发布时间 : 星期四 文章华为防火墙配IPSEC更新完毕开始阅读
步骤 步骤
3 执行命令transform { ah | ah-esp | esp },选择安全协议。 4 根据transform命令配置的安全协议,配置验证算法和加密算法。
? 如果? 如果
transform命令配置为ah或ah-esp,则配置AH协议采用的验证算法,执行命令ah authentication-algorithm { md5 | sha1 }。 transform命令配置为esp或ah-esp,则配置ESP协议采用的验证和加密算法。
? 执行命令? 执行命令
esp authentication-algorithm { md5 | sha1 },配置ESP
验证算法。
esp encryption-algorithm { 3des | des | aes [ 128 | 192 |
256 ] },配置ESP加密算法。
步骤 5 执行命令encapsulation-mode tunnel,指定报文封装形式。 ----结束
8.2.4 配置IPSec安全策略
隧道两端的设备,SA参数SPI、string-key、authentication-hex和encryption-hex需要镜像配置,否则不能正确建立隧道。
IPSec安全策略规定了对什么样的数据流采用什么样的安全提议。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令ipsec policy policy-name seq-number manual,创建安全策略。 一个安全策略组最多支持配置512条安全策略,所有安全策略的总数也不能超过512。
用户购买了支持多少条隧道数的License,就支持创建多少条隧道,也就是如果创建了超出License限制数目的安全策略是不起作用的。
步骤 步骤
3 执行命令proposal proposal-name,在安全策略中引用安全提议。 4 执行命令security acl acl-number,在安全策略中引用访问控制列表。 一条安全策略只能引用一条ACL。如果配置安全策略引用了多条ACL,最后配置的ACL生效。
步骤 5 执行命令tunnel local ip-address,配置隧道的起点。 tunnel local命令中的IP地址只能是应用IPSec的接口地址。
步骤 6 执行命令tunnel remote ip-address,配置隧道的终点。
? 在配置
SA时,需要分别设置inbound和outbound两个方向的SA
的参数。
IPSec安全提议使用的协议的相应配置。如:配置IPSec安
全提议时使用transform ah选择了ah安全协议,则配置SA参数时只需配ah一套参数,不需配esp的参数。
命令需要与sa string-key或sa authentication-hex或sa encryption-hex共同使用,才能成功创建手工IPSec隧道。
sa string-key命令后,则无法再配置sa authentication-hex或
sa encryption-hex命令,后配置的会覆盖sa string-key命令的配置;相反,先配置sa authentication-hex或sa encryption-hex再配置sa string-key,前面两条命令的配置都会被sa string-key命令的配置覆盖。
和sa encryption-hex两条命令的配置相互没有
影响。
? 只需配置
? sa spi
? 先配置
? sa authentication-hex
步骤
7 执行命令sa spi inbound ah spi-number,配置采用AH协议的入方向SA的SPI。
8 执行命令sa spi outbound ah spi-number,配置采用AH协议的出方向SA的SPI。
9 执行命令sa spi inbound esp spi-number,配置采用ESP协议的入方向SA的SPI。
步骤
步骤
步骤
10 执行命令sa spi outbound esp spi-number,配置采用ESP协议的出方向SA的SPI。
? 如果分别以两种方式输入了密钥,则最后设定的密钥有效。 ? 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串
方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道。
步骤
11 执行命令sa string-key inbound ah string-key,配置采用AH协议的入方向SA的验证密钥(以字符串方式输入)。
12 执行命令sa string-key outbound ah string-key,配置采用AH协议的出方向SA的验证密钥(以字符串方式输入)。
13 执行命令sa string-key inbound esp string-key,配置采用ESP协议的入方向SA的验证密钥(以字符串方式输入)。
14 执行命令sa string-key outbound esp string-key,配置采用ESP协议的出方向SA的验证密钥(以字符串方式输入)。
15 执行命令sa authentication-hex inbound ah hex-key,配置采用AH协议的入方向SA的验证密钥(以16进制方式输入)。
步骤
步骤
步骤
步骤
步骤
16 执行命令sa authentication-hex outbound ah hex-key,配置采用AH协议的出方向SA的验证密钥(以16进制方式输入)。
17 执行命令sa authentication-hex inbound esp hex-key,配置采用ESP协议的入方向SA的验证密钥(以16进制方式输入)。
18 执行命令sa authentication-hex outbound esp hex-key,配置采用ESP协议的出方向SA的验证密钥(以16进制方式输入)。
19 执行命令sa encryption-hex inbound esp hex-key,配置采用ESP协议的入方向SA的加密密钥(以16进制方式输入)。
20 执行命令sa encryption-hex outbound esp hex-key,配置采用ESP协议的出方向SA的加密密钥(以16进制方式输入)。 ----结束
步骤
步骤
步骤
步骤
8.2.5 引用IPSec安全策略
在指定接口上引用IPSec安全策略,从而对经过此接口且符合ACL的报文应用IPSec保护。
步骤 步骤 步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令interface interface-type interface-number,进入接口视图。 3 执行命令undo ip fast-forwarding qff,关闭接口的快速转发功能。 4 执行命令ipsec policy policy-name,在接口上应用安全策略。 ----结束
一个接口只能应用一个安全策略组,一个安全策略组可以应用到多个接口上。但Manual方式配置的安全策略只能应用到一个接口。如果所应用的安全策略是Manual方式建立SA,会立即生成SA。如果所应用的安全策略是IKE方式建立SA,需要经过IKE协商才会生成SA。
Eudemon实现的IPSec安全策略除可以应用到串口、以太网口等实际物理接口外,还能应用到Tunnel、Virtual Template、Dialer等虚拟接口。此时即可根据实际组网需求,在如L2TP等隧道上应用IPSec。
8.2.6 检查配置结果
可以在所有视图下执行以下命令检查配置结果。 操作 查看SA的相关信息 查看安全提议的信息 查看安全策略的信息
命令 display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] display ipsec proposal [ name proposal-name ] display ipsec policy [ brief | name policy-name [ seq-number ] ] 8.3 配置IKE方式协商的IPSec隧道
8.3.1 建立配置任务
应用环境
前置任务
数据准备
考虑到安全性,数据流往往需要认证。在一些安全性要求较高的场合,数据流可能既需要认证又需要加密,此时需要在IPSec服务发起端和终结端的Eudemon设备上配置IPSec功能。
对于中、大型的动态网络环境,推荐使用IKE方式协商IPSec隧道。 IKE协商支持预共享密钥(pre-share)、RSA签名(rsa-sig)和RSA加密NONCE(rsa-encr)3种身份验证方式。
其中,RSA签名方式需要预先申请证书,申请过程请参见“8.4 配置证书申请”。
在配置IPSec前,需要完成以下任务:
? 配置
Eudemon的工作模式
? 配置接口的
IP地址
? 配置接口加入安全区域
? 配置需要协商的两台Eudemon获取CA证书、本地证书和CRL(RSA
签名方式)
? 只有Eudemon工作于路由模式才可以配置IPSec。
? 使用证书的验证要求所有证书和
CRL都已经导入到内存。并且都使用同一
个CA中心。
? 需要协商的两台
Eudemon之间通信正常。
在配置IPSec前,需要准备以下数据。 序号 数据 1 高级ACL的相关参数 2 安全提议的名称 3 使用的安全协议 4 AH协议的验证算法 5 ESP协议的验证算法 6 ESP协议的加密算法 7 报文的封装形式