18 IKE配置

VRP
配置指南安全目录
目录
6 IKE配置 ....................................................................................................................................... 6-1
6.1 IKE概述 ....................................................................................................................................................... 6-2
6.1.1 IKE协议简介...................................................................................................................................... 6-2
6.1.2 IPSec的NAT穿越 ............................................................................................................................. 6-3
6.1.3 IKE在VRP上的实现 ........................................................................................................................ 6-4
6.2 配置IKE协商时的本地ID ........................................................................................................................ 6-5
6.2.1 建立配置任务..................................................................................................................................... 6-5
6.2.2 配置IKE协商时的本地ID ............................................................................................................... 6-5
6.3 配置IKE安全提议 ..................................................................................................................................... 6-6
6.3.1 建立配置任务..................................................................................................................................... 6-6
6.3.2 创建IKE安全提议并进入IKE安全提议视图................................................................................ 6-7
6.3.3 选择加密算法..................................................................................................................................... 6-7
6.3.4 选择验证方法..................................................................................................................................... 6-7
6.3.5 选择验证算法..................................................................................................................................... 6-8
6.3.6 选择Diffie-Hellman组标识 .............................................................................................................. 6-8
6.3.7 配置ISAKMP SA生存周期.............................................................................................................. 6-8
6.3.8 检查配置结果..................................................................................................................................... 6-9
6.4 配置IKE对端属性 ..................................................................................................................................... 6-9
6.4.1 建立配置任务..................................................................................................................................... 6-9
6.4.2 创建IKE Peer并进入IKE Peer视图 ............................................................................................. 6-10
6.4.3 配置IKE协商模式.......................................................................................................................... 6-10
6.4.4 配置IKE安全提议.......................................................................................................................... 6-11
6.4.5 配置本地ID类型 ............................................................................................................................ 6-11
6.4.6 配置IPSec的NAT穿越.................................................................................................................. 6-11
6.4.7 配置身份验证字............................................................................................................................... 6-11
6.4.8 配置对端IP地址或地址段 ............................................................................................................. 6-12
6.4.9 配置对端名称................................................................................................................................... 6-12
6.4.10 配置VPN实例与安全联盟关联的MPLS VPN接入.................................................................. 6-12
6.4.11 检查配置结果................................................................................................................................. 6-12
6.5 配置IKE的微调 ....................................................................................................................................... 6-13
目录
VRP
配置指南安全
6.5.1 建立配置任务................................................................................................................................... 6-13 6.5.2 配置发送Keepalive报文的时间间隔............................................................................................. 6-14 6.5.3 配置等待Keepalive报文的超时时间............................................................................................. 6-14 6.5.4 配置发送NAT更新报文的时间间隔 ............................................................................................. 6-14
6.6 维护............................................................................................................................................................ 6-15
6.6.1 显示 .................................................................................................................................................. 6-15
6.6.2 清除 .................................................................................................................................................. 6-15
6.6.3 调试 .................................................................................................................................................. 6-16 6.7 采用IKE协商方式建立安全联盟举例 ................................................................................................... 6-16
VRP
配置指南安全插图目录
插图目录
图6-1 安全联盟建立过程................................................................................................................................. 6-3图6-2 IPSec配置组网图 ................................................................................................................................. 6-17
VRP
配置指南安全 6 IKE配置
6 IKE配置关于本章
本章描述内容如下表所示。

6 IKE配置
VRP 配置指南安全
6.1 IKE概述
本节介绍配置IKE所需要理解的知识，具体包括：
●IKE协议简介
●IPSec的NA T穿越
●IKE在VRP上的实现
6.1.1 IKE协议简介
IKE协议
IPSec的安全联盟可以通过手工配置的方式建立，但是当网络中节点增多时，手工配置
将非常困难，而且难以保证安全性。

这时就要使用因特网密钥交换协议IKE自动地进
行安全联盟的建立与密钥的交换。

IKE协议是建立在由Internet安全联盟和密钥管理协议ISAKMP（Internet Security
Association and Key Management Protocol）定义的框架上。

