IPSec配置命令
2010-06-25 14:57:48| 分类:路由交换|字号订阅
IPSec配置命令
ipsec配置命令包括:
1 clear crypto sa
2 crypto ipsec transform-set
3 crypto map
4 crypto map {ipsec-manual|ipsec-isakmp}
5 cryto ipsec security-association lifetime
6 match address
7 mode
8 set peer
9 set security-association lifetime
10 set session-key ah
11 set session-key esp
12 set transform-set
13 show crypto ipsec sa
14 show crypto ipsec security-association lifetime
15 show crypto ipsec transform-set
16 show crypto map
17 debug crypto ipsec
1 clear crypto sa
命令:clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]]
功能:删除安全联盟。
参数:map指定加密映射集;[map-name] [[map-number]]为加密映射集的名称或号码;peer 指定对端的ip地址;[ip-address]为对端的ip地址。
命令模式:特权用户配置模式。
使用指南:如果未使用map、peer关键字,所有的ipsec安全联盟都将被删除。举例:删除由map-tunnel1创建的所有现存的安全联盟。
router#config
router(config)#clear crypto sa map map-tunnel1
2 crypto ipsec transform-set
命令:crypto ipsec transform-set [transform-set-name] [transform1] [[transform2] [[transform3]]]
no crypto ipsec transform-set [transform-set-name]
功能:定义变换集合,并进入到加密变换配置模式。该命令的no操作为清除变换集合。
参数:[transform-set-name]为变换表的名字,不能包括空格;[transform]为变换,定义在ipsec安全联盟协商期间,两端协商使用哪种特定安全协议和算法来保护特定的数据流。其中[transform]可从下表三组中进行选择,每组最多选择一个。缺省情况:系统缺省没有任何变换表。
命令模式:全局配置模式。
使用指南:在使用ike方式协商安全联盟时,可以定义多个变换集合,然后在一个加密映射表中设置这些变换集合中的一个或多个,协商时两端会查找双方一致的变换集合。而采用手工方式建立安全联盟时,两端之间不存在协商过程,所以双方必须指定相同的变换集合。如果对变换集合的定义进行改变,那么改变将只被应用于设置了这个变换集合的加密映射表中。改变将不被应用于现存的安全联盟,但它将被应用于随后建立新安全联盟的协商中。如果想让这些新的设置马上生效,可以通过使用clear crypto sa命令将安全联盟数据库部分或全部清除。举例:定义一个变换集合,名字为new,需要支持ah-md5、esp-3des、esp-sha 安全协议和算法的组合,其相应的变换表配置如下:
router#config
router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-shac
3 crypto map
命令:crypto map [map-name]
no crypto map
功能:在接口上应用加密映射表集合,no操作将删除接口应用的加密映射表集合。
参数:[map-name]为应用在接口上的加密映射表的名字,不能包括空格。
缺省情况:系统缺省没有在接口上应用加密映射表集合。
命令模式:接口配置模式
使用指南:对于单个接口只能应用一个加密映射表集合。如果想要将相同的策略应用到多个接口上,也可以让多个接口共享同一加密映射表集合。如果为一个给定的接口创建多个加密映射表,那么就要使用加密映射表的seq-num参数将这些加密映射排序,seq-num值越小,优先级越高。在配有这个加密映射表集合的接口上,首先用高优先级的映射对通信进行判断。
举例:在serial 2/0接口上应用名为map-tunnel1的加密映射表。
router#config
router(config)#interface serial 2/0
router(config-serial2/0)#crypto map map-tunnel1
4 crypto map {ipsec-manual|ipsec-isakmp}
命令:crypto map [map-name] [seq-num] {ipsec-manual|ipsec-isakmp}
no crypto map [map-name] [seq-num]
功能:创建加密映射表,执行此命令将进入加密映射表配置模式;此命令的no操作为删除此加密映射表。
参数:[map-name]为加密映射表名,不能包括空格;[seq-num]为相同名称的加密映射表的顺序号,seq-num值越小,优先级越高,其取值范围为0 ~ 65535之间的整数;ipsec-manual表示手工方式创建加密映射表;ipsec-isakmp表示ike方式创建加密映射表。
缺省情况:系统缺省没有任何加密映射表。
命令模式:全局配置模式。
使用指南:具有相同名字(但映射序列号不同)的加密映射表组成一个加密映射表集合,其中序号越小其优先级越高,然后将加密映射表集合应用到接口上。为了使ipsec两端之间的ipsec通信能够顺利进行,两端的加密映射表必须包含相兼容的配置语句。当两端尝试建立安全联盟时,双方都必须至少有一条加密映射表和对端的一条加密映射表相兼容。两条加密映射表相兼容必须至少满足以下条件:1) 加密映射表必须包含兼容的加密访问列表;2) 双方的加密映射表都必须确定对端地址;3) 加密映射表必须至少有一个相同的变换集合。
举例:
例1:手工建立安全联盟的加密映射表map- tunnel1,优先级为10。
router#config
router(config)#crypto map map-tunnel1 10 ipsec-manual
例2:ike方式建立安全联盟的加密映射表map- tunnel2,优先级为10。
