论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2007-06-05 17:45 |只看该作者 |倒序浏览

一、IPSEC是什么：\r\n\r\n\r\n\r\nIPSec（IP Security）协议族是IETF 制定的一系列协议，它为IP 数据报提供了高质\r\n\r\n\r\n\r\n量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP 层通过加密与数\r\n\r\n\r\n\r\n据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重\r\n\r\n\r\n\r\n放。\r\n\r\n\r\n\r\n􀀉说明：\r\n\r\n\r\n\r\n私有性（Confidentiality）指对用户数据进行加密保护，用密文的形式传送。\r\n\r\n\r\n\r\n完整性（Data integrity）指对接收的数据进行验证，以判定报文是否被篡改。\r\n\r\n\r\n\r\n真实性（Data authentication）指验证数据源，以保证数据来自真实的发送者。\r\n\r\n\r\n\r\n防重放（Anti-replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，\r\n\r\n\r\n\r\n即接收方会拒绝旧的或重复的数据包。\r\n\r\n\r\n\r\n\r\n\r\n\r\nIPSec 通过AH（Authentication Header，认证头）和ESP（Encapsulating Security\r\n\r\n\r\n\r\nPayload，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过IKE\r\n\r\n\r\n\r\n（Internet Key Exchange，因特网密钥交换协议）为IPSec 提供了自动协商交换密\r\n\r\n\r\n\r\n钥、建立和维护安全联盟的服务，以简化IPSec 的使用和管理。\r\n\r\n\r\n\r\nAH（Authentication Header）是报文头验证协议，主要提供的功能有数据源\r\n\r\n\r\n\r\n验证、数据完整性校验和防报文重放功能；然而，AH 并不加密所保护的数据\r\n\r\n\r\n\r\n报。\r\n\r\n\r\n\r\nESP（Encapsulating Security Payload）是封装安全载荷协议，它除提供AH\r\n\r\n\r\n\r\n协议的所有功能之外（数据完整性校验不包括IP 头），还可提供对IP 报文的\r\n\r\n\r\n\r\n加密功能。\r\n\r\n\r\n\r\n说明：\r\n\r\n\r\n\r\nAH 和ESP 可以单独使用，也可以同时使用。对于AH 和ESP，都有两种操作模式：\r\n\r\n\r\n\r\n传输模式和隧道模式。工作模式将在后文介绍。\r\n\r\n\r\n\r\n\r\n\r\n\r\nIKE 用于协商AH 和ESP 所使用的密码算法，并将算法所需的必备密钥放到恰\r\n\r\n\r\n\r\n当位置。\r\n\r\n\r\n\r\n（主要是协商IPSEC所必须的SA以及帮助IPSEC生成建立SA所需要的密钥）\r\n\r\n\r\n\r\nIKE 协商并不是必须的，IPSec 所使用的策略和算法等也可以手工协\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n二、IPSec 基本概念\r\n\r\n\r\n\r\n1. 安全联盟\r\n\r\n\r\n\r\nIPSec 在两个端点之间提供安全通信，端点被称为IPSec 对等体。\r\n\r\n\r\n\r\nIPSec 能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如，\r\n\r\n\r\n\r\n某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH 和ESP 进行保\r\n\r\n\r\n\r\n护，并使用3DES（Triple Data Encryption Standard，三重数据加密标准）进行加\r\n\r\n\r\n\r\n密；另一方面，策略可能规定来自另一个站点的数据流只使用ESP 保护，并仅使用\r\n\r\n\r\n\r\nDES 加密。通过SA（Security Association，安全联盟），IPSec 能够对不同的数\r\n\r\n\r\n\r\n据流提供不同级别的安全保护。\r\n\r\n\r\n\r\n安全联盟是IPSec 的基础，也是IPSec 的本质。