IPSec配置与实验

全栈程序员站长

发布于 2021-04-19 17:26:56

2K0

发布于 2021-04-19 17:26:56

IPSec配置与实验

IPSec缺省配置

参数	缺省配置
IKE协商时的本端名称	设备本地名称。
发送NAT Keepalive报文时间间隔	20秒。
IKE安全提议	系统缺省提供了一条优先级最低的IKE安全提议
IPSec安全提议	系统没有配置IPSec安全提议。
SA触发方式	自动触发方式。
IKE SA硬生存周期	86400秒。
全局IPSec SA硬生存周期	基于时间：3600秒。基于流量：1843200千字节（1800兆）。
对解密报文进行ACL检查	未使能。
全局IPSec抗重放功能	使能。
全局IPSec抗重放窗口的大小	1024。
IPSec隧道加密报文分片方式	加密后分片。
NAT穿越功能	使能。

采用ACL方式建立IPSec隧道

采用ACL方式建立IPSec隧道配置流程

（1）准备工作

1.定义需要保护的数据流

2.确定IPSec的保护方法

安全协议
认证算法
加密算法
报文封装模式

3.确定IKE的保护方法

IKE安全提议（ike proposal）
认证方法（authentication-method）
认证算法（authentication-algorithm）
加密算法（encryption-algorithm）
DH密码组（dh）
IKE SA存活时间（sa duration）
扩展参数

4.IKE协商时对等体间的属性

ike peer：

引用IKE安全提议
认证算法对应的认证密钥
对端IP地址
阶段1认证模式
扩展参数

（2）配置安全策略：对指定的数据流采用指定的保护方法

手工方式安全策略（ipsec policy manual）

引用ACL（security acl）
引用IPSec安全提议（proposal）
IPSec隧道的起点终点
SA出/入方向的SPI值
SA出/入方向安全协议的认证密钥和加密密钥
扩展参数

通过ISAKMP创建IKE动态协商方式安全策略

引用ACL（security acl）
引用IPSec安全提议（proposal）
引用IKE对等体（ike-peer）
扩展参数

通过策略模板创建IKE动态协商方式安全策略

引用ACL（security acl）
引用IPSec安全提议（proposal）
引用IKE对等体（ike-peer）
扩展参数

#定义需要保护的数据流
	[Huawei] acl 3001       
	[Huawei-acl-adv-3001] rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255

#配置IPSec安全提议
	ipsec proposal proposal-name 创建IPSec安全提议，并进入IPSec安全提议视图

	transform { ah | esp | ah-esp }，配置安全协议

		AH协议只能对报文进行认证，只能配置AH协议的认证算法
			ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } ，配置AH协议使用的认证算法

		ESP协议允许对报文同时进行加密和认证
			esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } *，配置ESP协议使用的认证算法。

			esp encryption-algorithm { des | 3des | aes-128 | aes-192 | aes-256 | sm1 | sm4 | aes-128-gcm-128 | aes-192-gcm-128 | aes-256-gcm-128 } *，配置ESP协议使用的加密算法。

#配置IPSec安全策略
	#手工方式
	ipsec policy policy-name seq-number manual，创建手工方式IPSec安全策略，并进入手工方式IPSec安全策略视图。
	
	security acl acl-number，在IPSec安全策略中引用ACL。
	
	proposal proposal-name，在IPSec安全策略中引用IPSec安全提议
	
	#配置IPSec隧道的起点和终点
		tunnel local ipv4-address，配置IPSec隧道的本端地址。


    	tunnel remote ip-address，配置IPSec隧道的对端地址。

	#配置出/入方向SA的SPI值	
		sa spi outbound { ah | esp } spi-number，配置出方向SA的SPI。


		sa spi inbound { ah | esp } spi-number，配置入方向SA的SPI。

	#配置出/入方向SA的认证密钥和加密密钥。
		#安全协议采用AH协议时，配置认证密钥
			sa string-key { inbound | outbound } ah { simple | cipher } string-key，配置AH协议的认证密钥（以字符串方式输入）。

			sa authentication-hex { inbound | outbound } ah { simple | cipher } hex-string，配置AH协议的认证密钥（以16进制方式输入）。

		#安全协议采用ESP协议时，配置ESP协议的认证密钥。
        	sa string-key { inbound | outbound } esp { simple | cipher } string-key，配置ESP协议的认证密钥（以字符串方式输入）。
        	sa authentication-hex { inbound | outbound } esp { simple | cipher } hex-string，配置ESP协议的认证密钥（以16进制方式输入）。

			sa encryption-hex { inbound | outbound } esp { simple | cipher } hex-string，配置ESP协议的加密密钥（以16进制方式输入

	#ISAKMP方式
		ipsec policy policy-name seq-number isakmp，创建ISAKMP方式IPSec安全策略，并进入ISAKMP方式IPSec安全策略视图
		
		security acl acl-number [ dynamic-source ]，在IPSec安全策略中引用ACL
		
		proposal proposal-name，在IPSec安全策略中引用IPSec安全提议
		
		ike-peer peer-name，在IPSec安全策略中引用IKE对等体
		
#接口上应用IPSec策略
	interface xxx 
	 ipsec policy policy-name

（3）接口上应用安全策略组

两端对等体IPSec参数匹配，IPSec隧道建立。

采用虚拟隧道接口方式建立IPSec隧道

#配置IPSec安全提议
	ipsec proposal proposal-name，创建IPSec安全提议并进入IPSec安全提议视图
	
	transform { ah | esp | ah-esp }，配置安全协议
	
	#配置安全协议的认证/加密算法（通ACL方式）
	
#配置IPSec安全框架

	ipsec profile profile-name，创建安全框架，并进入安全框架视图
	
	proposal proposal-name，在安全框架中引用IPSec安全提议。 

	ike-peer peer-name，在安全框架中引用IKE对等体

#配置虚拟隧道/隧道模板接口
	interface tunnel interface-number，进入Tunnel接口视图
	#ip address ip-address { mask | mask-length } [ sub ]，配置Tunnel接口的IPv4私网地址
	
		ip address ip-address { mask | mask-length } [ sub ]，手工配置Tunnel接口的IPv4私网地址
		
		（只针对IPSec类型的Tunnel接口）执行命令ip address ike-negotiated，配置通过IKEv2协商为Tunnel接口申请IPv4地址
		
	source { [ vpn-instance vpn-instance-name ] source-ip-address | interface-type interface-number [ standby ] }，配置Tunnel接口的源地址或源接口
	
	ipsec profile profile-name [ shared ]，在Tunnel接口上应用IPSec安全框架，使其具有IPSec的保护功能