《【网络故障】网络故障—06-其他业务故障排除1837.docx》由会员分享,可在线阅读,更多相关《【网络故障】网络故障—06-其他业务故障排除1837.docx(268页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目 录录第1章 IPSSec和和IKEE故障排排除1-11.1 IPSSec和和IKEE故障排排除综述述1-111.1.1 IIPSeec和IKEE知识简简介1-11.1.2 IIPSeec和IKEE配置的的一般步步骤1-21.1.3 手手工方式式下IPPSecc功能和和性能的的常见问问题1-31.1.4 协协商方式式下IPPSecc和IKEE功能和和性能的的常见问问题1-51.1.5 IIPSeec和IKEE配置过过程的注注意事项项1-661.2 与IPPSecc和IKEE故障相相关的sshoww、debbug命命令介绍绍1-1111.2.1 sshoww acccesss-llistt1-
2、1111.2.2 sshoww crryptto iike pollicyy1-1121.2.3 sshoww crryptto iipseec ssa1-1131.2.4 sshoww crryptto iipseec ssa llifeetimme1-1151.2.5 sshoww crryptto iipseec sstattistticss1-1151.2.6 sshoww crryptto iipseec ttrannsfoorm1-1161.2.7 sshoww crryptto mmap1-1171.2.8 ddebuug iike1-1181.2.9 ddebuug iipse
3、ec1-1191.3 IPSSec和和IKEE故障案案例分析析1-2201.3.1 两两端的SSPI不不匹配导导致SAA协商失失败1-201.3.2 密密钥不匹匹配造成成无法通通信1-211.3.3 两两端ACCL不匹匹配导致致阶段22协商失失败1-231.3.4 两两端prre-ssharred不不一致导导致阶段段1的SA协商失失败1-251.3.5 应应用接口口错误导导致阶段段2协商失失败1-271.3.6 AACL配配置重叠叠导致通通讯失败败1-330第2章 包过滤滤防火墙墙故障排排除2-12.1 包过滤滤防火墙墙故障排排除综述述2-112.1.1 包包过滤防防火墙知知识简介介2-112
4、.1.2 包包过滤防防火墙功功能和性性能的常常见问题题2-442.1.3 包包过滤防防火墙故故障排除除的一般般步骤22-42.2 与包过过滤防火火墙故障障相关的的shoow、debbug命命令介绍绍2-552.2.1 sshoww acccesss-llistt2-552.2.2 sshoww fiirewwalll2-662.2.3 ddebuug ffiltter2-772.3 包过滤滤防火墙墙故障案案例分析析2-882.3.1 访访问控制制策略错错误导致致防火墙墙失效22-82.3.2 忽忽略了其其他信息息使得防防火墙不不通2-11第3章 L2TTP故障障排除33-13.1 L2TTP故
5、障障排除综综述3-13.1.1 LL2TPP知识简简介3-13.1.2 LL2TPP功能和和性能的的常见问问题3-33.1.3 LL2TPP故障排排除的一一般步骤骤3-663.2 与L22TP故故障相关关的shhow、debbug命命令介绍绍3-773.2.1 sshoww l22tp sesssioon3-773.2.2 sshoww l22tp tunnnell3-883.2.3 ddebuug ll2tpp3-883.3 L2TTP故障障案例分分析3-173.3.1 路路由器LLAC和和LNSS之间不不能建立立隧道33-1773.3.2 路路由器LLAC和和LNSS之间能能正常建建立隧道
