IPSec配置与实验

IPSec配置与实验

IPSec缺省配置

参数 缺省配置
IKE协商时的本端名称 设备本地名称。
发送NAT Keepalive报文时间间隔 20秒。
IKE安全提议 系统缺省提供了一条优先级最低的IKE安全提议
IPSec安全提议 系统没有配置IPSec安全提议。
SA触发方式 自动触发方式。
IKE SA硬生存周期 86400秒。
全局IPSec SA硬生存周期 基于时间:3600秒。基于流量:1843200千字节(1800兆)。
对解密报文进行ACL检查 未使能。
全局IPSec抗重放功能 使能。
全局IPSec抗重放窗口的大小 1024。
IPSec隧道加密报文分片方式 加密后分片。
NAT穿越功能 使能。

采用ACL方式建立IPSec隧道

采用ACL方式建立IPSec隧道配置流程

(1)准备工作

1.定义需要保护的数据流

2.确定IPSec的保护方法

  • 安全协议
  • 认证算法
  • 加密算法
  • 报文封装模式

3.确定IKE的保护方法

  • IKE安全提议(ike proposal)
  • 认证方法(authentication-method)
  • 认证算法(authentication-algorithm)
  • 加密算法(encryption-algorithm)
  • DH密码组(dh)
  • IKE SA存活时间(sa duration)
  • 扩展参数

4.IKE协商时对等体间的属性

ike peer:

  • 引用IKE安全提议
  • 认证算法对应的认证密钥
  • 对端IP地址
  • 阶段1认证模式
  • 扩展参数

(2)配置安全策略:对指定的数据流采用指定的保护方法

手工方式安全策略(ipsec policy manual)

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • IPSec隧道的起点终点
  • SA出/入方向的SPI值
  • SA出/入方向安全协议的认证密钥和加密密钥
  • 扩展参数

通过ISAKMP创建IKE动态协商方式安全策略

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • 引用IKE对等体(ike-peer)
  • 扩展参数

通过策略模板创建IKE动态协商方式安全策略

  • 引用ACL(security acl)
  • 引用IPSec安全提议(proposal)
  • 引用IKE对等体(ike-peer)
  • 扩展参数
#定义需要保护的数据流 	[Huawei] acl 3001        	[Huawei-acl-adv-3001] rule permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255  #配置IPSec安全提议 	ipsec proposal proposal-name 创建IPSec安全提议,并进入IPSec安全提议视图  	transform { ah | esp | ah-esp },配置安全协议  		AH协议只能对报文进行认证,只能配置AH协议的认证算法 			ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } ,配置AH协议使用的认证算法  		ESP协议允许对报文同时进行加密和认证 			esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 | sm3 } *,配置ESP协议使用的认证算法。  			esp encryption-algorithm { des | 3des | aes-128 | aes-192 | aes-256 | sm1 | sm4 | aes-128-gcm-128 | aes-192-gcm-128 | aes-256-gcm-128 } *,配置ESP协议使用的加密算法。  #配置IPSec安全策略 	#手工方式 	ipsec policy policy-name seq-number manual,创建手工方式IPSec安全策略,并进入手工方式IPSec安全策略视图。 	 	security acl acl-number,在IPSec安全策略中引用ACL。 	 	proposal proposal-name,在IPSec安全策略中引用IPSec安全提议 	 	#配置IPSec隧道的起点和终点 		tunnel local ipv4-address,配置IPSec隧道的本端地址。       	tunnel remote ip-address,配置IPSec隧道的对端地址。  	#配置出/入方向SA的SPI值	 		sa spi outbound { ah | esp } spi-number,配置出方向SA的SPI。   		sa spi inbound { ah | esp } spi-number,配置入方向SA的SPI。  	#配置出/入方向SA的认证密钥和加密密钥。 		#安全协议采用AH协议时,配置认证密钥 			sa string-key { inbound | outbound } ah { simple | cipher } string-key,配置AH协议的认证密钥(以字符串方式输入)。  			sa authentication-hex { inbound | outbound } ah { simple | cipher } hex-string,配置AH协议的认证密钥(以16进制方式输入)。  		#安全协议采用ESP协议时,配置ESP协议的认证密钥。         	sa string-key { inbound | outbound } esp { simple | cipher } string-key,配置ESP协议的认证密钥(以字符串方式输入)。         	sa authentication-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的认证密钥(以16进制方式输入)。  			sa encryption-hex { inbound | outbound } esp { simple | cipher } hex-string,配置ESP协议的加密密钥(以16进制方式输入  	#ISAKMP方式 		ipsec policy policy-name seq-number isakmp,创建ISAKMP方式IPSec安全策略,并进入ISAKMP方式IPSec安全策略视图 		 		security acl acl-number [ dynamic-source ],在IPSec安全策略中引用ACL 		 		proposal proposal-name,在IPSec安全策略中引用IPSec安全提议 		 		ike-peer peer-name,在IPSec安全策略中引用IKE对等体 		 #接口上应用IPSec策略 	interface xxx  	 ipsec policy policy-name 

(3)接口上应用安全策略组

两端对等体IPSec参数匹配,IPSec隧道建立。

采用虚拟隧道接口方式建立IPSec隧道

#配置IPSec安全提议 	ipsec proposal proposal-name,创建IPSec安全提议并进入IPSec安全提议视图 	 	transform { ah | esp | ah-esp },配置安全协议 	 	#配置安全协议的认证/加密算法(通ACL方式) 	 #配置IPSec安全框架  	ipsec profile profile-name,创建安全框架,并进入安全框架视图 	 	proposal proposal-name,在安全框架中引用IPSec安全提议。   	ike-peer peer-name,在安全框架中引用IKE对等体  #配置虚拟隧道/隧道模板接口 	interface tunnel interface-number,进入Tunnel接口视图 	#ip address ip-address { mask | mask-length } [ sub ],配置Tunnel接口的IPv4私网地址 	 		ip address ip-address { mask | mask-length } [ sub ],手工配置Tunnel接口的IPv4私网地址 		 		(只针对IPSec类型的Tunnel接口)执行命令ip address ike-negotiated,配置通过IKEv2协商为Tunnel接口申请IPv4地址 		 	source { [ vpn-instance vpn-instance-name ] source-ip-address | interface-type interface-number [ standby ] },配置Tunnel接口的源地址或源接口 	 	ipsec profile profile-name [ shared ],在Tunnel接口上应用IPSec安全框架,使其具有IPSec的保护功能  	 

配置举例

配置采用手工方式建立IPSec隧道

IPSec配置与实验

https://download.

版权声明:玥玥 发表于 2021-03-29 17:58:23。
转载请注明:IPSec配置与实验 | 女黑客导航