它能够为IPSec提供自动协
商交换密钥、建立安全联盟的服务，以简化IPSec的使用和管理。

IKE具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建立
IPSec安全联盟。

IKE的安全机制
●DH（Diffie-Hellman）交换及密钥分发。

Diffie-Hellman算法是一种公开密钥算
法。

通信双方在不传送密钥的情况下通过交换一些数据，计算出共享的密钥。

加
密的前提是交换加密数据的双方必须要有共享的密钥。

IKE的精髓在于它永远不
在不安全的网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方
共享的密钥。

即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，
也不足以计算出真正的密钥。

●完善的前向安全性PFS。

指一个密钥被破解，并不影响其他密钥的安全性，因为
这些密钥间没有派生关系。

此特性是通过在IKE阶段2的协商中增加密钥交换来
实现的。

PFS是由DH算法保障的。

●身份验证。

身份验证确认通信双方的身份。

对于pre-shared key验证方法，验证字
用来作为一个输入产生密钥，验证字不同是不可能在双方产生相同的密钥的。

验
证字是验证双方身份的关键。

●身份保护。

身份数据在密钥产生之后加密传送，实现了对身份数据的保护。

IKE的交换阶段
IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟，如下。

1.通信各方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建
立了一个ISAKMP安全联盟，即ISAKMP SA（也可称IKE SA）；
2.用已经建立的安全联盟（IKE SA）为IPSec协商安全服务，即为IPSec协商具体
的安全联盟，建立IPSec SA，IPSec SA用于最终的IP数据安全传送。

VRP
配置指南 安全 6 IKE 配置
具体安全联盟的建立过程如下图所示。

图6-1 安全联盟建立过程
Step 1Step 2Step 3
Step 4Router A Router B
合适的数据流从应用 IPSec的接口转发出去
在 IKE 阶段1安全联盟的保护下，
在阶段2安全联盟的保护下进行通信
当一个报文从某接口外出时，如果此接口应用了IPSec ，会进行安全策略的匹配。

1. 如果找到匹配的安全策略，会查找相应的安全联盟。

如果安全联盟还没有建立，
则触发IKE 进行协商。

IKE 首先建立阶段1的安全联盟，即IKE SA 。

2. 在阶段1安全联盟的保护下协商阶段2的安全联盟，即IPSec SA 。

3. 使用IPSec SA 保护通讯数据。

IKE 的协商模式
在RFC2409（The Internet Key Exchange ）中规定，IKE 第一阶段的协商可以采用两种
模式：主模式（Main Mode ）和野蛮模式（Aggressive Mode ）。

● 主模式被设计成将密钥交换信息与身份、验证信息相分离。

这种分离保护了身份
信息；交换的身份信息受已生成的Diffie-Hellman 共享密钥的保护。

但这增加了3
条消息的开销。

●
野蛮模式则允许同时传送与SA 、密钥交换和验证相关的载荷。

将这些载荷组合到
一条消息中减少了消息的往返次数，但是就无法提供身份保护了。

虽然野蛮模式存在一些功能限制，但可以满足某些特定的网络环境需求。

例如：远程
访问时，如果响应者（服务器端）无法预先知道发起者（终端用户）的地址、或者发
起者的地址总在变化，而双方都希望采用预共享密钥验证方法来创建IKE SA ，那么，
不进行身份保护的野蛮模式就是唯一可行的交换方法；另外，如果发起者已知响应者
的策略，或者对响应者的策略有全面的了解，采用野蛮模式能够更快地创建IKE SA 。

6.1.2 IPSec 的NAT 穿越
NAT 穿越（NAT Traversal ）
IPSec 的一个主要应用是建立VPN ，但在实际组网应用中，有一种情况会对部署IPSec
VPN 网络造成障碍：如果发起者位于一个私网内部，而它希望在自己与远端响应者之
间直接建立一条IPSec 隧道；这就涉及到IPSec 与NA T 的配合，主要问题在于，IKE
6 IKE配置
VRP
配置指南安全
在协商过程中如何发现两个端点之间存在NA T网关，以及如何使ESP报文正常穿越NAT网关。

首先，建立IPSec隧道的两端需要进行NA T穿越能力协商，这是在IKE协商的前两个消息中进行的，通过Vendor ID载荷指明的一组数据来标识，该载荷数据的定义随所采用草案（draft）版本的不同而不同。

