(luò)的子網(wǎng)，在數(shù)據(jù)發(fā)出主機(jī)前，就對(duì)數(shù)據(jù)進(jìn)行了IPSec保護(hù)。這種情況一般多用于移動(dòng)辦公的用戶(hù)連到總部的網(wǎng)關(guān)的情況。第三種情況是由主機(jī)到主機(jī)的情況。對(duì)于主機(jī)與主機(jī)間的情況，由于與路由器沒(méi)太大關(guān)系，只要保證路由器能允許IPSec數(shù)據(jù)流和IKE協(xié)商報(bào)文通過(guò)即可。確定如何保護(hù)數(shù)據(jù)時(shí)的注意事項(xiàng)我們知道了要保護(hù)哪些數(shù)據(jù)，以及在哪里需要保護(hù)，那么又如何保護(hù)呢？也就是說(shuō)，需要什么樣的安全服務(wù)：是否需要機(jī)密性？是否需要數(shù)據(jù)

38、源驗(yàn)證？以及保護(hù)的強(qiáng)度如何？等等。如果數(shù)據(jù)不怕被中間人看到，但需要防止中間人竄改數(shù)據(jù)、或偽造數(shù)據(jù)，則需要數(shù)據(jù)源驗(yàn)證功能。AH協(xié)議和ESP協(xié)議都提供了數(shù)據(jù)源驗(yàn)證功能，但ESP協(xié)議沒(méi)有對(duì)報(bào)文頭進(jìn)行驗(yàn)證。一般情況下，如果只需要驗(yàn)證功能，建議選擇AH協(xié)議。如果即需要驗(yàn)證功能，還需要數(shù)據(jù)的機(jī)密性，則必須采用ESP協(xié)議來(lái)完成。ESP即提供了驗(yàn)證功能，也提供了數(shù)據(jù)加密功能。使用什么樣的安全協(xié)議、什么樣的加密算法、什么樣的驗(yàn)證算法。這些由轉(zhuǎn)換方式（transform）來(lái)定義。推薦用法當(dāng)只需要驗(yàn)證功能時(shí)，使用AH協(xié)議；當(dāng)需要對(duì)數(shù)據(jù)進(jìn)行加密和驗(yàn)證時(shí)，使用ESP協(xié)議。不推薦用法（以下方法在協(xié)議上是允許的，但不推薦使

39、用）使用ESP只做加密，而不做驗(yàn)證：這種方式被證明是危險(xiǎn)的；使用ESP加密，AH進(jìn)行驗(yàn)證：使用這種方法比直接用ESP對(duì)數(shù)據(jù)進(jìn)行加密和驗(yàn)證處理復(fù)雜，并且在絕大多數(shù)情況下沒(méi)有多少用途；用AH、ESP進(jìn)行兩次驗(yàn)證：除特別想使用這種方式外，否則不要用，沒(méi)有實(shí)際意義；只使用ESP的驗(yàn)證而不加密：這在協(xié)議標(biāo)準(zhǔn)上稱(chēng)作“NULL加密”，推薦使用AH替代這種方式。注意：(1) 沒(méi)有驗(yàn)證的加密是不安全的。在安全中，第一位的是驗(yàn)證。如果沒(méi)有驗(yàn)證，無(wú)法得知數(shù)據(jù)的真實(shí)性和可靠性。(2) 在transform定義時(shí)要注意封裝模式的選擇，如果保護(hù)的數(shù)據(jù)的源和目的不與IPsec隧道重合不能使用傳輸（transport）模式，

