手动方式配置IPsec隧道

 IPSec（IP Security）是IETF 制定的三层隧道加密协议，它为Internet 上传输的数

据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP

层通过加密与数据源认证等方式，提供了以下的安全服务：

数据机密性（Confidentiality）：IPSec 发送方在通过网络传输包前对包进行加

密。

数据完整性（Data Integrity）：IPSec 接收方对发送方发送来的包进行认证，

以确保数据在传输过程中没有被篡改。

数据来源认证（Data Authentication）：IPSec 在接收端可以认证发送IPSec

报文的发送端是否合法。

防重放（Anti-Replay）：IPSec 接收方可检测并拒绝接收过时或重复的报文。

可以通过 IKE（Internet Key Exchange，因特网密钥交换协议）为IPSec 提供自动

协商交换密钥、建立和维护安全联盟的服务，以简化IPSec 的使用和管理。IKE 协

商并不是必须的，IPSec 所使用的策略和算法等也可以手工协商。

 

关于IPsec的更加详细的介绍请参考附件。包括manual方式和ike方式，野蛮模式适应动态ip也有说明。

 

本文以下将介绍以manual手工方式配置IPsec。

 

 

IPsec 配置任务

配置任务	说明
配置访问控制列表	必选
配置安全提议	必选
配置安全策略	必选
在接口上应用安全策略组	必选
在加密卡接口上绑定安全策略组或者安全策略	可选
使能加密引擎	可选
使能主体软件备份	可选
配置会话空闲超时时间	可选
使能解封装后 IPSec 报文的 ACL 检查开关	可选
配置 IPSec 抗重放功能	可选
配置共享源接口安全策略组	可选

配置安全提议

配置安

全算法

采用的认证算法

配置安

全算法

用的认证算法

操作		命令	说明
进入系统视图		system-view	-
创建安全提议，并进入安全 提议视图		ipsec proposal proposal-name	必选 缺省情况下，没有任何安全 提议存在
配置安全提议采用的安全 协议		transform { ah | ah-esp | esp }	可选 缺省情况下，采用 ESP 协议
配置安 全算法	配置 ESP 协议 采用的加密算法	esp encryption-algorithm { 3des | aes [ key-length ] | des }	可选 缺省情况下， ESP 协议采用 DES 加密算法
	配置 ESP协议	esp authentication-algorithm { md5 | sha1 }	可选 缺省情况下， ESP 协议采用 MD5 认证算法
	配置 AH协议采	ah authentication-algorithm { md5 | sha1 }	可选 缺省情况下， AH 协议采用 MD5 认证算法
配置安全协议对 IP 报文的 封装形式		encapsulation-mode { transport | tunnel }	可选 缺省情况下，安全协议采用 隧道模式对 IP 报文进行封装 传输模式必须应用于数据流 的源地址和目的地址与安全 隧道两端地址相同的情况下

配置安全策略

配置隧道

的起点与

终点

配置 SA 使

用的密钥

（以字符串方式输入）

二者必选其一

对于 ESP 协议，配置认

证密钥时，系统会自动

地同时生成认证算法的

密钥和加密算法的密钥

配置 SA使

用的密钥

钥（以字符串方式输入）

配置 SA 使

用的密钥

钥（以 16进制方式输入）

二者必选其一

以字符串方式输入加密

密钥时，系统会自动地

同时生成认证算法的密

钥和加密算法的密钥

操作			命令	说明
进入系统视图			system-view	-
用手工方式创建一条安全策略，并进 入安全策略视图			ipsec policy policy-name seq-number manual	必选 缺省情况下，没有任何 安全策略存在
配置安全策略引用的访问控制列表			security acl acl-number	必选 缺省情况下，安全策略 没有指定访问控制列表
配置安全策略所引用的安全提议			proposal proposal-name	必选 缺省情况下，安全策略 没有引用任何安全提议
配置隧道 的起点与 终点	配置安全隧道的本端地址		tunnel local ip-address	必选 缺省情况下，没有配置 安全隧道的本端地址
	配置安全隧道的对端地址		tunnel remote ip-address	必选 缺省情况下，没有配置 安全隧道的对端地址
配置安全联盟的安全参数索引参数			sa spi { inbound | outbound } { ah | esp } spi-number	必选
配置 SA 使 用的密钥		配置协议的认证密钥 （以 16 进制方式输入）	sa authentication-hex { inbound | outbound } { ah | esp } hex-key	二者必选其一 对于 ESP 协议，配置认 证密钥时，系统会自动 地同时生成认证算法的 密钥和加密算法的密钥
		配置协议的认证密钥	sa string-key { inbound | outbound } { ah | esp } string-key
		配置 ESP协议的加密密	sa string-key { inbound | outbound } esp string-key	二者必选其一 以字符串方式输入加密 密钥时，系统会自动地 同时生成认证算法的密 钥和加密算法的密钥
		配置 ESP协议的加密密	sa encryption-hex { inbound | outbound } esp hex-key

