一、配置IPSec

1、配置的前提

配置IPSec前需要做好准备工作：
(1)、网络可达
需要确定网络流量的可达性，就是从出站口发送的数据包是否能够通过网络到达指定IP地址的设备。

(2)、确定需要保护的数据
由于运行IPSec会占用大量的系统资源，如果不需要加密的数据就是进行转发，需要的才通过ACL访问控制列表对IP地址范围匹配，进行加密和验证。

(3)、确定安全的路径
通常情况下，在企业内网中传输，数据是安全的，内网自身就有安全设置，人员也是企业内人员，上网设备固定。但是在Internet上传输时，就会出现不可控状况，数据的传输是不安全的，需要对通过Internet传输路径的数据进行安全保护，就是从进入Internet的网关和到达目的地的网关之间的路径作安全性措施。

(4)、确定安全保护的方式
根据不同的需求使用哪种安全方式：

对数据只验证而不加密，IPSec采用AH验证头的安全协议；
对数据既验证又加密，IPSec采用ESP安全载荷的安全协议。
以上两种方式对数据的安全保障各有不同，针对机密性、完整性、真实性、抗重播四项，最好的是采用ESP安全载荷协议，但是缺点是对系统资源消耗过大。根据企业的需求来选择采用哪种安全协议。

(5)、确定安全保障的强度
不同的算法，破解难度不一样，算法的强度越高，安全性是就越高，AES强于DES，密钥的长度越长强度就越高。

2、配置的步骤

IPSec VPN的配置需要以下几个步骤：
(1)、配置ACL访问控制列表。
(2)、配置安全提议。
(3)、配置安全策略
(4)、在接口组上应用安全策略组

2.1、配置ACL访问控制列表

访问控制列表ACL（Access Control List）是由permit或deny语句组成的一系列有顺序规则的集合，它通过匹配报文的信息实现对报文的分类。

基于接口的ACL：编号范围为1000-1999。
基本ACL：编号范围为2000-2999。
高级ACL：可以基于源地址、目的地址、源端口号、目的端口号、协议类型、优先级、时间段等信息对数据包进行更为细致的分类定义，编号范围为3000- 3999。
二层ACL：主要基于源MAC地址、目的MAC地址和报文类型等信息对数据包进行分类定义，编号范围为4000-4999。
用户自定义ACL：主要根据用户自定义的规则对数据报文做出相应的处理，编号范围为5000-5999。

一个ACL可以由多条“deny | permit”语句组成，每一条语句描述了一条规则。设备收到数据流量后，会逐条匹配ACL规则，看其是否匹配。如果不匹配，则继续匹配下一条。一旦找到一条匹配的规则，就会执行规则中定义的动作，且不再继续与后续规则进行匹配。

高级ACL配置示例：
发送端ACL配置
acl number 3001
rule 5 permit ip source 172.30.2.1 0.0.0.0 destination 10.10.8.5 0.0.0.0

接收端ACL配置
acl number 3001
rule 5 permit ip source 10.10.8.5 0.0.0.0 destination 172.30.2.1 0.0.0.0

2.2、配置安全提议

配置安全提议步骤：
(1)、创建安全提议
[Huawei] ipsec proposal head //head为自取的名称
(2)、选择安全协议
[Huawei-ipsec-proposal-head] transform esp
默认采用ESP安全协议，一般不用配置。
(3)、选择安全算法
[Huawei-ipsec-proposal-head] esp authentication-algorithm sha2-256 //认证算法
[Huawei-ipsec-proposal-head] esp encryption-algorithm aes-192 //加密算法
(4)、选择工作模式
[Huawei-ipsec-proposal-head] encapsulation-mode tunnel
[Huawei-ipsec-proposal-head]dis this
默认采用隧道模式，一般不用配置。

查看IPSec提议配置
display ipsec proposal

也就创建一个名称为XXX的安全提议，选择AH或ESP安全协议；选择DES、3DES、AES中一种加密算法；选择MD5或SHA-1中一种验证算法；选择传输模式或隧道模式中一种工作模式。

