M000 0014 IPSEC及IKE配置(中文版V1.pdfVIP

课程 XXXX IPSE 及 IKE 配置（M000 0014） Issue 1.0 1 1.1.1 IPSec配置前的准备 IPSec配置前的准备 确定需要保护的数据 确定使用安全保护的路径 确定使用那种安全保护 确定安全保护的强度 Internet 在配置 IPSec 前通信双方需要进行协商，作好如下的准备： 确定需要保护的数据： 由于运行 IPSec 将会占用很多系统资源，并不是所有经过网关转发的数据都要进 行认证和加密，我们只需对需要保护的数据进行认证和加密。我们可以通过扩展 的访问控制列表来定义需要认证和加密的数据。 确定使用安全保护的路径： 在确定对那些数据进行保护之后，需要确定使用安全保护的路径。而只对数据在 不安全的路径上进行传输是才进行安全保护。如，在企业网络内部我们认为网络 是安全的，而数据在 Internet 上传输责任为是不安全的，那么我们只需要在企业 网关和目的网关之间对数据进行加密。 确定对数据流采用那种方式的安全保护： 确定安全保护的路径后，我们需要对数据确定对数据采取那种方式的保护。根据 不同的需求，可以对数据只进行认证而不加密；也可对数据既进行认证又进行加 密。对于只加密而不认证的这种方式是不推荐使用的，因为在对于数据的来源都 不清楚的情况下对数据进行加密和解密是没有意义的。对数据只进行认证而不加 密通常使用 AH 协议。对数据既进行认证又进加密行通常使用 ESP 协议；这种 情况也可以使用 AH 协议进行认证，使用 ESP 协议进行加密，但是不推荐。因 为使用 ESP 协议可以完成同样的工作，而同时使用两个协议会极大的消耗系统 资源。 课程 XXXX IPSE 及 IKE 配置（M000 0014） Issue 1.0 2 确定安全保护的强度： 不同的算法的强度不同，强度越高的算法，受保护数据越难被破解，但消耗的计 算资源越多。一般来说密钥越长的算法强度越高，如 SHA1 算法的强度高于 MD5 算法。 课程 XXXX IPSE 及 IKE 配置（M000 0014） Issue 1.0 3 1.1.2 IPSec的配置任务 IPSec 的配置任务及命令(1) 创建加密访问控制列表 定义安全提议 [Quidway] ipsec proposal proposal-name [Quidway] ipsec card-proposal proposal-name 设置安全协议对IP报文的封装模式 [Quidway-crypto-transform-trans] encapsulation-mode { transport | tunnel } 选择安全协议 [Quidway-crypto-transform-trans] transform { ah-new | esp-new | ah-esp-new } 设置AH协议采用的认证算法 ah-new authentication-algorithm { md5-hmac-96 | sha1-hmac-96 } ESP协议采用的认证算法 esp-new authentication-algorithm { md5-hmac-96 | sha1-hmac-96 } ESP协议采用的加密算法 esp-new encryption-algorithm { 3des | des | blowfish | cast | skipjack | aes | qc5 } 创建加密访问控制列表 加密访问控制列表用来确定哪些 IP 包将被加密，哪些将不被加密保护。加密访 问列表使用扩展 IP 访问控制列表进行定义。在本地路由器上定义的加密访问控 制列表必须有一个由远端路由器定义的镜像加密访问控制列表，这样在本地加密 的通信才能在远端对端上被解密。ACL 的具体配置可以参考其他教材。 定义安全提议： 转换是特定安全性协议和算法的组合。在 IPSec 进行安全联盟协商期间，对端也 将使用相同的安全提议来保护特定的数据流。 可定义多个安全提议，然后在一个安全策略中引用这些安全提议中的一个或多 个。可定义多个安全提议，然后在一个安全策略中引用这些安全提议中的一个或 多个。但对于手工创建的安全联盟，由于两端不存在协商过程，所以双方必须指 定相同的安全提议。 设置安全协议对 IP 报文的封装模式： 安全隧道的两端所选择的 IP 报文封装模式必须一致。缺省情况下，采用隧道模 式，即采用 tunnel 封装。 选择安全协议： 定义了安全提议后，还需要选择安全提议所采用的安全协议。目前可选的安全协 议有 AH 与 ESP，也可指定同时使用 AH 与 ESP。安全隧道两端所选择的安全协 课程 XXXX IPSE 及