1.7  IPsec典型配置举例

1.7.1  采用手工方式建立保护IPv4报文的IPsec隧道

1. 组网需求

在 Router A和 Router B之间建立一条 IPsec隧道，对 Host A所在的子网(10.1.1.0/24)与 Host B

所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下： 1-25

•  封装形式为隧道模式。

•  安全协议采用 ESP协议。

•  加密算法采用采用 128比特的 AES，认证算法采用 HMAC-SHA1。

•  手工方式建立 IPsec SA。

2. 组网图

图1-7 保护 IPv4报文的 IPsec配置组网图

3. 配置步骤

(1)  配置 Router A

# 配置各接口的 IP地址，具体略。

# 配置一个 ACL，定义要保护由子网 10.1.1.0/24去往子网 10.1.2.0/24的数据流。

system-view

[RouterA] acl number 3101

[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0

0.0.0.255

[RouterA-acl-adv-3101] quit

# 配置到达 Host B所在子网的静态路由。2.2.2.3为本例中的直连下一跳地址，实际使用中请以具

体组网情况为准。

[RouterA] ip route-static 10.1.2.0 255.255.255.0 gigabitethernet 2/1/2 2.2.2.3

# 创建 IPsec安全提议 tran1。

[RouterA] ipsec transform-set tran1

# 配置安全协议对 IP报文的封装形式为隧道模式。

[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为 ESP。

[RouterA-ipsec-transform-set-tran1] protocol esp

# 配置 ESP协议采用的加密算法为采用 128比特的 AES，认证算法为 HMAC-SHA1。

[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[RouterA-ipsec-transform-set-tran1] quit

# 创建一条手工方式的 IPsec安全策略，名称为 map1，序列号为 10。

[RouterA] ipsec policy map1 10 manual

# 指定引用 ACL 3101。 1-26

[RouterA-ipsec-policy-manual-map1-10] security acl 3101

# 指定引用的 IPsec安全提议为 tran1。

[RouterA-ipsec-policy-manual-map1-10] transform-set tran1

# 指定 IPsec隧道对端 IP地址为 2.2.3.1。

[RouterA-ipsec-policy-manual-map1-10] remote-address 2.2.3.1

# 配置 ESP协议的出方向 SPI为 12345，入方向 SPI为 54321。

[RouterA-ipsec-policy-manual-map1-10] sa spi outbound esp 12345

[RouterA-ipsec-policy-manual-map1-10] sa spi inbound esp 54321

# 配置 ESP 协议的出方向 SA 的密钥为明文字符串 abcdefg，入方向 SA 的密钥为明文字符串

gfedcba。

[RouterA-ipsec-policy-manual-map1-10] sa string-key outbound esp simple abcdefg

[RouterA-ipsec-policy-manual-map1-10] sa string-key inbound esp simple gfedcba

[RouterA-ipsec-policy-manual-map1-10] quit

# 在接口 GigabitEthernet2/1/2上应用 IPsec安全策略 map1。

[RouterA] interface gigabitethernet 2/1/2

[RouterA-GigabitEthernet2/1/2] ip address 2.2.2.1 255.255.255.0

[RouterA-GigabitEthernet2/1/2] ipsec apply policy map1

[RouterA-GigabitEthernet2/1/2] quit

(2)  配置 Router B

# 配置各接口的 IP地址，具体略。

# 配置一个 ACL，定义要保护由子网 10.1.2.0/24去往子网 10.1.1.0/24的数据流。

system-view

[RouterB] acl number 3101

[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination  10.1.1.0

0.0.0.255

[RouterB-acl-adv-3101] quit

# 配置到达 Host A所在子网的静态路由。2.2.3.3为本例中的直连下一跳地址，实际使用中请以具

体组网情况为准。

[RouterB] ip route-static 10.1.1.0 255.255.255.0 gigabitethernet 2/1/2 2.2.3.3

# 创建 IPsec安全提议 tran1。

[RouterB] ipsec transform-set tran1

# 配置安全协议对 IP报文的封装形式为隧道模式。

[RouterB-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为 ESP。

[RouterB-ipsec-transform-set-tran1] protocol esp

# 配置 ESP协议采用的加密算法为 128比特的 AES，认证算法为 HMAC-SHA1。

[RouterB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterB-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[RouterB-ipsec-transform-set-tran1] quit

# 创建一条手工方式的 IPsec安全策略，名称为 use1，序列号为 10。

[RouterB] ipsec policy use1 10 manual

# 指定引用 ACL 3101。

[RouterB-ipsec-policy-manual-use1-10] security acl 3101 1-27

# 指定引用的 IPsec安全提议为 tran1。

[RouterB-ipsec-policy-manual-use1-10] transform-set tran1

# 指定 IPsec隧道对端 IP地址为 2.2.2.1。

[RouterB-ipsec-policy-manual-use1-10] remote-address 2.2.2.1

# 配置 ESP协议的出方向 SPI为 54321，入方向 SPI为 12345。

[RouterB-ipsec-policy-manual-use1-10] sa spi outbound esp 54321

[RouterB-ipsec-policy-manual-use1-10] sa spi inbound esp 12345

# 配置 ESP 协议的出方向 SA 的密钥为明文字符串 gfedcba，入方向 SA 的密钥为明文字符串

abcdefg。

[RouterB-ipsec-policy-manual-use1-10] sa string-key outbound esp simple gfedcba

[RouterB-ipsec-policy-manual-use1-10] sa string-key inbound esp simple abcdefg

[RouterB-ipsec-policy-manual-use1-10] quit

# 在接口 GigabitEthernet2/1/2上应用 IPsec安全策略 use1。

[RouterB] interface gigabitethernet 2/1/2

[RouterB-GigabitEthernet2/1/2] ipsec apply policy use1

[RouterB-GigabitEthernet2/1/2] quit

4. 验证配置

以上配置完成后，Router A 和 Router B 之间的 IPsec 隧道就建立好了，子网 10.1.1.0/24 与子网

10.1.2.0/24之间数据流的传输将受到生成的 IPsec SA的保护。可通过以下显示查看 Router A上手

工创建的 IPsec SA。

[RouterA] display ipsec sa

-------------------------------

Interface: GigabitEthernet2/1/2

-------------------------------

-----------------------------

IPsec policy: map1

Sequence number: 10

Mode: manual

-----------------------------

Tunnel id: 549

Encapsulation mode: tunnel

Path MTU: 1443

Tunnel:

local  address: 2.2.2.1

remote address: 2.2.3.1

Flow:

as defined in ACL 3101

[Inbound ESP SA]

SPI: 54321 (0x0000d431)

Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

No duration limit for this SA

[Outbound ESP SA]

SPI: 12345 (0x00003039)

Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

No duration limit for this SA 1-28

Router B上也会产生相应的 IPsec SA来保护 IPv4报文，查看方式与 Router A同，此处略。