router#config
router(config)#crypto map map-tunnel2 10 ipsec-isakmp
5 crypto ipsec security-association lifetime
命令:cryto ipsec security-association lifetime {seconds [seconds] | kilobytes [kilobytes]}
no cryto ipsec security-association lifetime {seconds | kilobytes}
功能:配置所有ike安全联盟的生存时间,此命令的no操作恢复缺省值。
参数:seconds指定ike安全联盟“计时”的生存周期;[seconds]为ike安全联盟的生存周期,单位为秒,取值范围为120~ 86400;kilobytes指定ike安全联盟“计流”的生存周期;[kilobytes]为ike安全联盟的生存周期,单位为千字节,取值范围为2560 ~ 536870912。
缺省情况:系统缺省的安全联盟的生存周期为3600s(1小时),即流量为4608000kilobytes(10mbytes/s,正好1小时)
命令模式:全局配置模式。
使用指南:安全联盟生存周期有两种类型:一种为“计时间”的生存周期,另一种为“计流量”的生存周期。无论哪一种类型的生存周期先到期,安全联盟都会失效。在安全联盟即将失效前,ike将为ipsec协商建立新的安全联盟。安全联盟的生存周期只对由ike建立的安全联盟有效,手工建立的安全联盟永久有效。举例:建立ike安全联盟的生存周期为300s。
router#config
router(config)# cryto ipsec security-association lifetime seconds 300
6 match address
命令:match address [access-list-number]
no match address [access-list-number]
功能:配置加密映射表引用的加密访问控制列表;此命令的no操作是取消加密映射表引用的加密访问控制列表的配置。
参数:[access-list-number]为加密访问控制列表的号,取值范围为100~199之
间的整数。
缺省情况:系统缺省没有配置此加密映射表引用的加密访问控制列表。
命令模式:加密映射表配置模式。
使用指南:这个加密访问控制列表决定哪些报文受到ipsec的保护,哪些报文不受到此加密映射表中定义的ipsec安全保护。
举例:将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护。其对加密映射表的配置如下:
router#config
router(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
router(config)#crypto map map-tunnel1 10 ipsec-manual
router(config-crypto-m)#match address 101
7 mode
命令:mode {transport|tunnel}
no mode
功能:改变变换集合的工作模式;该命令的no操作为恢复缺省值。
参数:transport表示ipsec的工作方式为传送模式;tunnel表示ipsec的工作方式为通道模式。
缺省情况:系统缺省的ipsec的工作方式为隧道模式。
命令模式:加密变换配置模式。
使用指南:传送模式设置只对那些源和目标地址都是ipsec两端地址的通信有用,而对于所有其他通信无效。其他通信只能在隧道模式下进行。
举例:定义一个变换集合,名字为new,需要支持ah-md5、esp-3des、esp-sha 安全协议和算法的组合,同时将其工作模式设置为tunnel方式,其相应配置如下:router#config
router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha
router(cfg-crypto-tran)#mode tunnel
8 set peer
命令:set peer [ip-address]
no set peer [ip-address]
功能:设置ipsec对端地址;此命令的no操作取消ipsec对端地址的设置。
参数:[ip-address]为ipsec对端的ip地址。
缺省情况:系统缺省没有设置此加密映射表的对端地址。
命令模式:加密映射表配置模式。
使用指南:ipsec安全隧道是一个点对点的概念,是建立在本端和对端网关之间的,所以配置ipsec的加密映射表时必须正确设置对端地址才能成功的建立起一条安全隧道。
举例:将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护,其对加密映射表的配置如下:
router#config
router(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 router(config)#crypto map map-tunnel1 10 ipsec-manual
router(config-crypto-m)#match address 101
router(config-crypto-m)#set peer 20.1.1.1
9 set security-association lifetime
命令:set security-association lifetime {seconds [seconds] | kilobytes [kilobytes]} no set security-association lifetime {seconds | kilobytes}
功能:配置ike安全联盟单独生存时间,此命令的no操作恢复缺省值。
参数:seconds指定ike安全联盟“计时”的生存周期;[seconds]为ike安全联盟的生存周期,单位为秒,取值范围为120 ~ 86400;kilobytes指定ike安全联盟“计流”的生存周期;[kilobytes]为ike安全联盟的生存周期,单位为千字节,取值范围为2560 kbytes~ 536870912kbytes。
缺省情况:系统缺省的安全联盟的生存时间为3600s(1小时),即流量为4608000kilobytes(10mbytes/s,正好1小时)。
命令模式:全局配置模式。