而NAT网关发现是通过NAT-D载荷来实现的，该载荷用于两个目的：在IKE Peer之间发现NA T的存在；确定NA T设备在Peer的哪一侧。

NAT侧的Peer作为发起者，需要定期发送NAT keepalive报文，以使NA T网关确保安全隧道处于激活状态。

IPSec穿越NAT的处理
IPSec穿越NA T，简单来说就是在原报文的IP头和ESP头（不考虑AH方式）间增加
一个标准的UDP报头。

这样，当ESP报文穿越NA T网关时，NAT对该报文的外层IP
头和增加的UDP报头进行地址和端口号转换；转换后的报文到达IPSec隧道对端时，
与普通IPSec处理方式相同，但在发送响应报文时也要在IP头和ESP头之间增加一个
UDP报头。

6.1.3 IKE在VRP上的实现
VRP支持IKE的主模式和野蛮模式，并基于RFC2408、RFC2409实现，能够与大多数
主流设备厂商互通。

目前，如果VRP上的IPSec需要进行NAT穿越，则IKE第一阶段协商应采用野蛮模
式，对端ID类型为对端名称，并在配置IPSec的安全提议时，安全协议采用ESP，还
需要以隧道模式（tunnel）封装报文。

VRP上IKE的实现步骤如下：
1.设置IKE交换过程中所使用的本地ID；
2.指定对端（IKE Peer）的一系列属性，包括：IKE协商模式、预共享密钥值、对端
的IP地址或对端的名称、是否需要进行NAT穿越等，以保证IKE协商阶段的正
确性；
3.创建IKE安全提议，以确定IKE交换过程中算法的强度，即安全保护的强度，包
括：身份验证方法、加密算法、验证算法、DH组等。

不同算法的强度不同，强度
越高的算法，受保护数据越难被破解，但消耗的计算资源越多。

一般来说，密钥
越长的算法强度越高；
4.除以上基本步骤外，IKE还具有Keepalive机制，可以判断对端是否能够正常通
讯，因此还可配置Keepalive的“interval”和“timeout”两个参数。

当配置了
IPSec的NAT穿越时，还可配置发送NAT更新报文的时间间隔。

VRP
配置指南安全 6 IKE配置
当上述IKE配置完毕后，需要在IPSec的安全策略视图下引用IKE Peer，以完成自动协商的
IPSec的配置（IPSec引用IKE Peer已经在上一章中介绍）。

6.2 配置IKE协商时的本地ID
6.2.1 建立配置任务
应用环境
在采用野蛮模式进行IKE协商时，需要配置本地路由器ID。

采用主模式时不需要。

前置任务
无
数据准备
在配置IKE协商时的本地ID之前，需准备以下数据。

配置过程
要完成配置IKE协商时的本地ID的任务，需要执行如下的配置过程。

6.2.2 配置IKE协商时的本地ID
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike local-name router-name，配置IKE协商时的本地ID。

----结束
6 IKE配置
VRP 配置指南安全
6.3 配置IKE安全提议
6.3.1 建立配置任务
应用环境
在进行IKE协商时，需要配置IKE安全提议，此IKE安全提议将被用来建立安全通
道。

用户可以按照优先级创建多条IKE安全提议，但是协商双方必须至少有一条匹配
的IKE安全提议才能协商成功。

前置任务
无
数据准备
在配置IKE安全提议之前，需准备以下数据。

配置过程
要完成配置IKE安全提议的任务，需要执行如下的配置过程。

6.3.2 创建IKE安全提议并进入IKE安全提议视图
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike proposal priority-level，创建IKE安全提议并进入IKE安全提议视图。

●可以为进行IKE协商的每一端配置多条提议，在协商时将从优先级最高的提议开
始匹配一条双方都相同的提议，匹配的原则是：协商双方具有相同的加密算法、
验证算法、验证方法和Diffie-Hellman组标识。

●系统提供一条缺省的IKE安全提议，具有最低的优先级，此缺省提议具有缺省的
加密算法、验证算法、Diffie-Hellman组标识、ISAKMP SA生存周期和验证方
法。

----结束
6.3.3 选择加密算法
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike proposal priority-level，进入IKE安全提议视图。

步骤 3执行命令encryption-algorithm { des-cbc | 3des-cbc |aes-cbc }，选择加密算法。

目前可使用CBC模式的DES、AES以及3DES加密算法。

----结束
上述涉及AES的配置命令，只在NE16E、NE08E、NE05平台上提供，并由加密卡硬件提供相
应功能。

6.3.4 选择验证方法
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike proposal priority-level，进入IKE安全提议视图。