ESP协议允许对报文同时加密和验证，或只加密，或只验证。AH协议没有加密功能，只验证。以上设置后，对端的安全提议中安全算法也必须采用一样的设置。

加密算法包括3DES、AES、RSA、SHA1、SHA2和MD5。3DES、RSA和AES加密算法是可逆的，SHA1、SHA2和MD5加密算法是不可逆的。DES/3DES/RSA(1024位以下)/MD5(数字签名场景和口令加密)/SHA1(数字签名场景)加密算法安全性低，存在安全风险。更安全的加密算法，比如AES/RSA(2048位以上)/SHA2/HMAC-SHA2。具体采用哪种加密算法请根据场景而定：对于管理员类型的密码，必须采用不可逆加密算法，推荐使用安全性更高的SHA2。

2.3、配置安全策略

安全策略就是对指定的数据流采用什么样的安全提议，建立SA。一条安全策略由"名称"+"序号"组成唯一标识。多个名称一样的安全策略组成一个安全策略组。在一个接口上，使用了安全策略组，那么系统将按照从小到大的顺序对每一条安全策略进行匹配。匹配成功则使用安全策略定义的参数，一直匹配不成功则直接传输，即没有安全保障的直接传输。

安全策略分为以下两类：
(1)、静态人工安全策略
使用手工配置密钥、SPI、安全协议和算法等参数，并且还需要在IPSec VPN隧道两端配置两个端点的IP地址。

(2)、动态IKE协商安全策略
IKE端与端之间自动协商密钥、SPI、安全协议和算法等参数。

2.3.1、人工配置安全策略

(1)、创建安全策略
[Huawei] ipsec policy vpn1 5 manual //vpn1名称序号是5，自取名和安排序号 manual手工的
(2)、配置安全策略引用的ACL
[Huawei-ipsec-policy-manual-vpn1-5] security acl 3001
注意：一条安全策略只能引用一个ACL，如果有多条，只有最后一条有效，默认情况安全策略没有引用ACL。

(3)、配置安全策略引用的安全提议
[Huawei-ipsec-policy-manual-vpn1-5] proposal head
注意：人工方式建立的SA，一条安全策略只能引用一个安全提议，如原来配置得有，必须删除后才能引用新的安全提议。默认情况，安全策略没有引用任何安全提议。

(4)、配置IPSec隧道的本地和对端地址
[Huawei-ipsec-policy-manual-vpn1-5] tunnel local 172.30.2.1
[Huawei-ipsec-policy-manual-vpn1-5] tunnel remote 10.10.8.5

(5)、配置安全联盟的SPI
入方向和出方向都必须设置，并且双方的必须相互对应。
出方向安全参数索引
Huawei-ipsec-policy-manual-vpn1-5] sa spi outbound esp 12345
入方向安全参数索引
[Huawei-ipsec-policy-manual-vpn1-5] sa spi inbound esp 54321

(6)、配置SA使用的密钥
A、配置ESP协议的验证密钥
入方向和出方向都必须设置，并且双方的必须相互对应。
出方向验证密钥
[Huawei-ipsec-policy-manual-vpn1-5] sa string-key outbound esp cipher Huawei
入方向验证密钥
[Huawei-ipsec-policy-manual-vpn1-5] sa string-key inbound esp cipher Huawei

B、配置ESP协议的加密密钥
出方向加密密钥
[Huawei-ipsec-policy-manual-vpn1-5] sa hex-key outbound esp cipher Huawei
入方向加密密钥
[Huawei-ipsec-policy-manual-vpn1-5] sa hex-key inbound esp cipher Huawei
[Huawei-ipsec-policy-manual-vpn1-5] dis this
查看证IPSec手动策略配置。
display ipsec policy

(7)、应用安全策略
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ipsec policy vpn1

2.3.2、IKE协商参数安全策略

IKE端与端之间自动协商密钥、SPI、安全协议和算法等参数。使用IKE协商建立SA时，一条安全策略最多可以引用6个安全提议。IKE对等体之间将交换这些安全提议，并从中查找出一条完全匹配的安全提议，并使用其中的参数建立SA。

(1)、创建安全策略
[Huawei] ipsec policy vpn1 5 isakmp //vpn1名称序号是5，自取名和安排序号 isakmp自动

(2)、配置安全策略引用的ACL
[Huawei-ipsec-policy-manual-vpn1-5] security acl 3001
注意：一条安全策略只能引用一个ACL，如果有多条，只有最后一条有效，默认情况安全策略没有引用ACL。

(3)、配置安全策略引用的安全提议
[Huawei-ipsec-policy-manual-vpn1-5] proposal head
缺省情况下，IPSec安全策略没有引用IPSec安全提议。一个ISAKMP方式IPSec安全策略最多可以引用12个IPSec安全提议。