使用指南:安全联盟生存周期有两种类型:一种为“计时间”的生存周期,另一种为“计流量”的生存周期。无论哪一种类型的生存周期先到期,安全联盟都会失效。在安全联盟即将失效前,ike将为ipsec协商建立新的安全联盟。安全联盟的生存周期只对由ike建立的安全联盟有效,手工建立的安全联盟永久有效。举例:设置由加密映射表map-tunnel1创建的ike安全联盟的生存时间为300秒。
router#config
router(config)#crypto map map-tunnel1 10 ipsec-isakmp
router(config-crypto-m)#set security-assocoation lifetime seconds 300
10 set session-key ah
命令:set session-key {inbound | outbound} ah [spi] [hex-key-string]
no set session-key {inbound | outbound} ah
功能:设置出和入的报文的ah安全参数索引(spis)和密钥;此命令的no操作为取消为出和入的报文设置的ah安全参数索引(spis)和密钥。
参数:inbound指定入报文的密钥;outbound指定出报文的密钥;[spi]为安全参数索引值,用来标识一个安全联盟,其取值范围是256 ~ 4294967295(ffffffff);[hex-key-string]为密钥,按十六进制的格式输入。
缺省情况:系统缺省没有为出和入的报文设置ah安全参数索引(spis)和密钥。命令模式:加密映射表配置模式。
使用指南:手工方式创建的加密映射表中如果引用的变换集合包括ah协议,那么需要手工为入/出的通信设置ah安全联盟的spi和使用的验证密钥。可以为两个方向的和两个协议的安全联盟设置一样的spi,但如果安全联盟的目的地址和协议号一样,则必须使用一个不同的spi。
举例:将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护,使用变换集合new(需要支持ah-md5安全协议和算法),其相应的变换表配置如下:
router#config
router(config)#crypto ipsec transform-set new ah-md5
router(config)#crypto map map-tunnel1 10 ipsec-manual
router(config-crypto-m)#set transform-set new
router(config-crypto-m)#set session-key inbound ah 300 fedcbafedcbafedcbafedcbafedcbafe
router(config-crypto-m)#set session-key outbound ah 300 000111222333444555666777888999bb
11 set session-key esp
命令:set session-key {inbound | outbound} esp [spi] cipher [hex-key-string] [authenticator[hex-key-string]]no set session-key {inbound | outbound} esp
功能:为出和入报文设置esp安全参数索引和密钥;此命令的no操作为取消为出和入的报文设置的ah安全参数索引(spis)和密钥。
参数:inbound指定入报文的密钥;outbound指定出报文的密钥;cipher指定esp加密密钥;authenticator指定验证密钥;[spi]为安全参数索引值,用来标识一个安全联盟,其取值范围是256 ~ 4294967295(ffffffff);[hex-key-string]为密钥,按十六进制的格式输入。
缺省情况:系统缺省没有为出和入的报文设置esp安全参数索引(spis)和密钥。
命令模式:加密映射表配置模式。
使用指南:手工方式创建的加密映射表中如果引用的变换集合包括esp协议,那么需要手工为入/出的通信设置esp安全联盟的spi和使用的加密/验证密钥。如果变换集合包括了esp加密算法,必须给出加密密钥。如果变换集合包括了esp 验证算法,必须给出验证密钥。可以为两个方向的和两个协议的安全联盟设置一样的spi,但如果安全联盟的目的地址和协议号一样,则必须使用一个不同的spi。举例:将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护,使用变换集合new(需要支持ah-md5、esp-3des和esp-sha安全协议和算法)。
router#config
router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha
router(config)#crypto map map-tunnel1 10 ipsec-manual
router(config-crypto-m)#match address 101
router(config-crypto-m)#set transform-set new
router(config-crypto-m)#set session-key inbound ah 300 fedcbafedcbafedcbafedcbafedcbafe
router(config-crypto-m)#set session-key outbound ah 300 000111222333444555666777888999bb
router(config-crypto-m)#set session-key inbound esp 4294967295 cipher fedcbafedcbafedcbafedcbafedcbafedcbafedcbafedcba authenticator fedcbafedcbafedcbafedcbafedcbafedcbafedc
router(config-crypto-m)#set session-key outbound esp 4294967295 cipher 987654321098765432109876543210987654321098765432 authenticator 9999888877776666555544443333222211110000
12 set transform-set
命令:set transform-set [transform-set-name]