6、道但不能能创建会会话(11)3-1193.3.3 路路由器LLAC和和LNSS之间能能正常建建立隧道道但不能能创建会会话(22)3-2213.3.4 接接入服务务器与路路由器LLNS之之间不能能互通33-233第4章 GREE故障排排除4-14.1 GREE故障排排除综述述4-114.1.1 GGRE知知识简介介4-114.1.2 GGRE功功能和性性能的常常见问题题4-224.1.3 GGRE故故障排除除的一般般步骤44-24.2 与GRRE故障障相关的的shoow、debbug命命令介绍绍4-334.2.1 sshoww innterrfacces tunnnell4-334.3 GREE
7、故障案案例分析析4-444.3.1 GGRE隧隧道两端端的PCC之间不能能互相ppingg通4-44第5章 QoSS故障排排除5-15.1 QoSS故障排排除综述述5-115.1.1 QQoS配配置的常常见问题题5-115.1.2 其其他相关关问题55-55.1.3 QQoS故故障排除除的一般般步骤:5-555.2 与QooS故障障相关的的shoow、debbug命命令介绍绍5-665.2.1 sshoww acccesss-llistts rratee-liimitt5-665.2.2 sshoww qoos-iinteerfaace ratte-llimiit5-775.2.3 sshow
8、w qoos-iinteerfaace traaffiic-sshappe5-885.2.4 sshoww qoos-iinteerfaace linne-rratee5-995.2.5 sshoww qoos-iinteerfaace priioriity-queeue5-1105.2.6 sshoww quueueeingg prriorrityy5-1115.2.7 sshoww qoos-iinteerfaace cusstomm-quueuee5-1115.2.8 sshoww quueueeingg cuustoom5-1125.2.9 sshoww qoos-iinteerfaa
9、ce faiir-qqueuue5-1135.2.10 shoow qqos-intterffacee raandoom-ddeteect5-1145.2.11 shoow iinteerfaace5-1155.2.12 shoow aacceess-lisst5-116第6章 DDRR、ISDDN故障障排除66-16.2 DDRR、ISDDN故障障排除综综述6-16.2.1 DDDR、ISDDN知识识简介66-16.2.2 DDDR功功能和性性能的常常见问题题6-226.2.3 DDDR故故障排除除的一般般步骤66-76.3 与DDDR故障障相关的的shoow、debbug命命令介绍绍6-8
10、86.3.1 sshoww diialeer iinteerfaace6-886.3.2 sshoww diialeer mmap6-996.3.3 sshoww issdn acttivee6-1106.3.4 sshoww issdn staatuss6-1106.3.5 ddebuug ddialler6-1116.3.6 ddebuug mmodeem6-1126.4 DDRR故障案案例分析析6-1136.4.1 DDialler接接口借用用Ethhernnet00口地址址时piing不不通6-136.4.2 远远程拨号号Moddem配配置引起起无法登登录6-156.4.3 与与Cis
11、sco路路由器无无法互通通6-1156.4.4 与与NT Worrksttatiion无无法互通通6-1166.4.5 路路由器IISDNN拨号不不成功66-1666.4.6 路路由器不不能正常常提供接接入服务务器功能能6-1186.4.7 AAUX接接口数据据配置错错误导致致超级终终端显示示乱码66-1886.4.8 拨拨号用户户可以访访问Innterrnett而无法法访问局局域网内内的服务务器6-196.5 Moddem AT命命令集66-16.5.1 AAT 标标准指令令6-116.5.2 AAT 扩扩充指令令6-33第7章 语音故故障排除除6-117.2 语音故故障排除除综述66-17