(4)、在IPSec安全策略中引用IKE对等体。peer-name是一个已创建的IKE对等体。
[Huawei-ipsec-policy-manual-vpn1-5] ike-peer head v1

2.4、配置IKE

IKE配置步骤：
1、配置IPSec安全提议。
2、配置IKE安全提议。
3、配置IKE对等体
配置IKE动态协商方式建立IPSec隧道时，需要引用IKE对等体。

IKE对等体两端使用相同的IKE版本。
IKE对等体两端使用IKEv1版本时必须采用相同的协商模式。
IKE对等体两端的身份认证参数必须匹配。

IKE对等体使用的IKE协议分IKEv1和IKEv2两个版本。IKE对等体使用IKEv1协议与使用IKEv2协议时相比，存在以下差异：

IKEv1需要配置第一阶段协商模式，IKEv2不需要。
采用数字证书认证时，IKEv1不支持通过IKE协议进行数字证书的在线状态认证，IKEv2支持。
IKEv2可以配置重认证时间间隔，提高安全性，IKEv1不可以。

4、配置IKE动态协商方式安全策略
5、接口上应用各自的安全策略组

配置接口的IP地址和到对端的静态路由，保证两端路由可达。配置ACL，以定义需要IPSec保护的数据流。对等体两端都配置双方网关的访问控制列表ACL。
acl number 3001
rule 5 permit ip source 172.30.2.1 0.0.0.0 destination 10.10.8.5 0.0.0.0

1、配置IPSec安全提议。
[RA] ipsec proposal head
[RA-ipsec-proposal-head] encapsulation-mode tunnel //默认隧道模式，一般不配置
[RA-ipsec-proposal-head] transform esp //默认ESP安全模式，一般不配置
[RA-ipsec-proposal-head] esp authentication-algorithm sha2-256 //数据认证算法。
[RA-ipsec-proposal-head] esp encryption-algorithm aes-128 //加密算法
[RA-ipsec-proposal-head] quit

2、配置IKE安全提议。
[RA] ike proposal 10 //创建一个IKE安全提议
[RA-ike-proposal-10] authentication-method pre-share //默认pre-share，一般不用配置预共享密钥
[RA-ike-proposal-10] authentication-algorithm sha2-256 //数据认证算法。
[RrA-ike-proposal-10] encryption-algorithm aes-128 //加密算法
[RA-ike-proposal-10] dh group14 //配置密钥交换算法。
[RA-ike-proposal-10] integrity-algorithm hmac-sha2-256 //完整性算法，默认，一般不用配置。
[RA-ike-proposal-10] quit

查看：display ike proposal

注意：
不建议使用MD5和SHA1算法，否则无法满足安全防御的要求。

预共享密钥认证(pre-share)、RSA签名认证(rsa-signature)、RSA数字信封认证(digital-envelope)。其中RSA数字信封认证只能在IKEv1的主模式协商过程中使用，不能在IKEv1野蛮模式及IKEv2的协商过程中使用。

DH密钥交换组安全级别由高到低的顺序是group21 > group20 > group19 > group14 > group5 > group2 > group1。其中1-5安全级别低不建议使用。

伪随机数产生函数的算法prf HMAC-SHA2-256、IKEv2协商时所使用的完整性算法integrity-algorithm HMAC-SHA2-256使用不默认值不用配置。

3、配置IKE对等体
[RA] ike peer sub v1 //创建IKE对等体sub
[RrA-ike-peer-sub]exchange-mode main //配置IKEv1阶段1协商模式主模式，默认值一般不配置
[RrA-ike-peer-sub] ike-proposal 10 //引用10号IKE安全提议
[RA-ike-peer-sub] pre-shared-key cipher huawei@123 //配置认证密钥预共享密钥
[RA-ike-peer-sub] local-address //配置本地IP地址。可不配置
[RA-ike-peer-sub] quit
注意：local-address一般情况下本端IP地址不需要配置。

4、配置IKE动态协商方式安全策略
[RouterA] ipsec policy vpn1 5 isakmp //vpn1名称序号是5，isakmp 自动
[RouterA-ipsec-policy-isakmp-vpn1-5] ike-peer sub //引用对等体
[RouterA-ipsec-policy-isakmp-vpn1-5] proposal head //引用IPSec安全提议
[RouterA-ipsec-policy-isakmp-vpn1-5] security acl 3101 //引用的ACL。