no set peer [transform-set-name]
功能:设置加密映射表引用的变换集合;此命令的no操作取消对加密映射表引用的变换集合的配置。
参数:[transform-set-name]为变换表的名字,不能包括空格。
缺省情况:系统缺省没有配置此加密映射表的变换表。
命令模式:加密映射表配置模式。
使用指南:对于ipsec-manual,只能指定一个变换集合;对于ipsec-isakmp,可以最多定义六个变换集合,第一个具有最高优先级。
举例:将10.1.1.0网段的到20.1.1.0网段访问的ip数据包进行ipsec安全保护,使用变换集合new(需要支持ah-md5、esp-3des、esp-sha安全协议和算法的组合)。
router#config
router(config)#crypto ipsec transform-set new ah-md5 esp-3des esp-sha
router(config)#crypto map map-tunnel1 10 ipsec-manual
router(config-crypto-m)#set transform-set new
13 show crypto ipsec sa
命令:show crypto ipsec sa [map [map-name] [[map-number]] ]
功能:显示安全联盟信息。
参数:map指定加密映射集;[map-name] [[map-number]]为加密映射集的名称或号码。
命令模式:特权用户配置模式
举例:查看安全联盟
router# show crypto ipsec sa map map-r1-tunnel2
local ident (addr/mask/prot/port): (30.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (140.1.1.0/255.255.255.0/0/0)
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#send errors 0, #recv errors 0
local crypto endpt.: 0.0.0.0, remote crypto endpt.: 120.1.1.2
inbound esp sas:
spi: 0x258(600)
transforms: esp-des esp-md5-hmac ,
in use settings ={tunnel, }
replay detection support: n
outbound esp sas:
spi: 0x258(600)
transforms: esp-des esp-md5-hmac ,
in use settings ={tunnel, }
replay detection support: n
inbound ah sas:
spi: 0x1f4(500)
transforms: ah-md5-hmac ,
in use settings ={tunnel, }
replay detection support: n
outbound ah sas:
spi: 0x1f4(500)
transforms: ah-md5-hmac ,
in use settings ={tunnel, }
replay detection support: n
14 show crypto ipsec security-association lifetime
命令:show crypto ipsec security-association lifetime
功能:显示安全联盟的生存周期。
命令模式:特权用户配置模式
举例:查看设置的安全联盟的生存周期。
router#show crypto ipsec security-association lifetime
security-association lifetime: 4608000 kilobytes/3600 seconds.
15 show crypto ipsec transform-set
命令:show crypto ipsec transform-set [tag [transform-set-name]]
功能:显示变换集合变换集合。
参数:tag指定变换集合;[transform-set-name]为变换集合的名字。命令模式:特权用户配置模式
举例:查看所有的变换集合变换集合。
router#show crypto ipsec transform-set
transform set trans-r1-transport2: { ah-sha-hmac esp-3des esp-md5-hmac }
will negotiate = { transport },
transform set trans-r1-tunnel2: { ah-md5-hmac esp-des esp-md5-hmac }
will negotiate = { tunnel }
router#show cry ips tr tag trans-r1-transport2
transform set trans-r1-transport2: { ah-sha-hmac esp-3des esp-md5-hmac }
will negotiate = { transport },
16 show crypto map
命令:show crypto map [tag [map-name] [[map-number]] | interface [interface]] 功能:显示加密映射表信息。
参数:tag指定变换集合;[transform-set-name]为变换集合的名字;interface指定接口;[interface]为接口名。
命令模式:特权用户配置模式
举例:
router#show crypto map interface serial 4/0
crypto map "map-r1-tunnel2" 10 ipsec-manual
peer = 120.1.1.2
extended ip access list 102
permit ip 30.1.1.0 0.0.0.255 140.1.1.0 0.0.0.255
transform sets = { trans-r1-tunnel2, }
inbound esp spi: 600,
cipher key: 0123456789012345,
auth_key: 999888777666555444333222111000aa,