40、只能使用隧道（tunnel）模式。否則，無(wú)法對(duì)數(shù)據(jù)實(shí)施IPSec保護(hù)。定義安全策略時(shí)的注意事項(xiàng)在確定了三個(gè)要素后，用安全策略（crypto map）將它們聯(lián)系到一起。安全策略包括：需要保護(hù)的數(shù)據(jù)流（即What），用match address命令來(lái)指定ACL。如何保護(hù)（即How），用set transform命令來(lái)指定所使用的轉(zhuǎn)換方式。安全隧道建立在哪里（即Where），用set peer命令指定隧道的對(duì)端地址。對(duì)于手工建立安全聯(lián)盟的安全策略，隧道的本端地址需用命令set local-address 來(lái)指定；對(duì)協(xié)商方式建立安全聯(lián)盟的安全策略，采用IPSec安全策略應(yīng)用的接口地址，不需要指定本端的

41、隧道地址。對(duì)于手工方式創(chuàng)建的安全策略，由于協(xié)議算法所需要的密鑰和一些參數(shù)需要手工指定，所以還必須配置其它的參數(shù)，這些參數(shù)包括：安全聯(lián)盟的安全參數(shù)索引SPI算法所使用的密鑰。如果使用了驗(yàn)證算法就必須指定驗(yàn)證算法所使用的密鑰；如果使用了加密算法，就必須指定加密算法所使用的密鑰。而且位數(shù)必須符合算法的要求。在手工配置密鑰時(shí)，需要注意以下幾點(diǎn)：IPSec安全聯(lián)盟是單向的，分為外出數(shù)據(jù)流的安全聯(lián)盟和進(jìn)入數(shù)據(jù)流的安全聯(lián)盟。所以在配置時(shí)需要分別配置入方向和出方向的安全聯(lián)盟。SPI參數(shù)是安全參數(shù)索引，嚴(yán)格講，對(duì)于每一個(gè)安全聯(lián)盟，應(yīng)該是唯一的，不應(yīng)該與其它的安全聯(lián)盟的SPI相同。同一個(gè)隧道的兩個(gè)方向的安全聯(lián)盟也

42、不應(yīng)該相同。對(duì)于一個(gè)安全隧道的兩端，其參數(shù)應(yīng)該是匹配的。匹配的含義就是一端的出方向的安全聯(lián)盟的參數(shù)應(yīng)該與另一端的入方向的安全聯(lián)盟的參數(shù)相同；一端入方向的安全聯(lián)盟的參數(shù)應(yīng)該與另一端出方向的安全聯(lián)盟參數(shù)相同。手工方式下，可以用兩種方式來(lái)指定安全聯(lián)盟的密鑰：字符串或十六進(jìn)制形式。如果使用字符串方式，只需為每個(gè)方向的安全聯(lián)盟指定一個(gè)字符串，便可為協(xié)議所使用的算法派生出相應(yīng)的密鑰。如果用十六進(jìn)制形式指定密鑰，則必須嚴(yán)格按照算法的要求指定協(xié)議所有算法所需的密鑰。注意：對(duì)于手工方式的安全策略，其安全聯(lián)盟的密鑰需要在安全策略定義中指定，以上的配置就足夠了；而對(duì)于自動(dòng)協(xié)商方式的安全策略，由其產(chǎn)生的安全聯(lián)盟的密鑰

43、、SPI等一些參數(shù)是由IKE協(xié)商產(chǎn)生的。所以，對(duì)于協(xié)商方式的安全策略，還需要一些IKE的配置工作。IKE的配置在進(jìn)行完上面的幾步后，IPSec的安全策略已經(jīng)配置完成。如果采用自動(dòng)協(xié)商方式的安全策略，就應(yīng)該進(jìn)行相關(guān)的IKE配置。如果采用手工方式的安全策略，則不需要這一步。IKE的配置主要有兩方面：IKE的安全策略（policy）共享密鑰（pre-shared key）在配置IKE時(shí)，需要注意以下幾點(diǎn)：IKE的配置是基于整個(gè)路由器的，而IPSec的安全策略是基于接口的。路由器有一個(gè)缺省的IKE安全策略。其優(yōu)先級(jí)最低，當(dāng)參與IKE協(xié)商的雙方配置的IKE安全策略都不匹配時(shí)，會(huì)采用此缺省的IKE安全策略