应用priority

 

pc1 与pc2 ，pc1 与pc3 建立隧道连接。使用三层交换机模拟Internet 网链路。

SW 配置

[SW]vlan 5

[SW-vlan5]port e 0/5

[SW-vlan5]vlan 9

[SW-vlan9]port e 0/9

[SW-vlan9]vlan 4

[SW-vlan4]port e 0/4

[SW-vlan4]inter vlan 5

[SW-Vlan-interface5]ip ad 192.168.10.2 255.255.255.0

[SW-Vlan-interface5]inter vlan 9

[SW-Vlan-interface9]ip ad 192.168.20.2 255.255.255.0

[SW-Vlan-interface9]inter vlan 4

[SW-Vlan-interface4]ip ad 192.168.30.3 255.255.255.0

 

R5 配置

配置ip 地址与静态路由

[R5]inter eth 0

[R5-Ethernet0]ip ad 192.168.1.1 24

%01:03:09: Line protocol ip on the interface Ethernet0 is UP

 [R5-Ethernet0]inter e 1

[R5-Ethernet1]ip ad 192.168.10.1 24

 

R5]ip rou 0.0.0.0 0 192.168.10.2

配置acl

[R5]acl 3000

 [R5-acl-3000]rule per ip sou 192.168.1.0 0.0.0.255 des 192.168.2.0 0.0.0.255

  Rule has been added to normal packet-filtering rules

[R5-acl-3000]rule per ip sou 192.168.1.0 0.0.0.255 des 192.168.3.0 0.0.0.255

  Rule has been added to normal packet-filtering rules

[R5-acl-3000]rule deny ip sou any des any

  Rule has been added to normal packet-filtering rules

配置IPsec proposal

R5]ipsec proposal zhangchaojie

[R5-ipsec-proposal-zhangchaojie] encapsulation-mode tunnel

[R5-ipsec-proposal-zhangchaojie]tran esp-new

[R5-ipsec-proposal-zhangchaojie]es authentication-algorithm md5-hmac-96

[R5-ipsec-proposal-zhangchaojie]es encryption-algorithm des

 

配置IPsec policy

[R5]ipsec policy ?

  STRING<1-15>  ipsec policy name.

[R5]ipsec policy zhangchaojie ?

  INTEGER<0-10000>     ipsec policy sequence number.

[R5]ipsec policy zhangchaojie 1 ?

  <cr>      if this ipsec policy has been created

  isakmp    indicaties that IKE will be used to establish the IPSec SA

  manual    indicaties that IKE will NOT be used to establish the IPSec SA

 [R5]ipsec policy zhangchaojie 1 ma

 

[R5-ipsec-policy-zhangchaojie-1]proposal zhangchaojie

 

[R5-ipsec-policy-zhangchaojie-1]security acl 3000

[R5-ipsec-policy-zhangchaojie-1]sa inbound esp spi 345

[R5-ipsec-policy-zhangchaojie-1]sa outbound esp spi 678

[R5-ipsec-policy-zhangchaojie-1]sa inbound esp string zhangchaojie

[R5-ipsec-policy-zhangchaojie-1]sa outbound esp string hanyu

 

[R5-ipsec-policy-zhangchaojie-1]tunnel local 192.168.10.1

[R5-ipsec-policy-zhangchaojie-1]tunnel remote 192.168.20.1

 

 

 

 

