IKE协商对象创建
ike proposal xx //创建ike协商
authentication-method xx //设置认证方式
authentication-algorithm xx //设置认证算法,主要使用MAC进行认证
encryption-algorithm xx //设置加密算法
dh xx //设置DH算法 推荐使用DH14
sa duration xx //设置IKE SA的生成周期
prf xxx //设置伪随机函数 sha2-512>sha2-384>sha2-256>aes-xcbc-128->md5
intergrity-algorithm xx //设置完整性算法 sha2-512 > sha2-384 > sha-256 > aes-xcbc-96 > hmac-sha1-96 > hmac-md5-96
IKE对等体创建
无论是版本1还是版本2都都指定对端和本段ID,并且要相互对应
ike peer xx v2|v1 //创建ike对等体
ike-proposal xx //指定该对等体上使用的ike协商对象
pre-shared-key cipher xxx //设置预共享密钥
local-address xxx //当IPsec的出接口地址不固定需要强制指定
remote-address xxx //协商方需要显式地声明对端地IP地址
local-id-type xx //设置本端的ID类型,主要使用name或者fqdn,都是代表字符串的形式
remote-id-type xx //设置对端的ID类型,主要使用name或者fqdn,都是代表字符串的形式
local-id xx //设置本端ID
remote-id xx //设置对端ID
re-authentication interval xx //设置IPsec重协商的时延,表示周期进行IKEv2的重验证
(注意IKEv1的主模式不支持remote id或者local id)
user-table xx //在IKE对等体中引用user-table,主要引用在策略模板上,然后针对不同的支部可以使用不同的预共享密钥
nat traversal //设置NAT穿越
dpd msg [ seq-hash-notify | seq-notify-hash ] //设置载荷的内容的顺序,双方的顺序要一致
dpd idle-time xx //设置多长时间没有数据传输发送dpd检测
dpd retransmit-interval xx //设置重传间隔
dpd retry-limit xx //设置超时几次的最大限度
dpd type [ on-demand | periodic ] //设置dpd的发送类型,是按需还是周期
remote-name xxx //这种配置对端标识的是在低版本上才会使用的,只有在配置了remote-id-type之后才生效,默认的remote-id-type是IP,此时就不用显式地指定对端地IP,因为remote-address该命令已经指出了。
系统试图下:ike local-name xx //标识本端的标识,该命令只要在ike peer试图下配置了local-id-type name 之后才会生效,默认情况下local-id-type是IP,也就是IPsec出接口的IP地址
用户表的创建
ike user-table xx //其中xx代表了该用户表中的用户数量
user xxx //在用户表中创建用户
pre-shared-key xxx //创建该针对该用户使用的预共享密钥
id-type xxx xxx // 表示该用户的标识 类型以及标识内容
IPsec协商对象创建
ipsec proposal xx
transform [ ah | esp ] //设置数据的封装模式是传输模式还是隧道模式
esp [ authentication-algorithm | encryption-algorithm ] //设置ESP安全协议下的认证算法和加密算法
ah authentication-algorithm //设置AH安全协议下的认证算法
encapsulation-mode [ transport | tunnel ] //设置数据的封装模式
IPsec策略创建
ipsec policy name seq-number isakmp
security acl xxx //设置感兴趣流
proposal xx //设置ipsec
ike-peer xx //调用ike对端
sa traigger-mode [ auto | traffic-based ] //表示IPsec SA协商出发的方式
pfs dh-groupx //表示设置PFS特性中的DH算法
route inject [ static | dynamic ] preference xx //设置感兴趣流相关路由信息的注入
sa duration [ time-based xx | traffic-based xx ] //针对该IPsec策略进行sa生成周期的设置
anti-replay window xx //设置抗重放的窗口大小,默认1024
IPsec策略模板创建
ipsec policy-template name seq-number //创建ipsec策略模板
security-acl xx //设置acl的感兴趣流
proposal xx //调用ipsec的协商对象
ike-peer xx //调用ike对端对象
pfs dh-groupx //表示设置PFS特性中的DH算法
route inject [ static | dynamic ] preference xx //设置感兴趣流相关路由信息的注入
sa duration [ time-based xx | traffic-based xx ] //针对该IPsec策略进行sa生成周期的设置
anti-replay window xx //设置抗重放的窗口大小,默认1024
系统视图下的一些零碎配置
ipsec policy name seq-number isakmp template xx //创建一个安全策略组并引用安全策略模板
ipsec fragmentation before-encryption //设置加密后分片,默认是加密前分片
ipsec sa global-duration [ time-based xx | traffic-based xx ] //设置全局的sa生成周期
ipsec anti-replay enable //开启抗重放功能
ipsec anti-replay window xx //设置抗重放的窗口大小,默认1024
ipsec policy xx shared local-interface loopback xxx //表示该lookback接口可以被任意公网
接口进入的协商流量所响应
ipsec remote traffic-identical accept //表示即便有新的与当前SA保护内容相同的
协商请求也接受
ipsec nat-keep-alive-timer xxx //设置nat保活的间隔
ike local-name