IPSec配置与实验

IPSec缺省配置

采用ACL方式建立IPSec隧道

采用ACL方式建立IPSec隧道配置流程

（1）准备工作

1.定义需要保护的数据流

2.确定IPSec的保护方法

• 安全协议
• 认证算法
• 加密算法
• 报文封装模式

3.确定IKE的保护方法

• IKE安全提议（ike proposal）
• 认证方法（authentication-method）
• 认证算法（authentication-algorithm）
• 加密算法（encryption-algorithm）
• DH密码组（dh）
• IKE SA存活时间（sa duration）
• 扩展参数

4.IKE协商时对等体间的属性

ike peer：

• 引用IKE安全提议
• 认证算法对应的认证密钥
• 对端IP地址
• 阶段1认证模式
• 扩展参数

（2）配置安全策略：对指定的数据流采用指定的保护方法

手工方式安全策略（ipsec policy manual）

• 引用ACL（security acl）
• 引用IPSec安全提议（proposal）
• IPSec隧道的起点终点
• SA出/入方向的SPI值
• SA出/入方向安全协议的认证密钥和加密密钥
• 扩展参数

通过ISAKMP创建IKE动态协商方式安全策略

• 引用ACL（security acl）
• 引用IPSec安全提议（proposal）
• 引用IKE对等体（ike-peer）
• 扩展参数

通过策略模板创建IKE动态协商方式安全策略

• 引用ACL（security acl）
• 引用IPSec安全提议（proposal）
• 引用IKE对等体（ike-peer）
• 扩展参数

#定义需要保护的数据流
	[Huawei] acl 3001       
	[Huawei-acl-adv-3001] rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255

#配置IPSec安全提议
	ipsec proposal proposal-name 创建IPSec安全提议，并进入IPSec安全提议视图

	transform { ah | esp | ah-esp }，配置安全协议

		AH协议只能对报文进行认证，只能配置AH协议的认证算法
			ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } ，配置AH协议使用的认证算法

		ESP协议允许对报文同时进行加密和认证
			esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } *，配置ESP协议使用的认证算法。

			esp encryption-algorithm { des | 3des | aes-128 | aes-192 | aes-256 | sm1 | sm4 | aes-128-gcm-128 | aes-192-gcm-128 | aes-256-gcm-128 } *，配置ESP协议使用的加密算法。

#配置IPSec安全策略
	#手工方式
	ipsec policy policy-name seq-number manual，创建手工方式IPSec安全策略，并进入手工方式IPSec安全策略视图。
	
	security acl acl-number，在IPSec安全策略中引用ACL。
	
	proposal proposal-name，在IPSec安全策略中引用IPSec安全提议
	
	#配置IPSec隧道的起点和终点
		tunnel local ipv4-address，配置IPSec隧道的本端地址。


    	tunnel remote ip-address，配置IPSec隧道的对端地址。

	#配置出/入方向SA的SPI值	
		sa spi outbound { ah | esp } spi-number，配置出方向SA的SPI。


		sa spi inbound { ah | esp } spi-number，配置入方向SA的SPI。

	#配置出/入方向SA的认证密钥和加密密钥。
		#安全协议采用AH协议时，配置认证密钥
			sa string-key { inbound | outbound } ah { simple | cipher } string-key，配置AH协议的认证密钥（以字符串方式输入）。

			sa authentication-hex { inbound | outbound } ah { simple | cipher } hex-string，配置AH协议的认证密钥（以16进制方式输入）。

		#安全协议采用ESP协议时，配置ESP协议的认证密钥。
        	sa string-key { inbound | outbound } esp { simple | cipher } string-key，配置ESP协议的认证密钥（以字符串方式输入）。
        	sa authentication-hex { inbound | outbound } esp { simple | cipher } hex-string，配置ESP协议的认证密钥（以16进制方式输入）。

			sa encryption-hex { inbound | outbound } esp { simple | cipher } hex-string，配置ESP协议的加密密钥（以16进制方式输入

	#ISAKMP方式
		ipsec policy policy-name seq-number isakmp，创建ISAKMP方式IPSec安全策略，并进入ISAKMP方式IPSec安全策略视图
		
		security acl acl-number [ dynamic-source ]，在IPSec安全策略中引用ACL
		
		proposal proposal-name，在IPSec安全策略中引用IPSec安全提议
		
		ike-peer peer-name，在IPSec安全策略中引用IKE对等体
		
#接口上应用IPSec策略
	interface xxx 
	 ipsec policy policy-name

（3）接口上应用安全策略组

两端对等体IPSec参数匹配，IPSec隧道建立。

采用虚拟隧道接口方式建立IPSec隧道

#配置IPSec安全提议
	ipsec proposal proposal-name，创建IPSec安全提议并进入IPSec安全提议视图
	
	transform { ah | esp | ah-esp }，配置安全协议
	
	#配置安全协议的认证/加密算法（通ACL方式）
	
#配置IPSec安全框架

	ipsec profile profile-name，创建安全框架，并进入安全框架视图
	
	proposal proposal-name，在安全框架中引用IPSec安全提议。 

	ike-peer peer-name，在安全框架中引用IKE对等体

#配置虚拟隧道/隧道模板接口
	interface tunnel interface-number，进入Tunnel接口视图
	#ip address ip-address { mask | mask-length } [ sub ]，配置Tunnel接口的IPv4私网地址
	
		ip address ip-address { mask | mask-length } [ sub ]，手工配置Tunnel接口的IPv4私网地址
		
		（只针对IPSec类型的Tunnel接口）执行命令ip address ike-negotiated，配置通过IKEv2协商为Tunnel接口申请IPv4地址
		
	source { [ vpn-instance vpn-instance-name ] source-ip-address | interface-type interface-number [ standby ] }，配置Tunnel接口的源地址或源接口
	
	ipsec profile profile-name [ shared ]，在Tunnel接口上应用IPSec安全框架，使其具有IPSec的保护功能

	

配置举例

配置采用手工方式建立IPSec隧道

https://download.csdn.net/download/qq_43710889/16159368

采用默认配置通过IKE协商方式建立IPSec隧道示例

https://download.csdn.net/download/qq_43710889/16159377

配置虚拟隧道接口建立GRE over IPSec隧道示例

https://download.csdn.net/download/qq_43710889/16166843

ps：因为模拟器受限，所以IPSec很多实验都没有办法完成。