44、。所以，即使沒(méi)有配置IKE的policy，雙方也會(huì)有匹配的IKE安全策略，因?yàn)橛幸粋€(gè)缺省的policy。如果在一臺(tái)路由器上定義了好幾個(gè)參數(shù)相同的IKE policy，其效果與配置一個(gè)是相同的。應(yīng)用所定義的安全策略最后一步就是應(yīng)用所定義的安全策略。在接口配置模式下，執(zhí)行crypto map命令在指定接口應(yīng)用此安全策略。如果所應(yīng)用的安全策略是手工方式建立安全聯(lián)盟，會(huì)立即生成安全聯(lián)盟。如果所應(yīng)用的是自動(dòng)協(xié)商方式的安全聯(lián)盟，不會(huì)立即建立安全聯(lián)盟，只有當(dāng)符合某IPSec安全策略的數(shù)據(jù)流從該接口外出時(shí)，才會(huì)觸發(fā)IKE去協(xié)商IPSec安全聯(lián)盟。安全策略應(yīng)該應(yīng)用到要保護(hù)的數(shù)據(jù)流的外出接口上。應(yīng)該強(qiáng)調(diào)三點(diǎn)：外出

45、接口；確保保護(hù)的數(shù)據(jù)流應(yīng)該從此接口出去，而不是其它的接口；對(duì)方實(shí)施了措施，確保保護(hù)的數(shù)據(jù)應(yīng)該從此接口進(jìn)來(lái)。IPSec和IKE的其它配置IKE的keepalive機(jī)制可以判斷對(duì)端是否還能正常通訊。IKE的keepalive需要配置兩個(gè)參數(shù)：interval：發(fā)送keepalive報(bào)文的時(shí)間間隔。timeout：超時(shí)檢測(cè)的時(shí)間間隔，建議時(shí)間間隔為interval的3倍左右。注意：(1) 在一臺(tái)路由器上應(yīng)該同時(shí)配置這兩個(gè)參數(shù)，并且參數(shù)要匹配。(2) interval和timeout要成對(duì)出現(xiàn)，即在一個(gè)路由器上配置了timeout參數(shù)，那么在對(duì)端就要配置interval參數(shù)。(3) interval的

46、參數(shù)應(yīng)該小于對(duì)端的timeout參數(shù)值，而不應(yīng)該與本端進(jìn)行比較。與IPSec和IKE故障相關(guān)的show、debug命令介紹華為中低端路由器上用于排除IPSec 和IKE故障的的常用命令在下面分別介紹。show access-list【用法說(shuō)明】顯示包過(guò)濾規(guī)則及在接口上的應(yīng)用情況?！菊Z(yǔ)法】show access-list all | access-list-number | interfacetypenumber 【參數(shù)說(shuō)明】all：顯示所有的規(guī)則，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則。access-list-number：為顯示當(dāng)前所使用的規(guī)則中序號(hào)為access-list-number的規(guī)則

47、。interface：表示要顯示在指定接口上應(yīng)用的規(guī)則序號(hào)；type：為接口類(lèi)型。number：為接口編號(hào)?！据敵鰧?shí)例】Quidway# show access-list 100Using normal packet-filtering access rules now.100 deny icmp 55 any host-redirect(3 matches,252 bytes - rule 1)100 permit icmp 55 any echo (no matches - rule 2)100 deny udp any any eq rip (no matches - rule 3) 【

48、輸出關(guān)鍵點(diǎn)說(shuō)明】顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過(guò)對(duì)計(jì)數(shù)器的觀(guān)察可以看出所配置的規(guī)則中，哪些規(guī)則有效，哪些規(guī)則無(wú)效。show crypto ike policy【用法說(shuō)明】顯示IKE的安全策略、安全聯(lián)盟參數(shù)?！菊Z(yǔ)法】show crypto ike policy | sa 【參數(shù)說(shuō)明】policy：顯示IKE的安全策略。sa：顯示IKE的安全聯(lián)盟參數(shù)。【輸出實(shí)例】Quidway# show crypto ike policyProtection suite priority 15encryption algo