步骤 3执行命令authentication-method { pre-share | rsa-encr }，选择验证方法。

●此配置任务指定一个IKE提议使用的验证方法。

使用pre-shared key的验证方法时
必须配置验证字。

●目前可使用pre-shared key和rsa-encr的验证方法。

----结束
上述涉及rsa-encr的配置命令，只在NE16E、NE08E、NE05平台上提供，并由加密卡硬件提
供相应功能。

6.3.5 选择验证算法
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike proposal priority-level，进入IKE安全提议视图。

步骤 3执行命令authentication-algorithm { md5|sha1 }，选择验证算法。

缺省情况下使用SHA-1验证算法。

----结束
6.3.6 选择Diffie-Hellman组标识
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike proposal priority-level，进入IKE安全提议视图。

步骤 3执行命令dh { group1 | group2 }，选择Diffie-Hellman组标识。

缺省情况下指定为group1，即768-bit的Diffie-Hellman组。

----结束
6.3.7 配置ISAKMP SA生存周期
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike proposal priority-level，进入IKE安全提议视图。

步骤 3执行命令sa duration seconds，配置ISAKMP SA生存周期。

●如果duration时间超时，ISAKMP SA将自动更新。

生存周期可以设定为60到
604800秒之间的一个值。

因为IKE协商需要进行DH计算，在低端路由器上需要
经过较长的时间，为使ISAKMP SA的更新不影响安全通信，建议设置duration
大于10分钟。

●SA在设定的生存周期超时前会提前协商另一个SA来替换旧的SA。

在新的SA还
没有协商完之前，依然使用旧的SA；在新的SA建立后，将立即使用新的SA，
而旧的SA在生存周期超时时被自动清除。

●缺省情况下，ISAKMP SA生存周期为86400秒（一天）。

----结束
6.3.8 检查配置结果
完成上述配置后，请执行下面的命令检查配置结果。

6.4 配置IKE对端属性
6.4.1 建立配置任务
应用环境
在进行IKE协商时，需要配置IKE对端属性。

前置任务
在配置IKE对端属性之前，需完成以下任务。

●已经配置IKE安全提议。

●在采用野蛮模式时，已经配置IKE协商时的本地ID。

●在VPN实例与安全联盟关联之前，需要配置VPN实例、配置VPN实例的路由相
关属性、配置VPN实例的隧道策略、配置PE-CE间的路由、配置PE-PE间的路
由交换。

数据准备
在配置IKE对端属性之前，需准备以下数据。

配置过程
要完成配置IKE对端属性的任务，需要执行如下的配置过程。

6.4.2 创建IKE Peer并进入IKE Peer视图
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，创建IKE Peer并进入IKE Peer视图。

----结束
6.4.3 配置IKE协商模式
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令exchange-mode{ main | aggressive }，配置IKE协商模式。

缺省情况下，采用主模式进行IKE协商。

----结束
6.4.4 配置IKE安全提议
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令ike-proposal proposal-number，配置IKE安全提议。

缺省情况下，对于野蛮模式将采用第一个ike提议进行协商，对于主模式将采用本端
已配置的所有提议进行协商。

----结束
6.4.5 配置本地ID类型
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令local-id-type { ip | name }，配置本地ID类型。

当进行IKE交换时，可以使用IP地址作为ID，也可以使用名称作为ID。

缺省情况
下，IKE采用的ID类型为IP地址形式。

当IKE协商模式为野蛮模式时，本地ID类型必须name；当IKE协商模式为主模式
时，可以不配置本地ID，但是，本地类型不能为name。

----结束
6.4.6 配置IPSec的NAT穿越
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令nat traversal，使能IPSec的NAT穿越。

缺省情况下，禁止NA T穿越功能。

----结束
6.4.7 配置身份验证字
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令pre-shared-key key，配置身份验证字。

目前VRP软件仅提供Pre-shared key验证方法，有关验证方法的配置请见后文。

如果
选择了Pre-shared key验证方法，需要为每个对端配置预共享密钥。

建立安全连接的两
个对端的预共享密钥必须一致。

----结束
6.4.8 配置对端IP地址或地址段
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令remote-address[ vpn-instance vpn-instance ] low-ip-address [ high-ip-
address ]，配置对端IP地址或地址段。