12、.2.1 语语音知识识简介66-17.2.2 语语音功能能和性能能的常见见问题66-37.3 与VooIP故故障相关关的shhow、debbug命命令介绍绍6-1147.3.1 sshoww aaaa uunseent-h3223-ccalll-reecorrd6-1157.3.2 sshoww caall-hisstorry6-1667.3.3 sshoww caall-hisstorry vvoicce-pportt6-1187.3.4 sshoww gaatewway6-1197.3.5 sshoww gww-h3323 staatissticcs aaaa6-2207.3.6 ssho
13、ww gww-vooip-aaaa loocall-usser6-2207.3.7 sshoww ipp rttp hheadder-commpreessiion6-2217.3.8 sshoww ipp tccp hheadder-commpreessiion6-2227.3.9 sshoww r22 caall-staatissticcs6-2227.3.10 shoow rrcv ccbb6-2237.3.11 shoow rrcv staatissticc6-2257.3.12 shoow rrunnningg-coonfiig hh32336-2277.3.13 shoow vvcc
14、6-2287.3.14 shoow vvoicce-pportt6-3317.3.15 shoow vvoipp6-3327.3.16 shoow vvoipp daata-staatissticc6-3337.3.17 shoow vvpp6-3357.3.18 debbug ip rtpp heeadeer-ccomppresssioon6-3367.3.19 debbug ip tcpp heeadeer-ccomppresssioon6-3367.3.20 debbug ipffax6-3377.3.21 debbug ippp6-3387.3.22 debbug r26-4437.3
15、.23 debbug rass6-4497.3.24 debbug rcvv6-4497.3.25 debbug vccc6-5507.3.26 debbug voiice-datta6-5597.3.27 debbug vpmm6-6607.3.28 debbug vppp6-7707.4 语音故故障案例例分析66-1第1章 IPSeec和IKEE故障排排除1.1 IPSeec和IKEE故障排排除综述述1.1.1 IPSeec和IKEE知识简简介1. IPSeec简介介IPSeec就是是IP安全全,也就就是安全全的IPP。IPssec在在网络层层起作用用,为上上层协议议提供安安全服务务。IP
16、PSecc提供的的安全服服务包括括:l 完整性:确保接接收到的的数据在在传送过过程中没没有被中中间人窜窜改过。l 真实性:确保接接收到的的数据是是由所声声称的发发送方发发送的,防防止地址址欺骗。l 机密性:发送方方在发送送前将数数据进行行加密,确确保数据据的私有有性。l 反重放:IPssec报报文的接接收方可可以检测测到并拒拒绝重放放的报文文。IPSeec安全全协议包包括:AAH和ESPP。l AH协议议提供了了完整性性、真实实性、以以及放重重放服务务,没有有提供机机密性服服务。但但是AHH协议的的完整性性和真实实性服务务比ESSP协议议的保护护范围更更大。l ESP协协议提供供了完整整性、真
17、真实性、机机密性以以及防重重放服务务。IPSeec使用用的主要要算法目目前有:l 验证算法法:MDD5、SHAA1,用用于提供供完整性性和真实实性。l 加密算法法:DEES、3DEES,用用于提供供机密性性。2. IKE简简介与IPSSec密密不可分分的一个个协议是是IKEE,它用用于IPPSecc安全联联盟及密密钥的自自动化管管理,定定时为IIPSeec协商商密钥、创创建、删删除安全全联盟等等。IKKE使用用两个阶阶段的IISAKKMP:l 第一阶段段:协商商创建一一个通信信信道,并并对该信信道进行行认证,为为双方进进一步的的IKEE通信提提供机密密性、消消息完整整性以及及消息源源认证服服务