inbound ah spi: 500,
key: 999888777666555444333222111000aa,
outbound esp spi: 600,
cipher key: abcdefabcdefabcd,
auth_key: abcdefabcdefabcdefabcdefabcdefab,
outbound ah spi: 500,
key: abcdefabcdefabcdefabcdefabcdefab,
interfaces using crypto map (null):serial4/0
17 debug crypto
命令: debug crypto ipsec 缺省情况:系统缺省设置是没有打开ipsec的调试开关。router#debug crypto ipsec
no debug crypto ipsec
功能:打开ipsec的调试开关;本命令的no操作为恢复缺省情况。
命令模式:特权用户配置模式。
举例:
04:05:27: ipsec(create_sa):
sa_dest= 120.1.1.2, sa_prot= 50 sa_spi= 258(600) sa_spi= 258(600) sa_spi=
1f4(500) sa_spi= 1f4(500)
04:05:27: ipsec(create_sa):
sa_dest= 120.1.1.1, sa_prot= 50
04:05:27: ipsec(create_sa):
sa_dest= 120.1.1.2, sa_prot= 51
04:05:27: ipsec(create_sa):
sa_dest= 120.1.1.1, sa_prot= 51
配置步骤: 一、.使得R1与R3之间(公网之间)能够通信 [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 [R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 二、IPSEC配置 R1配置: 1.配置数据流 [R1]acl num 3000 [R1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0 2.IKE策略配置 [R1]ike proposal 10 //创建IKE提议,并进入IKE视图 [R1-ike-proposal-10]encryption-algorithm 3des-cbc //IKE提议使用的加密算法 [R1-ike-proposal-10]authentication-method pre-share //IKE提议使用的密钥处理方式
[R1-ike-proposal-10]authentication-algorithm md5 //IKE提议使用的验证算法 [R1-ike-proposal-10]dh group2 //IKE提议使用的DH交换组 [R1-ike-proposal-10]sa duration 86400 //ISAKMP SA生存周期 [R1-ike-proposal-10] 3.配置IKE对等体及密钥 [R1]ike peer R3 //创建IKE对等体,并进入IKE对等体视图 [R1-ike-peer-r3]exchange-mode main //IKE对等体的协商模式 [R1-ike-peer-r3]pre-shared-key h3c //IKE对等体的密钥 [R1-ike-peer-r3]local-address 12.1.1.1 //本端安全网关地址 [R1-ike-peer-r3]remote-address 23.1.1.3 //对端安全网关地址 [R1-ike-peer-r3]remote-name R3 //对端安全网关名称 [R1]ike local-name R1 //本端安全网关名称 [R1] 4. IPSEC安全提议配置
933a LMI使用Q933A标准.LMI(Local management Interface)有3种:ANSI:T1.617;CCITTY:Q933A和CISCO特有的标准。 # fram-relay intf-typ ABC ABC为帧中继设备类型,它们分别是DTE设备,DCE交换机或NNI(网络接点接口)支持。# frame_relay interface_dlci 110 br 配置DLCI(数据链路连接标识符)。 # frame-relay map ip ABCD XXXX broadcast 建立帧中继映射。ABCD为对方ip地址,XXXX为本地DLCI号,broadcast允许广播向前转发或更新路由。 # no shutdown 激活本端口. # exit ---- 5 .帧中继子接口的配置: # conf t # int s0.1 point-to-point
对应S0的子接口1,点对点方式。 # ip addr ABCD XXXX ABCD为子口1的IP地址,XXXX为子网掩码。# frame-relay intreface-dlci 100 br 6.配置拨号备份 (1).配置备份主口 # conf t # int s0 S0为主口. # backup int asy 1 A1口为备份口. # backup delay 0 1 延时1秒. (2).配置虚拟接口 # conf t # ip addr ABCD XXXX
ABCD为虚拟接口IP地址,XXXX为子网掩码。 # encap ppp 封装ppp协议. # dialer in-band 激活随叫随拨功能. # dialer idle-timeout 7200 # dialer map ip ABCD modem-script call broadcast 6225481 br 映射对应的拨号口.ABCD为对方拨号口的ip地址,6225481为对应的电话号码。 # dialer_group 1 定义拨号组成员. (3).配置防火墙 # dialer_list 1 pro ip permit 允许ip协议通过。 (4).配置连接口令 # user name ABCD pass XXXX ABCD为对方主机名,XXXX为连接口令. (5).配置拨号字符串
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#c onfigure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)#
