路由器的安全管理.pptVIP

6.4.3 IPSec在VRP上的配置与实现方法 IPSec实现方式是基于下列思路：通过IPSec，对等体之间（此处是指VRP所在路由器及其对端）能够对不同的数据流实施不同的安全保护（验证、加密或两者同时使用）。其中数据流的区分通过配置 ACL来进行；安全保护所用到的安全协议、验证算法和加密算法、操作模式等通过配置安全提议来进行；数据流和安全提议的关联（即定义对何种数据流实施何种保护）、SA的协商方式、对等体IP地址的设置（即保护路径的起/终点）、所需要的密钥和 SA的生存周期等通过配置安全策略来进行；最后在路由器接口上实施安全策略即完成了IPSec的配置。主要步骤如下： （1）定义被保护的数据流 数据流是一组流量（traffic）的集合，由源地址 /掩码、目的地址 /掩码、IP报文承载的协议号、源端口号、目的端口号等来规定。一个数据流用一个 ACL来定义，所有匹配一个访问控制列表规则的流量，在逻辑上作为一个数据流。一个数据流可以小到是两台主机之间单一的 TCP连接；也可以大到是两个子网之间所有的流量。IPSec能够对不同的数据流施加不同的安全保护，因此 IPSec配置的第一步就是定义数据流。 6.4.4 IPSec显示与调试 IPSec提供以下命令显示安全联盟、安全联盟生存周期、安全提议、安全策略 的信息以及 IPSec处理的报文的统计信息。 display命令可在所有