----结束
上述涉及配置地址段时，此IKE Peer只能被IPSec的策略模板引用。

6.4.9 配置对端名称
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令remote-name name，配置对端名称。

----结束
6.4.10 配置VPN实例与安全联盟关联的MPLS VPN接入
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike peer peer-name，进入IKE Peer视图。

步骤 3执行命令sa binding vpn-instance vpn-instance，配置IPSec隧道绑定的VPN实例。

----结束
此命令也可运用于MPLS VPN网络中。

在MPLS VPN网络中，PE设备上连接CE的接口应与
VPN实例进行关联，此时如果再在该接口上应用IPSec策略，就需要通过本命令指明关联的
VPN实例。

6.4.11 检查配置结果
完成上述配置后，请执行下面的命令检查配置结果。

6.5 配置IKE的微调
6.5.1 建立配置任务
应用环境
●IKE通过配置Keepalive报文发送时间间隔来维护ISAKMP SA的链路状态。

如果
对端配置了超时时间，则必须在本端配置此Keepalive报文发送时间间隔。

当对端
在配置的超时时间内未收到此Keepalive报文时，如果该ISAKMP SA带有
TIMEOUT标记，则删除该ISAKMP SA以及由其协商的IPSec SA；否则，将其标
记为TIMEOUT。

所以在配置时需使配置的超时时间比Keepalive报文发送时间
长。

注意
●在一台路由器上应该同时配置以上两个参数，并且参数要匹配。

●interval和timeout要成对出现，即在一个路由器上配置了timeout参数，那么在对端
就要配置interval参数。

●interval的参数应该小于对端的timeout参数值，而不应该与本端进行比较。

●配置一个ISAKMP SA发送NA T更新报文的时间间隔。

NA T侧的Peer作为发起者
定期发送NA T-Keepalive报文，以确保安全隧道处于激活状态。

前置任务
在配置IKE的微调之前，需完成以下任务。

●配置IKE协商时的本地ID
●配置IKE安全提议
●配置IKE对端属性
数据准备
在配置IKE的微调之前，需准备以下数据。

配置过程
要完成配置IKE的微调的任务，需要执行如下的配置过程。

6.5.2 配置发送Keepalive报文的时间间隔
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike sa keepalive-timer interval seconds，配置ISAKMP SA向对端发送Keepalive报文的时间间隔。

缺省情况下，此功能无效。

----结束
6.5.3 配置等待Keepalive报文的超时时间
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike sa keepalive-timer timeout seconds，配置ISAKMP SA等待Keepalive报文的超时时间。

●在网络上一般不会出现超过连续三次的报文丢失，所以超时时间可以采用对端配
置的Keepalive报文发送时间间隔的三倍。

●缺省情况下，此功能无效
----结束
6.5.4 配置发送NAT更新报文的时间间隔
在路由器上进行如下配置。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令ike sa nat-keepalive-timer interval seconds，配置ISAKMP SA发送NAT更新报文的时间间隔。

