[IT认证]路由器的安全管理.ppt

6.4.3 IPSec在VRP上的配置与实现方法 IPSec实现方式是基于下列思路：通过IPSec，对等体之间（此处是指VRP所在路由器及其对端）能够对不同的数据流实施不同的安全保护（验证、加密或两者同时使用）。其中数据流的区分通过配置 ACL来进行；安全保护所用到的安全协议、验证算法和加密算法、操作模式等通过配置安全提议来进行；数据流和安全提议的关联（即定义对何种数据流实施何种保护）、SA的协商方式、对等体IP地址的设置（即保护路径的起/终点）、所需要的密钥和 SA的生存周期等通过配置安全策略来进行；最后在路由器接口上实施安全策略即完成了IPSec的配置。主要步骤如下： （1）定义被保护的数据流 数据流是一组流量（traffic）的集合，由源地址 /掩码、目的地址 /掩码、IP报文承载的协议号、源端口号、目的端口号等来规定。一个数据流用一个 ACL来定义，所有匹配一个访问控制列表规则的流量，在逻辑上作为一个数据流。一个数据流可以小到是两台主机之间单一的 TCP连接；也可以大到是两个子网之间所有的流量。IPSec能够对不同的数据流施加不同的安全保护，因此 IPSec配置的第一步就是定义数据流。 6.4.4 IPSec显示与调试 IPSec提供以下命令显示安全联盟、安全联盟生存周期、安全提议、安全策略 的信息以及 IPSec处理的报文的统计信息。 display命令可在所有视图下进行操作， debugging命令只能在用户视图下操作。 显示安全联盟的相关信息 display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] 显示 IPSec处理报文的统计信息 display ipsec statistics 显示安全提议的信息 display ipsec proposal [ proposal-name ] 显示安全策略的信息 display ipsec policy [ brief | name policy-name [ seq-number ] ] 显示安全策略模板的信息 display ipsec policy-template [ brief | name policy-name [ seq-number ] ] 打开 IPSec的调试功能 debugging ipsec { sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc } 禁止 IPSec的调试功能 undo debugging ipsec { sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc } 清除 IPSec的报文统计信息，此配置任务清除 IPSec的报文统计信息，所有的统计信息都被设置成零。在用户视图下进行下列操作： 清除 IPSec的报文统计信息 reset ipsec statistics 删除安全联盟，此配置任务删除已经建立的安全联盟（无论是手工建立的还是通过 IKE协商建立的）。如果未指定参数，则删除所有的安全联盟。在用户视图下进行下列操作： 删除安全联盟 reset ipsec sa [ remote ip-address | policy policy-name [ seq-number ] | parameters dest-address protocol spi ] 对于通过 IKE协商建立的安全联盟，被删除后如果有报文重新触发 IKE协商， IKE将重新协商建立安全联盟。对于手工建立的安全联盟，被删除后系统会根据手工设置的参数立即创建新的安全联盟。如果指定参数 parameters，由于安全联盟是成对出现的，删除了一个方向安全联盟，另一个方向安全联盟也随之被删除。 6.4.5 IPSec典型配置案例 1. 采用 isakmp方式建立安全联盟的配置组网需求 在 Router A和 Router B之间建立一个安全隧道，对 PC A代表的子网（10.1.1.x）与 PC B代表的子网（ 10.1.2.x）之间的数据流进行安全保护。安全协议采用 ESP协议，加密算法采用 DES，验证算法采用 SHA1-HMAC-96。 2. 组网图 3. 配置步骤 (1) 配置 Router A # 配置一个访问控制列表，定义由子网10.1.1.x去子网 10.1.2.x的数据流。 [Quidway