查看所配置的ipsec安全策略信息：display ipsec policy

5、接口上应用各自的安全策略组
[RA] interface gigabitethernet 0/0/0
[RA-GigabitEthernet1/0/0] ipsec policy vpn1
[RA-GigabitEthernet1/0/0] quit

查看安全联盟：display ike/ipsec sa

2.5、配置策略模板方式IPSec安全策略

采用策略模板方式IPSec安全策略可简化多条IPSec隧道建立时的配置工作量，适用于对端IP地址不固定(例如对端是通过PPPoE拨号获得的IP地址)或存在多个对端的场景，一般用于总部的配置。

采用策略模板方式IPSec安全策略建立IPSec隧道时，未定义的可选参数由发起方来决定，而响应方会接受发起方的建议。本端配置了策略模板方式IPSec安全策略时不能发起协商，只能作为协商响应方接受对端的协商请求。

策略模板方式IPSec安全策略的配置原则：

IPSec隧道的两端只能有一端配置策略模板方式的IPSec安全策略（作为协商响应方），另一端必须配置ISAKMP方式的IPSec安全策略（作为协商发起方）。
在策略模板配置中，引用IPSec安全提议和IKE对等体为必选配置，其它为可选配置。策略模板中没有定义的参数由发起方来决定，响应方会接受发起方的建议。

在安全策略中引用策略模板。

RouterA、RouterB和RouterC，总部是RouterC，分支机构分别为RouterA、RouterB。
IPSec安全提议、IKE安全提议对等体与前面所讲配置一样。

(1)、RouterA采用的是固定地址接入，采用IP地址与RouterC进行验证。IKE对等体与前面不一样：

RouterA对等体设置增加一条
[RouterA-ike-peer-sub] remote-address x.x.x.x 这个地址为总部C的隧道入口IP地址。

因为RouterB使用动态地址接入，所以RouterB采用名称与RouterC进行验证。不需要设置IP地址。

RouterB对等体增加设置
[RouterB] ike peer sub v1
[RouterB-ike-peer-sub] local-id-type fqdn //本端ID类型为FQDN。
[RouterB-ike-peer-sub] remote-address x.x.x.x //远程总部隧道入口端IP地址

RouterC作为IKE协商响应方，采用策略模板配置安全策略，不需要配置remote-address。

(2)、总部RouterC上配置身份过滤集：

RouterC配置身份过滤集
[RouterC] ike identity zongbu //配置本端IKE名称为总部的身份信息
[RouterC-ike-identity-zongbu] ip address x.x.x.x //路由器A的隧道出口端IP地址
[RouterC-ike-identity-zongbu] fqdn routerb //IKE协商本端ID类型为FQDN。名称为routerb

总部RouterC身份验证区别分支机构，使用IP来确认RouterA，通过类型为FQDN的routerb来确认RouterB。

(3)、安全策略RouterA、RouterB与前面所讲配置一样。在RouterC上配置策略模板，并在安全策略中引用该策略模板。

RouterC安全策略中引用该策略模板
[RouterC] ipsec policy-template use1 10
[RouterC-ipsec-policy-templet-use1-10] ike-peer sub
[RouterC-ipsec-policy-templet-use1-10] proposal head
[RouterC-ipsec-policy-templet-use1-10] match ike-identity zongbu //匹配zongbu身份信息库。
[RouterC-ipsec-policy-templet-use1-10] quit
[RouterC] ipsec policy vpn1 5 isakmp template use1

2.６、查看IKE的配置结果及监控IPSec运行

2.６.1、检查IKE的配置结果

执行命令display ike identity [ name identity-name ]，查看身份过滤集的配置信息。
执行命令display ike peer [ brief | name peer-name ]或display ike peer [ brief | name peer-name ] ctrl-plane，查看IKE对等体配置的信息。
执行命令display ike proposal [ number proposal-number ]或display ike proposal [ number proposal-number ] ctrl-plane，查看IKE安全提议配置的参数。
执行命令display ike sa [ remote ipv4-address ]，查看当前IKE SA的摘要信息。
执行命令display ike sa [ remote-id-type remote-id-type ] remote-id remote-id，根据对端ID查看IKE SA的摘要信息。
执行命令display ike sa verbose { remote ipv4-address | connection-id connection-id | [ remote-id-type remote-id-type ] remote-id remote-id }，查看当前IKE SA的详细信息。
执行命令display ike global config，查看IKE的全局配置信息。