18、。l 第二阶段段,使用用已建立立的IKKE SSA建立立IPSSec SA。从下图我我们可以以看出IIKE和和IPSSec之之间的关关系。图1-1 IKE和和IPSSec之之间的关关系图1.1.2 IPSeec和IKEE配置的的一般步步骤1. IPSeec和IKEE故障排排除的一一般步骤骤IPSeec和IKEE的配置置过程比比较复杂杂,需要要配置的的命令较较多。IIPSeec配置置的三个个要素如如下,熟熟练掌握握将有助助于安全全配置:l whatt:哪些些数据需需要保护护,用AACL去去定义你你要保护护的数据据流。l wherre:在在传输路路径的哪哪一段实实施保护护,定义义隧道的的两个端端点
19、。l how:如何保保护这些些数据,定定义转换换方式ttrannsfoorm。2. 手工模式式IPSSec基基本配置置手工方式式和协商商方式的的配置过过程稍有有不同:对于手手工方式式,配置置步骤如如下:(1) 明确要保保护什么么(whhat),也也就是定定义ACCL。(2) 明确实施施保护的的位置(where)。(3) 明确如何何保护(how),定义transform。(4) 定义安全全策略(crypto map),定义安全策略的模式为manual,将上面三个要素捆绑到安全策略中。(5) 定义安全全联盟所所用的密密钥。(6) 在合适的的接口上上应用安安全策略略。3. 协商模式式IPSSec基基
20、本配置置对于协商商方式,由由于安全全联盟的的参数是是协商出出来的,而而不是手手工配置置的,所所以只有有第5步与手手工方式式不同,其其余5步基本本相同。配配置步骤骤如下:(1) 明确要保保护什么么(whhat),也也就是定定义ACCL。(2) 明确实施施保护的的位置(where)。(3) 明确如何何保护(how),定义transform。(4) 定义安全全策略(crypto map),定义安全策略的模式为isakmp,将上面三个要素捆绑到安全策略中。(5) 配置IKKE的参参数(IIKE的的poliicy和和共享密密钥)。(6) 在合适的的接口上上应用安安全策略略。1.1.3 手工方式式下IPP
21、Secc功能和和性能的的常见问问题1. 手工方式式下安全全联盟不不能建立立当用shhow cryyptoo ippsecc saa 或shoow ccryppto ipssec sa mapp命令检检查安全全联盟时时发现没没有看到到相应的的安全联联盟时,检检查以下下配置:l 相应的安安全策略略是否应应用到了了接口上上。l 检查安全全策略是是否设置置了要保保护的数数据流。检检查maatchh adddreess命命令是否否引用了了正确的的ACLL号,该该ACLL号是否否已经定定义。l 检查安全全策略是是否设置置了转换换方式。检检查seet ttrannsfoorm命命令是否否引用了了转换方方式(
22、ttrannsfoorm),而而且该ttrannsfoorm已已经被定定义。l 检查安全全策略是是否设置置了隧道道端点。检检查seet ppeerr命令和和sett loocall-adddreess命命令是否否设置。l 检查安全全联盟的的SPII。检查查在安全全策略中中是否设设置了安安全联盟盟的SPPI,是是否进入入和外出出两个方方向都设设置了,SPI的值是否是唯一的,不能与其它的一样。l 检查安全全联盟的的密钥是是否设置置正确。如如果在引引用的转转换方式式中采用用了加密密算法,则则应该设设置加密密密钥;如果在在转换方方式中采采用了验验证算法法,则应应该设置置验证密密钥。如如果采用用十六进进
23、制方式式指定密密钥,则则要分别别指定加加密密钥钥和验证证密钥;如果采采用字符符串方式式指定密密钥,则则只需配配置一个个strringg-keey参数数。需要要注意的的是,外外出和进进入两个个方向的的密钥都都要设置置。l 如果以十十六进制制指定密密钥,还还要检查查密钥的的长度是是否与算算法要求求的相同同。在接口应应用IPPSecc安全策策略或改改变安全全策略参参数时会会给出一一定的提提示信息息,用户户可以根根据这些些信息来来定位问问题。参数不全全时(例例如SPPI或验验证密钥钥没有配配置)的的提示信信息如下下: Soome parrameeterrs oof tthe cryyptoo maap