第3章IPSec 配置指导 3.1 组网及业务描述 图3-1 在RTA 和RTC 之间建立一个安全隧道,对RTA 上的LookBack 地址与RTC 上的LoopBack 地址之间的数据流进行安全保护。安全协议采用ESP 协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。 3.2 配置步骤 (1) 配置ACL 在系统视图下,创建高级ACL,指定加密数据的范围; (2) 配置静态路由 在系统视图下,为两边LoopBack 地址建立连通性配置静态路由。 (3) 配置安全提议 系统视图下创建安全提议,并命名安全提议。 (4) 选择隧道封装协议 安全提议视图下,选择隧道协议:传输模式或隧道模式。默认为隧道模式。(5) 选择安全协议 安全提议视图下,选择安全协议:ESP 或AH。默认为ESP。 (6) 选择算法 同样在安全提议视图下,选择加密算法及认证算法。 (7) 创建安全策略 系统视图下,创建安全策略并选择协商方法为Manual。 (8) 引用ACL 及安全提议 安全策略视图下引用ACL 及安全提议。 (9) 设置对端地址 安全策略视图下设置对端地址。对端地址为接收方的物理地址。 (10) 设置本端地址 安全策略视图下设置本端地址。本端地址为发送方的物理地址。 (11) 设置SPI
安全策略视图下设置SPI。 设置inbound 和outbound 两个方向安全联盟的参数。 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安 全联盟的SPI 必须和对端的出方向安全联盟的SPI 一样;本端的出方向安全 联盟的SPI 必须和对端的入方向安全联盟的SPI 一样。 (12) 配置安全联盟使用的密钥 请在安全策略视图下配置密钥。此配置任务仅用于manua l 方式的安全策略,用如下命令手工输入安全联盟的密钥。对于采用isakmp 协商方式的安全策略,无需手工配置密钥,IKE 将自动协商安全联盟的密钥。 (13) 在接口上应用安全策略组 DL010012 IP VPN 实验指导书ISSUE 1.2 第3 章IPSec 配置指导 华为技术有限公司版权所有, 未经许可不得扩散21 此配置任务将安全策略组应用到接口,从而实现对流经这个接口的不同的数 据流进行不同的安全保护。如果所应用的安全策略是手工方式建立安全联盟,会立即生成安全联盟。如果所应用的是自动协商方式的安全联盟,不会立即 建立安全联盟,只有当符合某IPSec 安全策略的数据流从该接口外出时,才 会触发IKE 去协商IPSec 安全联盟。 3.3 配置参考 3.3.1 端口配置 1. 配置RTA
3、常用配置命令 3.1 把端口加入到vlan Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#inter f 0/1 /*进入端口*/ Switch (config-if)#switchport access vlan X /*把端口加入到vlan X*/ Switch (config-if)#end Switch #wr /*保存*/ Building configuration... [OK] Switch # 3.2 添加新vlan(在核心交换机上写) Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#Vlan X /*添加新Vlan*/ Switch (config-vlan)#inter vlan X /*进入Vlan*/ Switch (config-if)#ip address x.x.x.x 255.255.255.0/*设置vlan ip地址*/ Switch (config-if)#no shut 3.3 配置trunk,透传vlan Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#inter fast 0/x /*进入级联端口*/ Switch (config-if)#switchport mode trunk /*修改端口模式*/ Switch (config-if)# switchport trunk allowed vlan all /*设置允许通过的vlan*/ 保存 删除命令:所有的命令前面加no。
IPSec VPN配置总结 近段时间,笔者完成了一些IPSec VPN的配置,有站点到站点固定公网IP 地址的IPSec VPN,有站点到站点使用固定公网IP地址的EZVPN,有网络中心点是固定公网IP地址,而分支机构是动态地址的DMVPN,有路由器和防火墙之间互联的IPSec VPN,也有不同厂商的设备之间互联的IPSec VPN。通过这些项目的锻炼,笔者感到对IPSec VPN的了解又增进了一步,以前一些模糊的地方,经过这次项目的实践之后也越来越清晰,以下就是笔者对IPSec VPN配置的总结和配置实例。 一、理解IPSec VPN VPN是利用公共网络建立一条专用的通道来实现私有网络的连接,IPSec VPN就是利用IPSec协议框架实现对VPN通道的加密保护。IPSec工作在网络层,它能在IP层上对数据提供加密、数据完整性、起源认证和反重放保护等功能。 加密的作用就是通过将数据包加密,保证数据的安全,即使数据包被人监听获取到,也无法阅读数据内容。 IPSec使用的数据加密算法是对称密钥加密系统。支持的加密算法主要有:DES、3DES、MD5和SHA加密算法,这种加密算法需要一个共享的密钥执行加密和解密,共享的密钥是通过通信两端交换公钥,然后用公钥和各自的私钥进行运算,就得到了共享的密钥,这样就需要一个公钥交换的算法。DH密钥协议就是一种公钥交换方法。DH密钥交换协议有组1到组7的几种不同的算法。DES 和3DES支持组1和2,AES支持组2和5,因此如果选用了不同的加密算法,就需要选择相应的DH密钥交换算法。 数据完整性的作用就是保证数据包在传输的过程当中没有被篡改。
