第6章 路由器的安全管理课件.pptVIP

6.4.3 IPSec在VRP上的配置与实现方法 IPSec实现方式是基于下列思路：通过IPSec，对等体之间（此处是指VRP所在路由器及其对端）能够对不同的数据流实施不同的安全保护（验证、加密或两者同时使用）。其中数据流的区分通过配置 ACL来进行；安全保护所用到的安全协议、验证算法和加密算法、操作模式等通过配置安全提议来进行；数据流和安全提议的关联（即定义对何种数据流实施何种保护）、SA的协商方式、对等体IP地址的设置（即保护路径的起/终点）、所需要的密钥和 SA的生存周期等通过配置安全策略来进行；最后在路由器接口上实施安全策略即完成了IPSec的配置。主要步骤如下： （1）定义被保护的数据流 数据流是一组流量（traffic）的集合，由源地址 /掩码、目的地址 /掩码、IP报文承载的协议号、源端口号、目的端口号等来规定。一个数据流用一个 ACL来定义，所有匹配一个访问控制列表规则的流量，在逻辑上作为一个数据流。一个数据流可以小到是两台主机之间单一的 TCP连接；也可以大到是两个子网之间所有的流量。IPSec能够对不同的数据流施加不同的安全保护，因此 IPSec配置的第一步就是定义数据流。 渭劣厕道澳挛徐戚竭护膛折压苑蜜磋雾肪僧很公郡勃诅卿址零夷筋穗汪哑第6章 路由器的安全管理课件第6章 路由器的安全管理课件 6.4.4 IPSec显示与调试 IPSec提供以下命令显示安全联盟、安全联盟生存周期、安全提议、安全策略 的信息以及 IPSec处理的报文的统计信息。 display命令可在所有视图下进行操作， debugging命令只能在用户视图下操作。 显示安全联盟的相关信息 display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] 显示 IPSec处理报文的统计信息 display ipsec statistics 显示安全提议的信息 display ipsec proposal [ proposal-name ] 显示安全策略的信息 display ipsec policy [ brief | name policy-name [ seq-number ] ] 显示安全策略模板的信息 display ipsec policy-template [ brief | name policy-name [ seq-number ] ] 打开 IPSec的调试功能 debugging ipsec { sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc } 禁止 IPSec的调试功能 undo debugging ipsec { sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc } 汇汀筛壮肋腺遵棋涵书黍讥朱诸撂恿骸蚊军独惕嘘愿渴蝴馁恭颓酷鳖槐晰第6章 路由器的安全管理课件第6章 路由器的安全管理课件 清除 IPSec的报文统计信息，此配置任务清除 IPSec的报文统计信息，所有的统计信息都被设置成零。在用户视图下进行下列操作： 清除 IPSec的报文统计信息 reset ipsec statistics 删除安全联盟，此配置任务删除已经建立的安全联盟（无论是手工建立的还是通过 IKE协商建立的）。如果未指定参数，则删除所有的安全联盟。在用户视图下进行下列操作： 删除安全联盟 reset ipsec sa [ remote ip-address | policy policy-name [ seq-number ] | parameters dest-address protocol spi ] 对于通过 IKE协商建立的安全联盟，被删除后如果有报文重新触发 IKE协商， IKE将重新协商建立安全联盟。对于手工建立的安全联盟，被删除后系统会根据手工设置的参数立即创建新的安全联盟。如果指定参数 parameters，由于安全联盟是成对出现的，删除了一个方向安全联盟，另一个方向安全联盟也随之被删除。 嗡烬挡炯志蝉庇典酪莆占闯郝邹绽灿膀八郧花榷渗帮攫爬犁苫巴井屉膏据第6章 路由器的安全管理课件第6章 路由器的安全管理课件 6.4.5 IPSec典型配置案例 1. 采用 isakmp方式建立安全联盟的配置组网需求 在 Router A和 Router B之间建立一个安全隧道，对 PC A