49、rithm: DES - CBChash algorithm: MD5authentication method:Pre-Shared KeyDiffie-Hellman Group: MODP1024Lifetime: 5000 seconds, no volume limitProtection suite priority 20encryption algorithm: DES - CBChash algorithm: SHAauthentication method:Pre-Shared KeyDiffie-Hellman Group: MODP768lifetime:10000 se

50、conds, no volume limitDefault protection suiteencryption algorithm: DES - CBChash algorithm: SHAauthentication method:Pre-Shared KeyDiffie-Hellman Group: MODP768Lifetime: 86400 seconds, no volume limitQuidway# show crypto ike saconn-id peer flags phase doi1 RD|ST 1 IPSEC2 RD|ST 2 IPSECFlag meaning:R

51、D-Ready ST-Stayalive RT-Replaced FD-Fading【輸出關(guān)鍵點(diǎn)說(shuō)明】show crypto ike policy顯示按照優(yōu)先級(jí)的先后順序排列的IKE策略，如采用的加密算法（encryption algorithm）為DES-CBC，認(rèn)證算法（hash algorithm）為MD5，認(rèn)證方法（authentication method）為共享密鑰方式，DH組為MODP1024，生命周期為5000秒。show crypto ike sa顯示安全通道列表，內(nèi)容包括對(duì)端地址（peer）、通道狀態(tài)（flags）、協(xié)商階段（phase)和DOI。安全通道與安全聯(lián)盟是完全不

52、同的兩個(gè)概念，安全通道是一個(gè)兩端可以互通的通道，而IPSec SA則是一個(gè)單向的連接，所以安全通道是由一對(duì)或幾對(duì)安全聯(lián)盟組成的。show crypto ipsec sa【用法說(shuō)明】顯示安全聯(lián)盟的相關(guān)信息?！菊Z(yǔ)法】show crypto ipsec sa all | brief | peer ip-address | map map-name map-number | entrydest-addressprotocolspi 【參數(shù)說(shuō)明】all：顯示所有的安全聯(lián)盟的信息。brief：顯示所有的安全聯(lián)盟的簡(jiǎn)要信息。peer：顯示對(duì)端地址的安全聯(lián)盟的信息。ip-address：指定對(duì)端地址，格式為A

53、.B.C.D的IP地址格式。map：顯示名字為map-name，安全策略順序號(hào)為map-number的安全策略組中的安全聯(lián)盟的信息。entry：顯示由目的地址、協(xié)議、SPI所唯一確定的一個(gè)安全聯(lián)盟的信息。dest-address：指定目的地址，格式為A.B.C.D的IP地址格式。protocol：指定協(xié)議，輸入關(guān)鍵字ah或esp，不區(qū)分大小寫(xiě)。spi：指定安全參數(shù)索引（SPI）?！据敵鰧?shí)例】Quidway# show crypto ipsec sa briefSrc Address Dst Address SPI Protocol Algorithm 300 NEW_ESP E:Hardwar

54、e; A:HMAC-MD5-96 400 NEW_ESP E:Hardware; A:HMAC-MD5-96Quidway# show crypto ipsec sa allinterface: Ethernet 0crypto map name: map1crypto map sequence: 100negotiation mode: isakmpin use settings = tunnellocal address: peer address: inbound esp SAs:spi: 400 (0 x190)transform: ESP-HARDWARE ESP-AUTH-MD5k