24、 mmapmm-100 arre iinvaalidd,plleasse cchecck iit.参数配置置了但不不符合算算法需要要时(例例如引用用的trranssforrm重选选择的是是shaa1算法法,而配配置的验验证密钥钥不足220个字字节)的的提示信信息如下下: Parrameeterr errrorr. CCan nott crreatte ssecuuritty aassoociaatioon ffor maap_mm 1002. 手工方式式下建立立了安全全联盟,但但不能通通信如果用sshoww crryptto iipseec ssa或shoow ccryppto ipssec
25、sa mapp命令检检查安全全联盟时时看到相相应的安安全联盟盟已经建建立,但但不能通通信,则则检查以以下配置置:l 安全联盟盟两端的的配置的的ACLL是否互互为镜像像l 选用的安安全协议议是否一一样l 选用的算算法是否否一致l SPI是是否匹配配l 密钥是否否匹配l 定义的隧隧道端点点是否相相同由于通信信是双方方面的,一一方虽然然建立了了安全联联盟,但但其双方方的参数数无法匹匹配起来来,同样样不能通通信。3. 手工方式式下建立立了安全全联盟,有有些数据据流能通通信,但但有些不不通出现这种种情况时时,可检检查两端端的安全全策略所所定义的的数据流流是否互互为镜像像。图1-2 数据流部部分重叠叠上图
26、所示示的就是是两个数数据流不不是互为为镜像,造造成双方方只有部部分数据据流是相相同的。例例如:RoutterAA(coonfiig)# acccesss-llistt 1000 ppermmit ip 10.1.11.0 0.00.0.2555 aanyRoutterBB(coonfiig)# acccesss-llistt 1000 ppermmit ip 10.1.22.0 0.00.0.2555 aany这时,双双方定义义的数据据流的集集合只有有10.1.11.010.1.22.0之之间的数数据流是是相同的的(也就就是图中中的C部分),其其余不相相同(上上图中的的A、B两部分分)。这这样
27、只能能保证相相交部分分的数据据流能通通信,其其它部分分的数据据流不能能通信。注意:采用手工工方式创创建安全全联盟,由于手工方式的数据、安全联盟是静态的,诊断相对容易些,只要注意几点便可排除常见的故障:(1) 参数是是否配齐齐(2) 参数是是否匹配配(3) ACLL是否互互为镜像像1.1.4 协商方式式下IPPSecc和IKEE功能和和性能的的常见问问题协商方式式的IPPSecc安全联联盟是由由IKEE协商生生成的。要要诊断此此类的故故障,首首先要清清楚安全全联盟的的建立过过程。其其处理过过程如下下:图1-3(1) 当一个报报文从某某接口外外出时,如如果此接接口应用用了IPPSecc,会进进行安
28、全全策略的的匹配。(2) 如果找到到匹配的的安全策策略,会会查找相相应的安安全联盟盟。如果果安全联联盟还没没有建立立,则触触发IKKE进行协协商。IIKE首首先建立立阶段11的安全全联盟,或或称为IIKE SA。(3) 在阶段11安全联联盟的保保护下协协商阶段段2的安全全联盟,也也就是IIPSeec SSA。(4) 用IPSSec SA保保护通讯讯数据。当出现故故障时,首首先要知知道是在在哪个阶阶段出现现的问题题,然后后再根据据相应的的阶段进进行诊断断。1. 阶段1的的SA没有有建立。如果是阶阶段1的SA没有有建立,应应该对实实施IPPSecc通信的的双方都都进行检检查。l 接口是否否应用了了
29、安全策策略;l 是否有匹匹配的数数据流触触发;l 是否为对对方配置置了共享享密钥,以以及共享享密钥是是否一致致(采用用pree-shharee验证方方式时)。2. 阶段2的的SA没有有建立在阶段11的SA建立立后,影影响阶段段2的SA建立立的因素素主要有有:l ACL是是否匹配配,按照照前面所所叙述的的匹配原原则进行行检查;l 转换方式式是否一一致;l 设置的隧隧道对端端地址是是否匹配配;l 应用的接接口是否否正确。3. 两个阶段段的SAA都建立立起来了了,但不不能通信信在这种情情况下,一一般都是是由于AACL的的配置不不当引起起的。应应该检查查ACLL的配置置是否符符合要求求。1.1.5 I