AR路由器配置 IKE 方式的 IPSec VPN IPSec(Internet Protocol Security )是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP 层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet 上传输数据的安全性。在Internet 的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec 后,可对传输的数据进行保护处理,降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图 1 所示,RouterA 为企业分支网关,RouterB 为企业总部网关,分支与总部通过公网建立通信。分支子网为 10.1.1.0/24,总部子网为 10.1.2.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec 隧道来实施安全保护。 图 1 采用默认配置通过 IKE 协商方式建立 IPSec 隧道组网图 配置思路采用如下思路配置采用 IKE 协商方式建立 IPSec 隧道: 1.配置接口的 IP 地址和到对端的静态路由,保证两端路由可达。 2.配置ACL,以定义需要IPSec 保护的数据流。 3.配置IPSec 安全提议,定义IPSec 的保护方法。 4.配置IKE 对等体,定义对等体间IKE 协商时的属性。 5.配置安全策略,并引用ACL、IPSec 安全提议和IKE对等体,确定对何种数据流采取何种保护方 法。 6.在接口上应用安全策略组,使接口具有 IPSec 的保护功能。操作步骤 1.分别在 RouterA和RouterB 上配置接口的IP地址和到对端的静态路由 # 在 RouterA 上配置接口的 IP 地址。
思科路由器基本配置与常用配置命令(simple for CCNA) 启动接口,分配IP地址: router> router> enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z 配置RIP路由协议:30秒更新一次 router(config)# router rip router(config-if)# network Network-Number router(config-if)# ^z 配置IGRP路由协议:90秒更新一次 router(config)# router igrp AS-Number router(config-if)# network Network-Number router(config-if)# ^z配置Novell IPX路由协议:Novell RIP 60秒更新一次 router(config)# ipx routing [node address] router(config)# ipx maximum-paths Paths router(config)# interface Type Port router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] router(config-if)# ^z配置DDR: router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number] router(config)# interface bri 0 router(config-if)# dialer-group Group-Number router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number router(config-if)# ^z配置ISDN: router(config)# isdn swith-type Swith-Type router(config-if)# ^z 配置Frame Relay: router(config-if)# encapsulation frame-relay [cisco | ietf ] router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ] router(config-if)# bandwidth kilobits router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ] router(config-if)# ^z配置标准ACL: router(config)# access-list Access-List-Number [ permit | deny ] source [ source-mask ] router(config)# interface Type Port router(config-if)# ip access-group Access-List-Number [ in | out ] router(config-if)# ^z配置扩展ACL: router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]
目录 5 IPSec配置 5.1 IPSec简介 5.2 原理描述 5.2.1 IPSec基本概念 5.2.2 IKE协议 5.2.3 保护数据流的定义方式 5.3 应用场景 5.3.1 IPSec VPN基本组网应用 5.4 配置任务概览 5.5 缺省配置 5.6 配置IPSec 5.6.1 配置建立IPSec隧道 5.6.1.1 定义需要保护的数据流 5.6.1.2 配置IPSec安全提议 5.6.1.3 配置安全策略 5.6.1.4 (可选)配置IPSec隧道绑定VPN实例5.6.1.5 (可选)配置安全联盟生存周期 5.6.1.6 (可选)配置抗重放功能 5.6.1.7 接口上应用安全策略组 5.6.1.8 检查配置结果 5.6.2 配置IKE 5.6.2.1 (可选)配置IKE安全提议 5.6.2.2 配置IKE对等体 5.6.2.3 (可选)配置NAT穿越功能 5.6.2.4 (可选)配置NAT Keepalive定时器5.6.2.5 (可选)配置IPSec隧道绑定VPN实例5.6.2.6 (可选)配置heartbeat定时器 5.6.2.7 (可选)配置对等体存活检测 5.6.2.8 检查配置结果 5.7 维护IPSec 5.7.1 监控IPSec运行状况
5.7.2 清除IPSec信息 5.8 配置举例 5.8.1 配置采用手工方式建立IPSec隧道示例 5.8.2 配置采用IKE协商方式建立IPSec隧道示例 5.9 参考信息 5 IPSec配置 IPSec在IP层通过加密与数据来源认证等方式,来保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放。 ? 5.1 IPSec简介 介绍IPSec的定义、由来和作用。 ? 5.2 原理描述 介绍IPSec的实现原理。 ? 5.3 应用场景 介绍IPSec的应用场景。 ? 5.4 配置任务概览 IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。 ? 5.5 缺省配置 介绍缺省情况下,IPSec的相关配置信息。 ? 5.6 配置IPSec 介绍IPSec的配置过程。 ? 5.7 维护IPSec 显示IPSec的配置信息,清除IPSec的统计信息。 ? 5.8 配置举例 介绍使用IPSec提高数据传输安全性的各种示例。 ? 5.9 参考信息 介绍IPSec的参考标准和协议。