55、ey id: 1sa timing: remaining key lifetime (kilobytes/seconds): 432018/90max received sequence-number: 358outbound esp SAs:spi: 300 (0 x12c)transform: ESP-HARDWARE ESP-AUTH-MD5key id: 2sa timing: remaining key lifetime (kilobytes/seconds): 430257/90max sent sequence-number: 2341【輸出關(guān)鍵點(diǎn)說(shuō)明】使用關(guān)鍵字brief顯示所

56、有的安全聯(lián)盟的簡(jiǎn)要信息，顯示格式為簡(jiǎn)要格式，信息包括：源地址（Src Address）、目的地址（Dst Address）、安全參數(shù)索引（SPI）、協(xié)議（Protocol）、算法（Algorithm）。其中算法的顯示以“E:”開(kāi)頭的表示加密算法，以“A:”開(kāi)頭的表示認(rèn)證算法。其他四種關(guān)鍵字（all、peer、map、entry）均顯示安全聯(lián)盟的詳細(xì)信息，顯示格式是先顯示安全策略的部分信息，再顯示此安全策略中的安全聯(lián)盟的詳細(xì)信息。采用all關(guān)鍵字的輸出信息依次為：接口、安全策略名、安全策略序號(hào)、協(xié)商模式、使用中的模式、本端和對(duì)端地址，隨后為Inbound方向ESP SA的信息（包括SPI、轉(zhuǎn)換方

57、式、密鑰標(biāo)識(shí)、SA生存周期、最大已接收的序列號(hào)），然后為Outbound方向ESP SA的信息（包括SPI、轉(zhuǎn)換方式、密鑰標(biāo)識(shí)、SA生存周期、最大已發(fā)送的序列號(hào)）。show crypto ipsec sa lifetime【用法說(shuō)明】顯示安全聯(lián)盟的全局生存周期?！菊Z(yǔ)法】show crypto ipsec sa lifetime【參數(shù)說(shuō)明】無(wú)【輸出實(shí)例】Quidway# show crypto ipsec sa lifetime crypto ipsec sa lifetime: 1843200 kilobytes crypto ipsec sa lifetime: 3600 seconds【輸

58、出關(guān)鍵點(diǎn)說(shuō)明】顯示安全聯(lián)盟的全局生存周期，包括“計(jì)時(shí)間”和“計(jì)流量”兩種類(lèi)型。show crypto ipsec statistics【用法說(shuō)明】顯示IPSec處理報(bào)文的統(tǒng)計(jì)信息。【語(yǔ)法】show crypto ipsec statistics【參數(shù)說(shuō)明】無(wú)【輸出實(shí)例】Quidway# show crypto ipsec statisticsthe security packet statistics: input/output security packets: 5124/8231 input/output security bytes: 52348/64356 input/output d

59、ropped security packets: 0/0 dropped security packet detail: no enough memory: 0 cant find SA: 0 queue is full: 0 authen failed: 0 invalid length: 0 replay packet: 0 too long packet: 0 invalid SA: 0【輸出關(guān)鍵點(diǎn)說(shuō)明】顯示IPSec處理報(bào)文的統(tǒng)計(jì)信息。包括輸入輸出的安全報(bào)文數(shù)、字節(jié)數(shù)、被丟棄的報(bào)文數(shù)以及被丟棄的報(bào)文的詳細(xì)說(shuō)明（不能找到SA、隊(duì)列滿(mǎn)、認(rèn)證失敗、無(wú)效長(zhǎng)度、重放報(bào)文、報(bào)文過(guò)長(zhǎng)、無(wú)效SA）。s

60、how crypto ipsec transform【用法說(shuō)明】顯示轉(zhuǎn)換方式的信息。【語(yǔ)法】show crypto ipsec transform transform-name 【參數(shù)說(shuō)明】transfrom-name：為轉(zhuǎn)換方式名。【輸出實(shí)例】Quidway# show crypto ipsec transformtransform set name: ah_md5mode: tunneltransform: ah-newalgorithm: md5-hmac-96transform set name: esp_hard_shamode: tunneltransform: esp-newal