缺省情况下，在使用IPSec NAT穿越功能时，ISAKMP SA每隔20秒发送一次NA T更
新报文。

----结束
6.6 维护
本节包含如下的内容。

●显示
●清除
●调试
本节介绍的配置命令中，所有涉及到加密卡接口的可选参数，都只在NE16E、NE08E、NE05
平台上提供，并由加密卡硬件完成相关功能。

6.6.1 显示
需要查看当前已经建立的安全通道时，可在所有视图下进行以下操作。

6.6.2 清除
注意
删除安全通道会导致网络传输不能处在安全保护之下。

务必仔细确认是否必须执行删
除安全通道的操作。

如果需要清除已经建立的安全通道，可在用户视图下选择执行以下命令。

在删除指定的安全通道时，需要指定SA的connection-id。

通过命令display ike sa可以
显示目前的安全联盟的connection-id信息。

针对同一个安全通道（即相同的对端），分
别有阶段1的信息和阶段2的信息。

删除本地的安全联盟时，如果阶段1的ISAKMP SA还存在，将在此安全联盟的保护下
向对端发送删除消息，通知对方清除安全联盟数据库。

如果未指定connection-id，所有的阶段1的SA都会被删除。

安全通道与安全联盟是完全不同的两个概念，安全通道是一个两端可以互通的通道，而安全联盟
则是一个单向的连接。

6.6.3 调试
注意
打开调试开关将影响系统的性能。

调试完毕后，应及时执行undo debugging all命令关
闭调试开关。

在出现IKE运行故障时，请在用户视图下执行下表中的debugging命令对IKE进行调
试，查看调试信息，定位故障并分析故障原因。

打开调试开关的操作步骤请参见
《VRP 配置指南-系统管理》中“维护与调试”的内容。

有关debugging命令的解释请
参见《VRP 命令参考》。

6.7 采用IKE协商方式建立安全联盟举例
组网需求
如图6-2所示，在Router A和Router B之间建立一个安全隧道，对PC A代表的子网
（10.1.1.x）与PC B代表的子网（10.1.2.x）之间的数据流进行安全保护。

安全协议采用
ESP协议，加密算法采用DES，认证算法采用SHA1。

图6-2 IPSec 配置组网图
PC B
PC A
配置思路
1. 配置IKE 协商时需要的本机ID 和IKE Peer 。

2. 配置ACL ，以定义要保护的数据流。

配置安全提议。

3. 配置安全策略，并引用ACL 和安全提议。

4. 在接口上引用安全策略。

配置步骤
步骤 1 配置Router A 和Router B 的本机ID 和IKE Peer 。

#配置Router A 进行IKE 协商时需要的本机ID 和IKE Peer 。

[RouterA] ike local-name huawei01 [RouterA] ike peer routerb
[RouterA-ike-peer-routerb] exchange-mode aggressive [RouterA-ike-peer-routerb] local-id-type name [RouterA-ike-peer-routerb] pre-shared-key huawei [RouterA-ike-peer-routerb] remote-name huawei02
[RouterA-ike-peer-routerb] remote-address 202.38.162.1 [RouterA-ike-peer-routerb] quit
野蛮模式中对于发起协商端需要增加remote-adress x.x.x.x 的配置。

#配置Router B 进行IKE 协商时需要的本机ID 和IKE Peer 。

[RouterB] ike local-name huawei02 [RouterB] ike peer routera
[RouterB-ike-peer-routera] exchange-mode aggressive [RouterB-ike-peer-routera] local-id-type name [RouterB-ike-peer-routera] pre-shared-key huawei [RouterB-ike-peer-routera] remote-name huawei01
[RouterB-ike-peer-routera] remote-address 202.38.163.1 [RouterB-ike-peer-routera] quit
此时分别RouterA 和RouterB 上执行display ike peer 会显示所配置的信息，以RouterA 为例。

[RouterA] display ike peer
---------------------------
IKE Peer: routerb
exchange mode: aggressive on phase 1
pre-shared-key: huawei
proposal:
local id type: name
peer ip address: 202.38.162.1
peer name: huawei02
nat traversal: disable
---------------------------
步骤 2配置Router A和Router B的访问控制列表，定义各自要保护的数据流。

#配置Router A的访问控制列表。

[RouterA] acl number 3101
[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination
10.1.2.0 0.0.0.255
[RouterA-acl-adv-3101] quit
#配置Router B的访问控制列表。

[RouterB] acl number 3101
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[RouterB-acl-adv-3101] quit
步骤 3分别配置Router A和Router B到对端的静态路由。

#配置Router A到目的端的静态路由。

[RouterA] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1
#配置Router B到目的端的静态路由。

[RouterB] ip route-static 10.1.1.0 255.255.255.0 202.38.163.1
步骤 4分别在Router A和RouterB上创建安全提议。

#在RouterA上配置安全提议。

[RouterA] ipsec proposal tran1
[RouterA-ipsec-proposal-tran1] encapsulation-mode tunnel
[RouterA-ipsec-proposal-tran1] transform esp
[RouterA-ipsec-proposal-tran1] esp encryption-algorithm des
[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RouterA-ipsec-proposal-tran1]quit
#在RouterB上配置安全提议。

[RouterB] ipsec proposal tran1
[RouterB-ipsec-proposal-tran1] encapsulation-mode tunnel
[RouterB-ipsec-proposal-tran1] transform esp
[RouterB-ipsec-proposal-tran1] esp encryption-algorithm des
[RouterB-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RouterB-ipsec-proposal-tran1] quit
此时分别RouterA和RouterB上执行display ipsec proposal 会显示所配置的信息，以RouterA为例。