[R5]ipsec policy zhangchaojie 2 ma

[R5-ipsec-policy-zhangchaojie-2]proposal zhangchaojie

[R5-ipsec-policy-zhangchaojie-2]secu acl 3000

[R5-ipsec-policy-zhangchaojie-2]sa inbound esp spi 456

[R5-ipsec-policy-zhangchaojie-2]sa outbound esp spi 789

[R5-ipsec-policy-zhangchaojie-2]sa inbound esp string zhangchaojie

[R5-ipsec-policy-zhangchaojie-2]sa outbound esp string hanyu

[R5-ipsec-policy-zhangchaojie-2]tunnel local 192.168.10.1

[R5-ipsec-policy-zhangchaojie-2]tunnel remote 192.168.30.1

应用IPsec policy

[R5-ipsec-policy-zhangchaojie-2]quit

[R5]inter  e 1

[R5-Ethernet1]ipsec ?

    policy    Apply ipsec policy to interface

 

[R5-Ethernet1]ipsec policy ?

  STRING<1-15>  ipsec policy name.

[R5-Ethernet1]ipsec policy zhangchaojie

 

 

 

 

 

R9 配置

配置ip 地址与静态路由

[R9]inter e 1

[R9-Ethernet1]ip ad 192.168.20.1 24

[R9-Ethernet1]inter e 0

[R9-Ethernet0]ip ad 192.168.2.1 24

 

[R9]ip  route 0.0.0.0 0 192.168.20.2

配置acl

[R9]acl 3000

[R9-acl-3000]rule per ip sou 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255

 [R9-acl-3000]rule deny ip sou any des any

 

配置IPsec proposal

[R9-acl-3000]ipsec pro hanyu

[R9-ipsec-proposal-hanyu]en tun

[R9-ipsec-proposal-hanyu]tran es

[R9-ipsec-proposal-hanyu]es au md5

[R9-ipsec-proposal-hanyu]es en des

 

配置IPsec policy

[R9]ipsec policy hanyu 1 ma

[R9-ipsec-policy-hanyu-1] pro hanyu

[R9-ipsec-policy-hanyu-1]sec acl 3000

[R9-ipsec-policy-hanyu-1]sa inbound esp spi 678

[R9-ipsec-policy-hanyu-1]sa out esp spi  345

[R9-ipsec-policy-hanyu-1]sa inbound esp string hanyu

[R9-ipsec-policy-hanyu-1]sa out esp string zhangchaojie

[R9-ipsec-policy-hanyu-1]tunn local 192.168.20.1

[R9-ipsec-policy-hanyu-1]tun re 192.168.10.1

应用ipsec policy

[R9]inter e 1

[R9-Ethernet1]ipsec policy hanyu

 

 

R4 配置

配置ip 地址与静态路由

[R4]inter e 1

[R4-Ethernet1]ip ad 192.168.30.1 24

[R4-Ethernet1]

%02:03:56: Line protocol ip on the interface Ethernet1 is UPinter e 0

[R4-Ethernet0]ip ad 192.168.3.1 24

[R4-Ethernet0]quit

[R4]ip rou 0.0.0.0 0 192.168.30.2

配置acl

[R4]acl 3000

[R4-acl-3000]rule per ip sou 192.168.30.0 0.0.0.255 des 192.168.1.0 0.0.0.255

  Rule has been added to normal packet-filtering rules

[R4-acl-3000]rule deny ip sou any des any

  Rule has been added to normal packet-filtering rules

配置IPsec proposal

[R4]ipsec pro hanyu

[R4-ipsec-proposal-hanyu]en tu

[R4-ipsec-proposal-hanyu]tran es

[R4-ipsec-proposal-hanyu]es au md

[R4-ipsec-proposal-hanyu]es en des

配置IPsec policy

[R4]ipsec policy hanyu 1 m

[R4-ipsec-policy-hanyu-1]pro hanyu

[R4-ipsec-policy-hanyu-1]sec acl 3000

[R4-ipsec-policy-hanyu-1]sa inbound esp spi 789

[R4-ipsec-policy-hanyu-1]sa outbound esp spi 456

[R4-ipsec-policy-hanyu-1]sa inbound esp string hanyu

[R4-ipsec-policy-hanyu-1]sa outbound esp string zhangchaojie

[R4-ipsec-policy-hanyu-1]tun local 192.168.30.1

[R4-ipsec-policy-hanyu-1]tun re 192.168.10.1

应用IPsec policy

[R4]inter e 1

[R4-Ethernet1]ipsec policy hanyu