配置手工方式的IPSec SA <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

应用环境

手工方式配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且不支持IPSec的一些高级特性(例如定时更新密钥),但优点是可以不依赖IKE而单独实现IPSec功能。

当进行通信的对等体设备数量较少时,或在小型网络中,手工配置安全联盟是可行的。

 配置思路

采用如下思路来配置手工方式的SA

·  配置ACL

·  配置IPSec提议

·  配置安全策略

·  配置接口并在接口下引用安全策略

·  配置静态路由

配置注意事项

对于手工方式的安全策略,建立SA必须要配置以下内容:

·  配置隧道的本端地址和对端地址,即IPSec对等体

·  配置本端的入方向SASPI必须和对端的出方向SASPI一样

配置实例

组网需求

ME60AME60B之间建立一个安全隧道,对PC A代表的子网(10.1.1.x)与PC B代表的子网(10.1.2.x)之间的数据流进行安全保护。安全协议采用ESP协议,加密算法采用DES,认证算法采用SHA1-HMAC-96

IPSec配置组网图

配置步骤

步骤 1     配置ME60A

定义被保护的数据流。

[ME60A]  acl number 3101

[ME60A-acl-adv-3101]  rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[ME60A-acl-adv-3101]  quit

配置到PC B的静态路由。

[ME60A]  ip route-static 10.1.2.0 255.255.255.0 202.38.162.1

配置IPSec提议。

[ME60A]  ipsec proposal tran1

[ME60A-ipsec-proposal-tran1]  encapsulation-mode tunnel

[ME60A-ipsec-proposal-tran1]  transform esp

[ME60A-ipsec-proposal-tran1]  esp encryption-algorithm des

[ME60A-ipsec-proposal-tran1]  esp authentication-algorithm sha1

[ME60A-ipsec-proposal-tran1]  quit

配置手工方式的安全策略。

[ME60A]  ipsec policy map1 10 manual

[ME60A-ipsec-policy-manual-map1-10]  security acl 3101

[ME60A-ipsec-policy-manual-map1-10]  proposal tran1

[ME60A-ipsec-policy-manual-map1-10]  tunnel remote 202.38.162.1

[ME60A-ipsec-policy-manual-map1-10]  tunnel local 202.38.163.1

[ME60A-ipsec-policy-manual-map1-10]  sa spi outbound esp 12345

[ME60A-ipsec-policy-manual-map1-10]  sa spi inbound esp 54321

[ME60A-ipsec-policy-manual-map1-10]  sa string-key outbound esp abcdefg

[ME60A-ipsec-policy-manual-map1-10]  sa string-key inbound esp gfedcba

[ME60A-ipsec-policy-manual-map1-10]  quit

配置接口并应用安全策略组。

[ME60A]  interface GigabitEthernet 2/0/0

[ME60A-GigabitEthernet2/0/0]  ip address 10.1.1.1 255.255.255.0

[ME60A-GigabitEthernet2/0/0]  quit

[ME60A]  interface Pos1/0/1

[ME60A-Pos1/0/1]  ip address 202.38.163.1 255.255.255.0

[ME60A-Pos1/0/1]  ipsec policy map1

步骤 2     配置ME60B

定义被保护的数据流。

[ME60B]  acl number 3101

[ME60B-acl-adv-3101]  rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[ME60B-acl-adv-3101]  quit

配置到PC A的静态路由。

[ME60B]  ip route-static 10.1.1.0 255.255.255.0 202.38.163.1

配置IPSec提议。

[ME60B]  ipsec proposal tran1

[ME60B-ipsec-proposal-tran1]  encapsulation-mode tunnel

[ME60B-ipsec-proposal-tran1]  transform esp

[ME60B-ipsec-proposal-tran1]  esp encryption-algorithm des

[ME60B-ipsec-proposal-tran1]  esp authentication-algorithm sha1

[ME60B-ipsec-proposal-tran1]  quit

配置手工方式的安全策略。

[ME60B]  ipsec policy use1 10 manual

[ME60B-ipsec-policy-manual-use1-10]  security acl 3101

[ME60B-ipsec-policy-manual-use1-10]  proposal tran1

[ME60B-ipsec-policy-manual-use1-10]  tunnel remote 202.38.163.1

[ME60B-ipsec-policy-manual-use1-10]  tunnel local 202.38.162.1

[ME60B-ipsec-policy-manual-use1-10]  sa spi outbound esp 54321

[ME60B-ipsec-policy-manual-use1-10]  sa spi inbound esp 12345

[ME60B-ipsec-policy-manual-use1-10]  sa string-key outbound esp gfedcba

[ME60B-ipsec-policy-manual-use1-10]  sa string-key inbound esp abcdefg

[ME60B-ipsec-policy-manual-use1-10]  quit

配置接口并应用安全策略组。

[ME60B]  interface GigabitEthernet 1/0/0

[ME60B-GigabitEthernet1/0/0]  ip address 10.1.2.1 255.255.255.0

[ME60B-GigabitEthernet1/0/0]  quit

[ME60B]  interface Pos2/0/1

[ME60B-Pos2/0/1]  ip address 202.38.162.1 255.255.255.0

[ME60B-Pos2/0/1]  ipsec policy use1

以上配置完成后,Router ARouter B之间的IPSec隧道建立成功,子网10.1.1.x与子网10.1.2.x之间的数据流将被加密传输。
 
 
 
配置IKE协商方式的IPSec SA: http://down.51cto.com/data/89538