IPSec 配置指导

第3章IPSec 配置指导

3.1 组网及业务描述

图3-1

在RTA 和RTC 之间建立一个安全隧道，对RTA 上的LookBack 地址与RTC 上的LoopBack 地址之间的数据流进行安全保护。安全协议采用ESP 协议，加密算法采用DES，验证算法采用SHA1-HMAC-96。

3.2 配置步骤

(1) 配置ACL

在系统视图下，创建高级ACL，指定加密数据的范围；

(2) 配置静态路由

在系统视图下，为两边LoopBack 地址建立连通性配置静态路由。

(3) 配置安全提议

系统视图下创建安全提议，并命名安全提议。

(4) 选择隧道封装协议

安全提议视图下，选择隧道协议：传输模式或隧道模式。默认为隧道模式。(5) 选择安全协议

安全提议视图下，选择安全协议：ESP 或AH。默认为ESP。

(6) 选择算法

同样在安全提议视图下，选择加密算法及认证算法。

(7) 创建安全策略

系统视图下，创建安全策略并选择协商方法为Manual。

(8) 引用ACL 及安全提议

安全策略视图下引用ACL 及安全提议。

(9) 设置对端地址

安全策略视图下设置对端地址。对端地址为接收方的物理地址。

(10) 设置本端地址

安全策略视图下设置本端地址。本端地址为发送方的物理地址。

(11) 设置SPI

安全策略视图下设置SPI。

设置inbound 和outbound 两个方向安全联盟的参数。

在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安

全联盟的SPI 必须和对端的出方向安全联盟的SPI 一样；本端的出方向安全

联盟的SPI 必须和对端的入方向安全联盟的SPI 一样。

(12) 配置安全联盟使用的密钥

请在安全策略视图下配置密钥。此配置任务仅用于manua l 方式的安全策略，用如下命令手工输入安全联盟的密钥。对于采用isakmp 协商方式的安全策略，无需手工配置密钥，IKE 将自动协商安全联盟的密钥。

(13) 在接口上应用安全策略组

DL010012 IP VPN 实验指导书ISSUE 1.2 第3 章IPSec 配置指导

华为技术有限公司版权所有, 未经许可不得扩散21

此配置任务将安全策略组应用到接口，从而实现对流经这个接口的不同的数

据流进行不同的安全保护。如果所应用的安全策略是手工方式建立安全联盟，会立即生成安全联盟。如果所应用的是自动协商方式的安全联盟，不会立即

建立安全联盟，只有当符合某IPSec 安全策略的数据流从该接口外出时，才

会触发IKE 去协商IPSec 安全联盟。

3.3 配置参考

3.3.1 端口配置

1. 配置RTA

system-view

[RTA]interface loopback 0

[RTA-LoopBack0]ip address 1.1.1.1 255.255.255.255

[RTA]interface ethernet 0/0

[RTA-Ethernet0/0]ip address 10.1.1.1 255.255.255.252

2. 配置RTB

system-view

[RTB]interface loopback 0

[RTB-LoopBack0]ip address 2.2.2.2 255.255.255.255

[RTB]interface ethernet 0/0

[RTB-Ethernet0/0]ip address 10.1.1.2 255.255.255.252

[RTB]interface serial 2/0

[RTB-Serial2/0]ip address 192.2.2.2 255.255.255.252

3. 配置RTC

system-view

[RTC]interface loopback 0

[RTC-LoopBack0]ip address 3.3.3.3 255.255.255.255

[RTC]interface serial 2/0

[RTC-Serial2/0]ip address 192.2.2.1 255.255.255.252

3.3.2 骨干IGP 配置

1. 配置RTA

(1) 指定router ID

[RTA]router id 1.1.1.1

(2) 运行OSPF

[RTA]ospf

(3) 创建区域0，并通告网络

[RTA-ospf-1]area 0

[RTA-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.3

2. 配置RTB

(1) 指定router ID

[RB]router id 2.2.2.2

(2) 运行OSPF

[RTB]ospf

(3) 创建区域0，并通告网络

[RTB-ospf-1]area 0

[RTB-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.3

[RTB-ospf-1-area-0.0.0.0]network 192.2.2.0 0.0.0.3

3. 配置RTC

(1) 指定router ID

[RTC]router id 3.3.3.3

(2) 运行OSPF

[RTC]ospf

(3) 创建区域0，并通告网络

[RTC-ospf-1]area 0

[RTC-ospf-1-area-0.0.0.0]network 192.2.2.0 0.0.0.3

3.3.3 IPSec 配置

1. 配置RTA

(1) 配置ACL

[RTA]acl number 3000

[RTA-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 3.3.3.3 0

(2) 配置静态路由

[RTA]ip route-static 3.3.3.3 255.255.255.255 192.2.2.1

(3) 创建安全提议

[RTA]ipsec proposal tran1

(4) 选择隧道封装协议

[RTA-ipsec-proposal-tran1]encapsulation-mode tunnel

(5) 选择安全协议

[RTA-ipsec-proposal-tran1]transform esp

(6) 选择算法

[RTA-ipsec-proposal-tran1]esp encryption-algorithm des

[RTA-ipsec-proposal-tran1]esp authentication-algorithm sha1

(7) 创建一条安全策略

[RTA]ipsec policy policy1 1 manual

(8) 引用ACL 及安全提议

[RTA-ipsec-policy-manual-policy1-1]security acl 3000

[RTA-ipsec-policy-manual-policy1-1]proposal tran1