IPsec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE协议动态协商,IKE协议建立在internet安全联盟和密钥管理协议ISAKMP框架之上,采用DH算法在不安全的网络上安全的分发密钥,验证身份,以保证数据传输的安全性。IKE协议可提升密钥的安全性,并降低 IPsec管理复杂度。
1.IPsec两个安全协议
2.密钥管理协议IKE
IKE SA:主模式和野蛮模式:安全性低已被模板模式取代。
IPSEC SA:快速模式
IPsec VPN配置步骤:
1.定义要保护的数据流
acl number 3000
rule permit ip source 50.50.50.0 0.0.0.255 destination 60.60.60.0 0.0.0.255
RB的配置与RA类似,省略。
2.配置Ipsec安全协议(封装模式,安全协议,加密算法和验证算法)
iPsec proposal tran1
进入ipsec安全提议视图
Encapsulation-mode tunnel
Transform esp
esp encyption-algorithm AES-256
esp authentication-algorithm sha2-256
quit
RB与RA配置相同
3.配置IKE对等体
ike peer peer1
pro-shared-key simple Huawei
remote address 20.20.20.1
quit
RB配置类似,指定对端Ip。
还可以配置IKE提议:
ike proposal 数字 越小级别越高
encryption-algorithm 算法des……默认AES-256
authentication-method pre-share /rsa-signature
encryption-algorithm md5……默认sha2-256验证算法
dh group……1
默认group1
sa duration seconds
4.配置IKE安全策略
iosec policy csaimap 1 isakmp
proposal tran 1
security acl 3000
ike-peer peer1
quit
5.接口应用安全策略
interface0/0
ipsec policy csaimap