30、PSeec和IKEE配置过过程的注注意事项项1. 确定要保保护的数数据流时时的注意意事项需要保护护10.1.11.0/24与与10.1.22.0/24子子网之间间的所有有IP 通信。如如下图所所示:图1-4 IPSeec和IKEE典型组组网图用10001999之间的的扩展AACL来来表示,规规则编号号为1669,正正确数据据流过滤滤规则为为:Routter_A(cconffig)# aacceess-lisst 1169 perrmitt ipp 100.1.1.00 0.0.00.2555 110.11.2.0 00.0.0.2255Routter_B(cconffig)# aacceess
31、-lisst 1169 perrmitt ipp 100.1.2.00 0.0.00.2555 110.11.1.0 00.0.0.2255注意事项项:(1) 对于IPPSecc要保护护的数据据流,我我们只定定义外出出方向的的数据流流,不需需要定义义进入方方向的数数据流。进进入方向向的数据据流与外外出方向向数据流流的源和和目的正正好相反反。(2) 如果只需需要保护护某一类类数据,而而非所有有的IPP数据,则则可以在在acccesss-liist的的定义中中明确出出来,如如指定具具体的端端口号或或端口范范围。(3) IPSeec提供供的是端端到端的的安全。参参与IPPSecc通信的的两个对对等体
32、所所定义的的数据流流的集合合必须完完全重合合。否则则会造成成一部分分通信能能通,而而有些通通信不能能通。所所谓数据据流完全全重合也也就是两两个对等等体所定定义的数数据流互互为映射射。也就就是说RRA定义义的数据据流的源源就是RRB定义义的数据据流的目目的,RRA定义义的数据据流的目目的就是是RB定义义的数据据流的源源。ACCL的定义应应该准确确反映实实际需求求,不能能用anny关键键词简单单代替。2. 确定实施施保护的的位置时时的注意意事项报文在从从源报文文传输路路径的哪哪一段实实施安全全保护呢呢?或换换句话说说,IPPSecc安全隧隧道的两两个端点点定义在在哪里?IPSSec安安全隧道道是用
33、来来保护需需要保护护的通讯讯数据的的,应该该是在要要保护的的数据进进入不信信任网络络前就要要实施了了IPSSec保保护,在在离开不不信任网网络后才才可解除除IPSSec保保护。一一般情况况下是连连接公网网的接口口处,或或者说是是连接不不信任网网络的接接口处。可以在两两个子网网的网关关间实施施安全保保护,也也可以在在主机与与网关,或或主机与与主机间间实施保保护,如如下图所所示:图1-5 IPSeec实施施保护的的位置IPSeec实施施保护的的位置分分为:(1) 对于第一一种情况况,数据据在两个个网关间间是受到到保护的的,在子子网中是是不受保保护的,这这种配置置的前提提是双方方对于子子网是信信任的
34、。隧隧道的端端点即是是两个路路由器连连接公网网的接口口。(2) 对于第二二种情况况,数据据在主机机和对方方的网关关间受到到保护。这这时隧道道的端点点是主机机和路由由器。主主机不相相信自己己所在的的子网内内部,而而相信对对方所在在网络的的子网,在在数据发发出主机机前,就就对数据据进行了了IPSSec保保护。这这种情况况一般多多用于移移动办公公的用户户连到总总部的网网关的情情况。(3) 第三种情情况是由由主机到到主机的的情况。对对于主机机与主机机间的情情况,由由于与路路由器没没太大关关系,只只要保证证路由器器能允许许IPSSec数数据流和和IKEE协商报报文通过过即可。3. 确定如何何保护数数据时
35、的的注意事事项我们知道道了要保保护哪些些数据,以以及在哪哪里需要要保护,那那么又如如何保护护呢?也也就是说说,需要要什么样样的安全全服务:是否需需要机密密性?是是否需要要数据源源验证?以及保保护的强强度如何何?等等等。如果数据据不怕被被中间人人看到,但但需要防防止中间间人窜改改数据、或或伪造数数据,则则需要数数据源验验证功能能。AHH协议和和ESPP协议都都提供了了数据源源验证功功能,但但ESPP协议没没有对报报文头进进行验证证。一般般情况下下,如果果只需要要验证功功能,建建议选择择AH协议议。如果即需需要验证证功能,还还需要数数据的机机密性,则则必须采采用ESSP协议议来完成成。ESSP即提