IPSec配置命令 2010-06-25 14:57:48| 分类:路由交换|字号订阅 IPSec配置命令 ipsec配置命令包括: 1 clear crypto sa 2 crypto ipsec transform-set 3 crypto map 4 crypto map {ipsec-manual|ipsec-isakmp} 5 cryto ipsec security-association lifetime 6 match address 7 mode 8 set peer 9 set security-association lifetime 10 set session-key ah 11 set session-key esp 12 set transform-set 13 show crypto ipsec sa 14 show crypto ipsec security-association lifetime 15 show crypto ipsec transform-set 16 show crypto map 17 debug crypto ipsec 1 clear crypto sa 命令:clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]] 功能:删除安全联盟。 参数:map指定加密映射集;[map-name] [[map-number]]为加密映射集的名称或号码;peer 指定对端的ip地址;[ip-address]为对端的ip地址。 命令模式:特权用户配置模式。 使用指南:如果未使用map、peer关键字,所有的ipsec安全联盟都将被删除。举例:删除由map-tunnel1创建的所有现存的安全联盟。
Cisco交换机常用配置命令 CISCO交换机基本配置 switch>ena 進入特权模式 switch#erasenvram 全部清除交换机的所有配置 switch#reload 重新启动交换机(初始提示符为switch> ) ------------------------------------------------------------------------------------ CISCO交换机基本配置:Console端口连接 用户模式hostname>; 特权模式hostname(config)# ; 全局配置模式hostname(config-if)# ; 交换机口令设置: switch>enable ;进入特权模式 switch#config;进入全局配置模式 switch(config)#hostname cisco ;设置交换机的主机名 switch(config)#enable secret csico1 ;设置特权加密口令 switch(config)#enable password csico8 ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;虚拟终端允许登录 switch(config-line)#password csico6 ;设置虚拟终端登录口令csico6 switch#write 保存配置設置 switch#copy running-config startup-config 保存配置設置,與write一樣switch#exit;返回命令 配置终端过一会时间就会由全局配置模式自动改为用户模式,将超时设置为永不超时 switch#conf t switch(config)#line con 0 switch(config-line)#exec-timeout 0 --------------------------------------------------------------------------------- 交换机显示命令: switch#write;保存配置信息 switch#showvtp;查看vtp配置信息 switch#show run ;查看当前配置信息 switch#showvlan;查看vlan配置信息 switch#showvlan name vlan2 switch#show interface ;查看端口信息
路由器配置IPSec.VPN https://www.doczj.com/doc/6313022063.html,/v_show/id_XMjA2MTg0MTQ0.html 设备上启用/禁用对IPSec的支持。默认是支持IPsec的 配置IP第一阶段交换: 数据包完整性:SHA or MD5 DH用Group1(加密级别768位),Group2(加密级别1024位)
若身份验证方法是Pre-share 标示对方的方法是ip 地址还是hostname. 若用hostname, 那下面需要配置IP和主机名的映射关系。 对端的地址到底是什么,密码到底是什么。 配置密码: 第一阶段,双方初始身份认证,建立最基本的安全通道,以便协商以后真正对数据加密。
例子: 第二组里面没定义的情况下使用默认值。Encryption: DES Hash: MD5 DH: group 1 两端配置的策略必须要保持一致。
第二阶段: 指定变换集名称,变换集具体内容(可以指定3个具体条目)。 变换集配置模式:mode,传输还是隧道模式(有没有指定隧道接口来决定是不是用隧道模式)。 变换集: AH:身份认证和完整性验证。 ESP:也能做完整性验证。Esp-null: 不加密 Example: Crypto ipsec transform-set myset1 ah-sha-hmac esp-3des esp-md5-hmac Crypto ipsec transform-set myset2 esp-3des Crypto ipsec transform-set myset3 ah-sha-hmac Crypto ipsec transform-set myset4 esp-md5-hmac 一个路由器上可以定义多个变换集。什么样的方式对传送的数据进行完整性校验和加密处理。
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]