IPsec 配置（华为）

 

配置手工方式的IPSec SA

应用环境

手工方式配置比较复杂，创建安全联盟所需的全部信息都必须手工配置，而且不支持IPSec的一些高级特性（例如定时更新密钥），但优点是可以不依赖IKE而单独实现IPSec功能。

当进行通信的对等体设备数量较少时，或在小型网络中，手工配置安全联盟是可行的。

 配置思路

采用如下思路来配置手工方式的SA：

・  配置ACL

・  配置IPSec提议

・  配置安全策略

・  配置接口并在接口下引用安全策略

・  配置静态路由

配置注意事项

对于手工方式的安全策略，建立SA必须要配置以下内容：

・  配置隧道的本端地址和对端地址，即IPSec对等体

・  配置本端的入方向SA的SPI必须和对端的出方向SA的SPI一样

配置实例

组网需求

在ME60A和ME60B之间建立一个安全隧道，对PC A代表的子网（10.1.1.x）与PC B代表的子网（10.1.2.x）之间的数据流进行安全保护。安全协议采用ESP协议，加密算法采用DES，认证算法采用SHA1-HMAC-96。

IPSec配置组网图

配置步骤

步骤 1     配置ME60A

# 定义被保护的数据流。

[ME60A]  acl number 3101

[ME60A-acl-adv-3101]  rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[ME60A-acl-adv-3101]  quit

# 配置到PC B的静态路由。

[ME60A]  ip route-static 10.1.2.0 255.255.255.0 202.38.162.1

# 配置IPSec提议。

[ME60A]  ipsec proposal tran1

[ME60A-ipsec-proposal-tran1]  encapsulation-mode tunnel

[ME60A-ipsec-proposal-tran1]  transform esp

[ME60A-ipsec-proposal-tran1]  esp encryption-algorithm des

[ME60A-ipsec-proposal-tran1]  esp authentication-algorithm sha1

[ME60A-ipsec-proposal-tran1]  quit

# 配置手工方式的安全策略。

[ME60A]  ipsec policy map1 10 manual

[ME60A-ipsec-policy-manual-map1-10]  security acl 3101

[ME60A-ipsec-policy-manual-map1-10]  proposal tran1

[ME60A-ipsec-policy-manual-map1-10]  tunnel remote 202.38.162.1

[ME60A-ipsec-policy-manual-map1-10]  tunnel local 202.38.163.1

[ME60A-ipsec-policy-manual-map1-10]  sa spi outbound esp 12345

[ME60A-ipsec-policy-manual-map1-10]  sa spi inbound esp 54321

[ME60A-ipsec-policy-manual-map1-10]  sa string-key outbound esp abcdefg

[ME60A-ipsec-policy-manual-map1-10]  sa string-key inbound esp gfedcba

[ME60A-ipsec-policy-manual-map1-10]  quit

# 配置接口并应用安全策略组。

[ME60A]  interface GigabitEthernet 2/0/0

[ME60A-GigabitEthernet2/0/0]  ip address 10.1.1.1 255.255.255.0

[ME60A-GigabitEthernet2/0/0]  quit

[ME60A]  interface Pos1/0/1

[ME60A-Pos1/0/1]  ip address 202.38.163.1 255.255.255.0

[ME60A-Pos1/0/1]  ipsec policy map1

步骤 2     配置ME60B

# 定义被保护的数据流。

[ME60B]  acl number 3101

[ME60B-acl-adv-3101]  rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[ME60B-acl-adv-3101]  quit

# 配置到PC A的静态路由。

[ME60B]  ip route-static 10.1.1.0 255.255.255.0 202.38.163.1

# 配置IPSec提议。

[ME60B]  ipsec proposal tran1

[ME60B-ipsec-proposal-tran1]  encapsulation-mode tunnel

[ME60B-ipsec-proposal-tran1]  transform esp

[ME60B-ipsec-proposal-tran1]  esp encryption-algorithm des

[ME60B-ipsec-proposal-tran1]  esp authentication-algorithm sha1

[ME60B-ipsec-proposal-tran1]  quit

# 配置手工方式的安全策略。

[ME60B]  ipsec policy use1 10 manual

[ME60B-ipsec-policy-manual-use1-10]  security acl 3101

[ME60B-ipsec-policy-manual-use1-10]  proposal tran1

[ME60B-ipsec-policy-manual-use1-10]  tunnel remote 202.38.163.1

[ME60B-ipsec-policy-manual-use1-10]  tunnel local 202.38.162.1

[ME60B-ipsec-policy-manual-use1-10]  sa spi outbound esp 54321

[ME60B-ipsec-policy-manual-use1-10]  sa spi inbound esp 12345

[ME60B-ipsec-policy-manual-use1-10]  sa string-key outbound esp gfedcba

[ME60B-ipsec-policy-manual-use1-10]  sa string-key inbound esp abcdefg

[ME60B-ipsec-policy-manual-use1-10]  quit

# 配置接口并应用安全策略组。

[ME60B]  interface GigabitEthernet 1/0/0

[ME60B-GigabitEthernet1/0/0]  ip address 10.1.2.1 255.255.255.0

[ME60B-GigabitEthernet1/0/0]  quit

[ME60B]  interface Pos2/0/1

[ME60B-Pos2/0/1]  ip address 202.38.162.1 255.255.255.0

[ME60B-Pos2/0/1]  ipsec policy use1

以上配置完成后，Router A和Router B之间的IPSec隧道建立成功，子网10.1.1.x与子网10.1.2.x之间的数据流将被加密传输。

 

 

 

配置IKE协商方式的IPSec SA： http://down.51cto.com/data/89538