2.６.2、监控IPSec运行

执行命令display ike sa [ remote ipv4-address ]，查看当前IKE SA的摘要信息。
执行命令display ike sa [ remote-id-type remote-id-type ] remote-id remote-id，根据对端ID查看IKE SA的摘要信息。
执行命令display ike sa verbose { remote ipv4-address | connection-id connection-id | [ remote-id-type remote-id-type ] remote-id remote-id }，查看当前IKE SA的详细信息。
执行命令display ipsec sa [ brief | duration | policy policy-name [ seq-number ] | remote ipv4-address ]，查看IPSec SA相关信息。
执行命令display ipsec statistics [ tunnel-number ]，查看IPSec处理报文的统计信息。
执行命令display ike statistics { v1 | v2 }，查看IKE运行统计信息。
执行命令display ikev2 statistics { eap | error | notify-info | packet | sa }，查看IKEv2协商IPSec隧道的统计信息。
执行命令display ipsec statistics route，查看IPSec路由注入的统计信息。
执行命令display ike error-info [ verbose ] [ peer remote-address ]，查看IKE协商IPSec隧道失败的信息。
执行命令display ike offline-info [ peer remote-address ]，查看IKE协商建立的IPSec隧道被删除的信息。

2.７、IPSEC配置界面

IPSEC安全策略

商业虚拟专用网络技术六IPSec配置相关推荐

商业虚拟专用网络技术十一 MPLS转发
商业虚拟专用网络技术十一 MPLS转发 4.MPLS转发的实现 4.1.标签压入PUSH 4.2.标签交换SWAP 4.3.标签弹出POP 4.4.华为设备转发过程 4.5.MPLS对TTL的操作 4 ...
商业虚拟专用网络技术十三 BGP/MPLS报文转发
二.MP-BGP路由协议 1.4.RD前缀假设VPN1和VPN2都使用了10.110.10.0/24网段的地址,并各自发布了一条去往此网段的路由.虽然本端PE通过不同的VPN实例可以区分地址空间重叠 ...
商业虚拟专用网络技术十四 BGP/MPLS技术扩展
一.BGP/MPLS技术扩展 1.BGP/MPLS VPN企业内网使用 1.1.BGP/MPLS VPN组网的不足 1.1.1.企业内网结构接入层:主要负责工作组的接入和访问控制,由于分散所以流量一 ...
商业虚拟专用网络技术十 MPLS技术
一.MPLS协议 1.MPLS简介在90年代传统路由器设备因其.转发性能低下,无法提供QOS保证.逐渐成为网络的瓶颈.为什么会出现这样的状况? 主要是因为路由器采用的转发效率不高,路由器使用的是IP ...
商业虚拟专用网络技术四数据传输安全技术
一.数据传输安全技术 1.数据安全基本概念数据是用于表示客观事物的未经加工的原始素材.在此篇中主要是指由电子设备产生的二机制文件,比如图片.音乐.视频.文档.程序及各种格式文件,存储于电子介质上的电 ...
MPLS 虚拟专用网络技术原理与配置
MPLS VPN原理与配置文章目录 MPLS VPN原理与配置 VPN技术的产生及分类 VPN模型 - Overlay VPN VPN模型 - Peer-to-Peer VPN MPLS VPN解决 ...
MPLS工作机制及MPLS 虚拟专用网络技术
一.MPLS概述 1.1 概述传统的IP网络中,路由基于IP头部中的目的地址进行寻址以及转发操作,所有的路由设备需要维护路由表用于指导数据的转发.路由设备执行查询时,依据最长前缀匹配原则进行操作.在 ...
linux 虚拟专用网络设置,centos安装配置pptp 虚拟专用网络服务器步骤分享
说明: 服务器操作系统:CentOS 5.X 64位服务器IP地址:192.168.21.128 实现目的:服务器安装配置pptp软件,对外提供虚拟专用网络拨号服务具体操作: 一.安装包下载 1. ...
【网络】虚拟专用网络工作在哪一层？
你是否想过:虚拟专用网络工作在第几层呢?三?五? 首先要说,这个答案不唯一.常见的虚拟专用网络技术有五种:PPTP协议.L2TP协议.IPsec协议.MPLS技术以及SSL虚拟专用网络技术. PPTP ...

商业虚拟专用网络技术六IPSec配置