IPSec 配置指导
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第3章IPSec 配置指导
3.1 组网及业务描述
图3-1
在RTA 和RTC 之间建立一个安全隧道,对RTA 上的LookBack 地址与RTC 上的LoopBack 地址之间的数据流进行安全保护。安全协议采用ESP 协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。
3.2 配置步骤
(1) 配置ACL
在系统视图下,创建高级ACL,指定加密数据的范围;
(2) 配置静态路由
在系统视图下,为两边LoopBack 地址建立连通性配置静态路由。
(3) 配置安全提议
系统视图下创建安全提议,并命名安全提议。
(4) 选择隧道封装协议
安全提议视图下,选择隧道协议:传输模式或隧道模式。默认为隧道模式。(5) 选择安全协议
安全提议视图下,选择安全协议:ESP 或AH。默认为ESP。
(6) 选择算法
同样在安全提议视图下,选择加密算法及认证算法。
(7) 创建安全策略
系统视图下,创建安全策略并选择协商方法为Manual。
(8) 引用ACL 及安全提议
安全策略视图下引用ACL 及安全提议。
(9) 设置对端地址
安全策略视图下设置对端地址。对端地址为接收方的物理地址。
(10) 设置本端地址
安全策略视图下设置本端地址。本端地址为发送方的物理地址。
(11) 设置SPI
安全策略视图下设置SPI。
设置inbound 和outbound 两个方向安全联盟的参数。
在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安
全联盟的SPI 必须和对端的出方向安全联盟的SPI 一样;本端的出方向安全
联盟的SPI 必须和对端的入方向安全联盟的SPI 一样。
(12) 配置安全联盟使用的密钥
请在安全策略视图下配置密钥。此配置任务仅用于manua l 方式的安全策略,用如下命令手工输入安全联盟的密钥。对于采用isakmp 协商方式的安全策略,无需手工配置密钥,IKE 将自动协商安全联盟的密钥。
(13) 在接口上应用安全策略组
DL010012 IP VPN 实验指导书ISSUE 1.2 第3 章IPSec 配置指导
华为技术有限公司版权所有, 未经许可不得扩散21
此配置任务将安全策略组应用到接口,从而实现对流经这个接口的不同的数
据流进行不同的安全保护。如果所应用的安全策略是手工方式建立安全联盟,会立即生成安全联盟。如果所应用的是自动协商方式的安全联盟,不会立即
建立安全联盟,只有当符合某IPSec 安全策略的数据流从该接口外出时,才
会触发IKE 去协商IPSec 安全联盟。
3.3 配置参考
3.3.1 端口配置
1. 配置RTA
[RTA]interface loopback 0
[RTA-LoopBack0]ip address 1.1.1.1 255.255.255.255
[RTA]interface ethernet 0/0
[RTA-Ethernet0/0]ip address 10.1.1.1 255.255.255.252
2. 配置RTB
[RTB]interface loopback 0
[RTB-LoopBack0]ip address 2.2.2.2 255.255.255.255
[RTB]interface ethernet 0/0
[RTB-Ethernet0/0]ip address 10.1.1.2 255.255.255.252
[RTB]interface serial 2/0
[RTB-Serial2/0]ip address 192.2.2.2 255.255.255.252
3. 配置RTC
[RTC]interface loopback 0
[RTC-LoopBack0]ip address 3.3.3.3 255.255.255.255
[RTC]interface serial 2/0
[RTC-Serial2/0]ip address 192.2.2.1 255.255.255.252
3.3.2 骨干IGP 配置
1. 配置RTA
(1) 指定router ID
[RTA]router id 1.1.1.1
(2) 运行OSPF
[RTA]ospf
(3) 创建区域0,并通告网络
[RTA-ospf-1]area 0
[RTA-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.3
2. 配置RTB
(1) 指定router ID
[RB]router id 2.2.2.2
(2) 运行OSPF
[RTB]ospf
(3) 创建区域0,并通告网络
[RTB-ospf-1]area 0
[RTB-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.3
[RTB-ospf-1-area-0.0.0.0]network 192.2.2.0 0.0.0.3
3. 配置RTC
(1) 指定router ID
[RTC]router id 3.3.3.3
(2) 运行OSPF
[RTC]ospf
(3) 创建区域0,并通告网络
[RTC-ospf-1]area 0
[RTC-ospf-1-area-0.0.0.0]network 192.2.2.0 0.0.0.3
3.3.3 IPSec 配置
1. 配置RTA
(1) 配置ACL
[RTA]acl number 3000
[RTA-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 3.3.3.3 0
(2) 配置静态路由
[RTA]ip route-static 3.3.3.3 255.255.255.255 192.2.2.1
(3) 创建安全提议
[RTA]ipsec proposal tran1
(4) 选择隧道封装协议
[RTA-ipsec-proposal-tran1]encapsulation-mode tunnel
(5) 选择安全协议
[RTA-ipsec-proposal-tran1]transform esp
(6) 选择算法
[RTA-ipsec-proposal-tran1]esp encryption-algorithm des
[RTA-ipsec-proposal-tran1]esp authentication-algorithm sha1
(7) 创建一条安全策略
[RTA]ipsec policy policy1 1 manual
(8) 引用ACL 及安全提议
[RTA-ipsec-policy-manual-policy1-1]security acl 3000
[RTA-ipsec-policy-manual-policy1-1]proposal tran1