IPSec配置与实验
IPSec缺省配置
参数 | 缺省配置 |
---|---|
IKE协商时的本端名称 | 设备本地名称。 |
发送NAT Keepalive报文时间间隔 | 20秒。 |
IKE安全提议 | 系统缺省提供了一条优先级最低的IKE安全提议 |
IPSec安全提议 | 系统没有配置IPSec安全提议。 |
SA触发方式 | 自动触发方式。 |
IKE SA硬生存周期 | 86400秒。 |
全局IPSec SA硬生存周期 | 基于时间:3600秒。基于流量:1843200千字节(1800兆)。 |
对解密报文进行ACL检查 | 未使能。 |
全局IPSec抗重放功能 | 使能。 |
全局IPSec抗重放窗口的大小 | 1024。 |
IPSec隧道加密报文分片方式 | 加密后分片。 |
NAT穿越功能 | 使能。 |
采用ACL方式建立IPSec隧道
采用ACL方式建立IPSec隧道配置流程
(1)准备工作
1.定义需要保护的数据流
2.确定IPSec的保护方法
- 安全协议
- 认证算法
- 加密算法
- 报文封装模式
3.确定IKE的保护方法
- IKE安全提议(ike proposal)
- 认证方法(authentication-method)
- 认证算法(authentication-algorithm)
- 加密算法(encryption-algorithm)
- DH密码组(dh)
- IKE SA存活时间(sa duration)
- 扩展参数
4.IKE协商时对等体间的属性
ike peer:
- 引用IKE安全提议
- 认证算法对应的认证密钥
- 对端IP地址
- 阶段1认证模式
- 扩展参数
(2)配置安全策略:对指定的数据流采用指定的保护方法
手工方式安全策略(ipsec policy manual)
- 引用ACL(security acl)
- 引用IPSec安全提议(proposal)
- IPSec隧道的起点终点
- SA出/入方向的SPI值
- SA出/入方向安全协议的认证密钥和加密密钥
- 扩展参数
通过ISAKMP创建IKE动态协商方式安全策略
- 引用ACL(security acl)
- 引用IPSec安全提议(proposal)
- 引用IKE对等体(ike-peer)
- 扩展参数
通过策略模板创建IKE动态协商方式安全策略
- 引用ACL(security acl)
- 引用IPSec安全提议(proposal)
- 引用IKE对等体(ike-peer)
- 扩展参数
#定义需要保护的数据流
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
#配置IPSec安全提议
ipsec proposal proposal-name 创建IPSec安全提议,并进入IPSec安全提议视图
transform { ah | esp | ah-esp },配置安全协议
AH协议只能对报文进行认证,只能配置AH协议的认证算法
ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } ,配置AH协议使用的认证算法
ESP协议允许对报文同时进行加密和认证
esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } *,配置ESP协议使用的认证算法。
esp encryption-algorithm { des | 3des | aes-128 | aes-192 | aes-256 | sm1 | sm4 | aes-128-gcm-128 | aes-192-gcm-128 | aes-256-gcm-128 } *,配置ESP协议使用的加密算法。
#配置IPSec安全策略
#手工方式
ipsec policy policy-name seq-number manual,创建手工方式IPSec安全策略,并进入手工方式IPSec安全策略视图。
security acl acl-number,在IPSec安全策略中引用ACL。
proposal proposal-name,在IPSec安全策略中引用IPSec安全提议
#配置IPSec隧道的起点和终点
tunnel local ipv4-address,配置IPSec隧道的本端地址。
tunnel remote ip-address,配置IPSec隧道的对端地址。
#配置出/入方向SA的SPI值
sa spi outbound { ah | esp } spi-number,配置出方向SA的SPI。
sa spi inbound { ah | esp } spi-number,配置入方向SA的SPI。
#配置出/入方向SA的认证密钥和加密密钥。
#安全协议采用AH协议时,配置认证密钥
sa string-key { inbound | outbound } ah { simple | cipher } string-key,配置AH协议的认证密钥(以字符串方式输入)。
sa authentication-hex { inbound | outbound } ah { simple | cipher } hex-string,配置AH协议的认证密钥(以16进制方式输入)。
#安全协议采用ESP协议时,配置ESP协议的认证密钥。
sa string-key { inbound | outbound } esp { simple | cipher } string-key,配置ESP协议的认证密钥(以字符串方式输入)。
sa authentication-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的认证密钥(以16进制方式输入)。
sa encryption-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的加密密钥(以16进制方式输入
#ISAKMP方式
ipsec policy policy-name seq-number isakmp,创建ISAKMP方式IPSec安全策略,并进入ISAKMP方式IPSec安全策略视图
security acl acl-number [ dynamic-source ],在IPSec安全策略中引用ACL
proposal proposal-name,在IPSec安全策略中引用IPSec安全提议
ike-peer peer-name,在IPSec安全策略中引用IKE对等体
#接口上应用IPSec策略
interface xxx
ipsec policy policy-name
(3)接口上应用安全策略组
两端对等体IPSec参数匹配,IPSec隧道建立。
采用虚拟隧道接口方式建立IPSec隧道
#配置IPSec安全提议
ipsec proposal proposal-name,创建IPSec安全提议并进入IPSec安全提议视图
transform { ah | esp | ah-esp },配置安全协议
#配置安全协议的认证/加密算法(通ACL方式)
#配置IPSec安全框架
ipsec profile profile-name,创建安全框架,并进入安全框架视图
proposal proposal-name,在安全框架中引用IPSec安全提议。
ike-peer peer-name,在安全框架中引用IKE对等体
#配置虚拟隧道/隧道模板接口
interface tunnel interface-number,进入Tunnel接口视图
#ip address ip-address { mask | mask-length } [ sub ],配置Tunnel接口的IPv4私网地址
ip address ip-address { mask | mask-length } [ sub ],手工配置Tunnel接口的IPv4私网地址
(只针对IPSec类型的Tunnel接口)执行命令ip address ike-negotiated,配置通过IKEv2协商为Tunnel接口申请IPv4地址
source { [ vpn-instance vpn-instance-name ] source-ip-address | interface-type interface-number [ standby ] },配置Tunnel接口的源地址或源接口
ipsec profile profile-name [ shared ],在Tunnel接口上应用IPSec安全框架,使其具有IPSec的保护功能
配置举例
配置采用手工方式建立IPSec隧道
https://download.csdn.net/download/qq_43710889/16159368
采用默认配置通过IKE协商方式建立IPSec隧道示例
https://download.csdn.net/download/qq_43710889/16159377
配置虚拟隧道接口建立GRE over IPSec隧道示例
https://download.csdn.net/download/qq_43710889/16166843
ps:因为模拟器受限,所以IPSec很多实验都没有办法完成。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/100096.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...