36、提供了验验证功能能,也提提供了数数据加密密功能。使用什么么样的安安全协议议、什么么样的加加密算法法、什么么样的验验证算法法。这些些由转换换方式(transform)来定义。(1) 推荐用法法当只需要要验证功功能时,使使用AHH协议;当需要要对数据据进行加加密和验验证时,使使用ESSP协议议。(2) 不推荐用用法(以以下方法法在协议议上是允允许的,但但不推荐荐使用)l 使用ESSP只做做加密,而而不做验验证:这这种方式式被证明明是危险险的;l 使用ESSP加密密,AHH进行验验证:使使用这种种方法比比直接用用ESPP对数据据进行加加密和验验证处理理复杂,并并且在绝绝大多数数情况下下没有多多少用途
37、途;l 用AH、ESPP进行两两次验证证:除特特别想使使用这种种方式外外,否则则不要用用,没有有实际意意义;l 只使用EESP的的验证而而不加密密:这在在协议标标准上称称作“NULLL加密密”,推荐荐使用AAH替代代这种方方式。注意:(1) 没有验验证的加加密是不不安全的的。在安安全中,第第一位的的是验证证。如果果没有验验证,无无法得知知数据的的真实性性和可靠靠性。(2) 在traansfformm定义时时要注意意封装模模式的选选择,如如果保护护的数据据的源和和目的不不与IPPsecc隧道重重合不能能使用传传输(ttrannspoort)模模式,只只能使用用隧道(tunnel)模式。否则,无法
38、对数据实施IPSec保护。4. 定义安全全策略时时的注意意事项在确定了了三个要要素后,用用安全策策略(ccryppto mapp)将它它们联系系到一起起。安全全策略包包括:l 需要保护护的数据据流(即即Whaat),用用mattch adddresss命令令来指定定ACLL。l 如何保护护(即HHow),用用sett trranssforrm命令令来指定定所使用用的转换换方式。l 安全隧道道建立在在哪里(即即Wheere),用用sett peeer命命令指定定隧道的的对端地地址。对对于手工工建立安安全联盟盟的安全全策略,隧隧道的本本端地址址需用命命令seet llocaal-aaddrress
39、s 来指指定;对对协商方方式建立立安全联联盟的安安全策略略,采用用IPSSec安安全策略略应用的的接口地地址,不不需要指指定本端端的隧道道地址。对于手工工方式创创建的安安全策略略,由于于协议算算法所需需要的密密钥和一一些参数数需要手手工指定定,所以以还必须须配置其其它的参参数,这这些参数数包括:l 安全联盟盟的安全全参数索索引SPPIl 算法所使使用的密密钥。如如果使用用了验证证算法就就必须指指定验证证算法所所使用的的密钥;如果使使用了加加密算法法,就必必须指定定加密算算法所使使用的密密钥。而而且位数数必须符符合算法法的要求求。在手工配配置密钥钥时,需需要注意意以下几几点:(1) IPSeec
40、安全全联盟是是单向的的,分为为外出数数据流的的安全联联盟和进进入数据据流的安安全联盟盟。所以以在配置置时需要要分别配配置入方方向和出出方向的的安全联联盟。(2) SPI参参数是安安全参数数索引,严严格讲,对对于每一一个安全全联盟,应应该是唯唯一的,不不应该与与其它的的安全联联盟的SSPI相相同。同同一个隧隧道的两两个方向向的安全全联盟也也不应该该相同。(3) 对于一个个安全隧隧道的两两端,其其参数应应该是匹匹配的。匹匹配的含含义就是是一端的的出方向向的安全全联盟的的参数应应该与另另一端的的入方向向的安全全联盟的的参数相相同;一一端入方方向的安安全联盟盟的参数数应该与与另一端端出方向向的安全全联