[RouterA]display ipsec proposal
IPsec proposal name: tran1
encapsulation mode: tunnel
transform: esp-new
ESP protocol: authentication sha1-hmac-96, encryption des
步骤 5分别在Router A和RouterB上创建安全策略。

#在RouterA上配置安全策略。

[Quidway] ipsec policy map1 10 isakmp
[Quidway-ipsec-policy-isakmp-map1-10] ike-peer routerb
[Quidway-ipsec-policy-isakmp-map1-10] proposal tran1
[Quidway-ipsec-policy-isakmp-map1-10] security acl 3101
[Quidway-ipsec-policy-isakmp-map1-10] quit
#在RouterB上配置安全策略。

[Quidway] ipsec policy use1 10 isakmp
[Quidway-ipsec-policy-isakmp-use1-10] ike-peer routera
[Quidway-ipsec-policy-isakmp-use1-10] proposal tran1
[Quidway-ipsec-policy-isakmp-use1-10] security acl 3101
[Quidway-ipsec-policy-isakmp-use1-10] quit
此时分别RouterA和RouterB上执行display ipsec policy 会显示所配置的信息，以RouterA为例。

[RouterA] display ipsec policy
===========================================
IPsec Policy Group: "map1"
Using local-address: {}
Using interface: {}
===========================================
-----------------------------
IPsec policy name: "map1"
sequence number: 10
mode: isakmp
-----------------------------
security data flow : 3101
ike-peer name: routerb
perfect forward secrecy: None
proposal name: tran1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
步骤 6分别在Router A和RouterB的接口上引用各自的安全策略组。

#在RouterA的接口上引用安全策略组。

[RouterA] interface Pos1/0/1
[RouterA-Pos1/0/1] ip address 202.38.163.1 255.255.255.0
[RouterA-Pos1/0/1] ipsec policy map1
[Quidway-Pos1/0/1] quit
#在RouterB的接口上引用安全策略组。

[RouterB] interface Pos2/0/1
[RouterB-Pos2/0/1] ip address 202.38.162.1 255.255.255.0
[RouterB-Pos2/0/1] ipsec policy use1
[Quidway-Pos2/0/1] quit
此时分别RouterA和RouterB上执行display ipsec sa会显示所配置的信息，以RouterA
为例。

[RouterA] display ipsec sa
===============================
Interface: pos1/0/1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "map1"
sequence number: 10
mode: manual
-----------------------------
encapsulation mode: tunnel
tunnel local : 202.38.163.1 tunnel remote: 202.38.162.1
[inbound ESP SAs]
spi: 54321 (0xd431)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
No duration limit for this sa
[outbound ESP SAs]
spi: 12345 (0x3039)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
No duration limit for this sa
步骤 7检查配置结果
配置成功后，在主机PCA 执行ping操作仍然可以ping通主机PCB，它们之间的数据
传输将被加密。

在RouterA上执行display ike sa操作，结果如下。

[RouterA] display ike sa
connection-id peer vpn flag phase doi
--------------------------------------------------------------
14 202.38.162.1 0 RD|ST 1 IPSEC
16 202.38.162.1 0 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT
----结束
配置文件
RouterA的配置文件
#
sysname RouterA
#
ike local-name huawei01
#
ike peer routerb
exchange-mode aggressive
pre-shared-key huawei
local-id-type name
remote-name huawei02
remote-address 202.38.162.1
#
ipsec proposal tran1
esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp
security acl 3101
ike-peer routerb
proposal tran1
#
acl number 3101
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 #
interface Pos1/0/1
link-protocol ppp
ip address 202.38.163.1 255.255.255.0
ipsec policy map1
#
ip route-static 10.1.2.0 255.255.255.0 202.38.162.1
#
return
RouterB的配置文件
#
sysname RouterB
#
ike local-name huawei02
#
ike peer routera
exchange-mode aggressive
pre-shared-key huawei
local-id-type name
remote-name huawei01
remote-address 202.38.163.1
#
ipsec proposal tran1
esp authentication-algorithm sha1
#
ipsec policy use1 10 isakmp
security acl 3101
ike-peer routera
proposal tran1
#
acl number 3101
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 #
interface Pos2/0/1
link-protocol ppp
ip address 202.38.162.1 255.255.255.0
ipsec policy use1
#
ip route-static 10.1.1.0 255.255.255.0 202.38.163.1 #
return。