41、盟参参数相同同。(4) 手工方式式下,可可以用两两种方式式来指定定安全联联盟的密密钥:字字符串或或十六进进制形式式。如果果使用字字符串方方式,只只需为每每个方向向的安全全联盟指指定一个个字符串串,便可可为协议议所使用用的算法法派生出出相应的的密钥。如如果用十十六进制制形式指指定密钥钥,则必必须严格格按照算算法的要要求指定定协议所所有算法法所需的的密钥。注意:对于手工工方式的的安全策策略,其其安全联联盟的密密钥需要要在安全全策略定定义中指指定,以以上的配配置就足足够了;而对于于自动协协商方式式的安全全策略,由由其产生生的安全全联盟的的密钥、SPI等一些参数是由IKE协商产生的。所以,对于协商方式
42、的安全策略,还需要一些IKE的配置工作。5. IKE的的配置在进行完完上面的的几步后后,IPPSecc的安全全策略已已经配置置完成。如如果采用用自动协协商方式式的安全全策略,就就应该进进行相关关的IKKE配置置。如果果采用手手工方式式的安全全策略,则则不需要要这一步步。IKKE的配配置主要要有两方方面:l IKE的的安全策策略(ppoliicy)l 共享密钥钥(prre-ssharred keyy)在配置IIKE时时,需要要注意以以下几点点:(1) IKE的的配置是是基于整整个路由由器的,而而IPSSec的的安全策策略是基基于接口口的。(2) 路由器有有一个缺缺省的IIKE安安全策略略。其优优
43、先级最最低,当当参与IIKE协协商的双双方配置置的IKKE安全全策略都都不匹配配时,会会采用此此缺省的的IKEE安全策策略。所所以,即即使没有有配置IIKE的的pollicyy,双方方也会有有匹配的的IKEE安全策策略,因因为有一一个缺省省的pooliccy。(3) 如果在一一台路由由器上定定义了好好几个参参数相同同的IKKE ppoliicy,其其效果与与配置一一个是相相同的。6. 应用所定定义的安安全策略略最后一步步就是应应用所定定义的安安全策略略。在接接口配置置模式下下,执行行cryyptoo maap命令令在指定定接口应应用此安安全策略略。如果所应应用的安安全策略略是手工工方式建建立安
44、全全联盟,会会立即生生成安全全联盟。如如果所应应用的是是自动协协商方式式的安全全联盟,不不会立即即建立安安全联盟盟,只有有当符合合某IPPSecc安全策策略的数数据流从从该接口口外出时时,才会会触发IIKE去去协商IIPSeec安全全联盟。安全策略略应该应应用到要要保护的的数据流流的外出出接口上上。应该该强调三三点:l 外出接口口;l 确保保护护的数据据流应该该从此接接口出去去,而不不是其它它的接口口;l 对方实施施了措施施,确保保保护的的数据应应该从此此接口进进来。7. IPSeec和IKEE的其它它配置IKE的的keeepallivee机制可可以判断断对端是是否还能能正常通通讯。IIKE的
45、的keeepallivee需要配配置两个个参数:l inteervaal:发发送keeepaalivve报文文的时间间间隔。l timeeoutt:超时时检测的的时间间间隔,建建议时间间间隔为为inttervval的的3倍左左右。注意:(1) 在一台台路由器器上应该该同时配配置这两两个参数数,并且且参数要要匹配。(2) inttervval和和timmeouut要成成对出现现,即在在一个路路由器上上配置了了timmeouut参数数,那么么在对端端就要配配置innterrvall参数。(3) inttervval的的参数应应该小于于对端的的timmeouut参数数值,而而不应该该与本端端进行比比
46、较。1.2 与IPSSec和和IKEE故障相相关的sshoww、debbug命命令介绍绍华为中低低端路由由器上用用于排除除IPSSec 和IKEE故障的的的常用用命令在在下面分分别介绍绍。1.2.1 showw acccesss-llistt【用法说说明】显示包过过滤规则则及在接接口上的的应用情情况。【语法】showw acccesss-llistt alll | acccesss-llistt-nuumbeer | innterrfaccetyypennumbber 【参数说说明】all:显示所所有的规规则,包包括普通通时间段段内及特特殊时间间段内的的规则。acceess-lisst-nnumbber:为显示示当前所所使用的的规则中中序号为为acccesss-liist-nummberr的规则则。inteerfaace:表示要