SA 是通信对等体间对某些要素的\r\n\r\n\r\n\r\n约定，例如，使用哪种协议（AH、ESP 还是两者结合使用）、协议的操作模式（传\r\n\r\n\r\n\r\n输模式和隧道模式）、加密算法（DES 和3DES）、特定流中保护数据的共享密钥\r\n\r\n\r\n\r\n以及SA 的生存周期等。\r\n\r\n\r\n\r\n安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟来分别\r\n\r\n\r\n\r\n对两个方向的数据流进行安全保护。同时，如果希望同时使用AH 和ESP 来保护对\r\n\r\n\r\n\r\n等体间的数据流，则分别需要两个SA，一个用于AH，另一个用于ESP。\r\n\r\n\r\n\r\n安全联盟由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter\r\n\r\n\r\n\r\nIndex，安全参数索引）、目的IP 地址、安全协议号（AH 或ESP）。SPI 是为唯一\r\n\r\n\r\n\r\n标识SA 而生成的一个32 比特的数值，它在AH 和ESP 头中传输。\r\n\r\n\r\n\r\n安全联盟具有生存周期。生存周期的计算包括两种方式：\r\n\r\n\r\n\r\n􀁺以时间为限制，每隔指定长度的时间就进行更新；\r\n\r\n\r\n\r\n􀁺以流量为限制，每传输指定的数据量（字节）就进行更新。\r\n\r\n\r\n\r\n\r\n\r\n\r\n2.IPSEC协议的操作模式\r\n\r\n\r\n\r\n主要是隧道和传输模式\r\n\r\n\r\n\r\n传输模式中AH协议和ESP协议的报头都是加在原IP报头后的\r\n\r\n\r\n\r\n隧道模式中的AH协议和ESP协议他们的头部都是加在原IP头前的而且会增加一个新的头部。\r\n\r\n\r\n\r\n隧道的意义就是为了穿越复杂的公网。\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n此图中最后一种是AH加ESP一起的，这样的方式很消耗资源。因此不建议使用。\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n3. 验证算法与加密算法\r\n\r\n\r\n\r\nAH主要是使用MD5以及SHA-1这2种摘要算法来进行源认证\r\n\r\n\r\n\r\nESP则主要使用DES、3DES的算法来进行加密，当然ESP协议也可以使用MD5以及SHA-1\r\n\r\n\r\n\r\n如果设备资源消耗巨大，在加密时因该采用外置加密卡\r\n\r\n\r\n\r\n\r\n\r\n\r\n4. 协商方式\r\n\r\n\r\n\r\n有两种协商方式建立安全联盟，一种是手工方式（manual），一种是IKE 自动协商\r\n\r\n\r\n\r\n（isakmp）方式。前者配置比较复杂，创建安全联盟所需的全部信息都必须手工配\r\n\r\n\r\n\r\n置，而且IPSec 的一些高级特性（例如定时更新密钥）不被支持，但优点是可以不\r\n\r\n\r\n\r\n依赖IKE 而单独实现IPSec 功能。而后者则相对比较简单，只需要配置好IKE 协商\r\n\r\n\r\n\r\n安全策略的信息，由IKE 自动协商来创建和维护安全联盟。\r\n\r\n\r\n\r\n当与之进行通信的对等体设备数量较少时，或是在小型静态环境中，手工配置安全\r\n\r\n\r\n\r\n联盟是可行的。对于中、大型的动态网络环境中，推荐使用IKE 协商建立安全联盟。\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nI三、PSec 在VRP 上的实现流程\r\n\r\n\r\n\r\nVRP 实现了上述所介绍的IPSec 的全部内容。\r\n\r\n\r\n\r\n其实现方式是基于下列思路：通过IPSec，对等体之间（此处是指VRP 所在路由器\r\n\r\n\r\n\r\n及其对端）能够对不同的数据流实施不同的安全保护（验证、加密或两者同时使用）。\r\n\r\n\r\n\r\n其中数据流的区分通过配置ACL 来进行；安全保护所用到的安全协议、验证算法和\r\n\r\n\r\n\r\n加密算法、操作模式等通过配置安全提议来进行；数据流和安全提议的关联（即定\r\n\r\n\r\n\r\n义对何种数据流实施何种保护）、SA 的协商方式、对等体IP 地址的设置（即保护\r\n\r\n\r\n\r\n路径的起/终点）、所需要的密钥和SA 的生存周期等通过配置安全策略来进行；最\r\n\r\n\r\n\r\n后在路由器接口上实施安全策略即完成了IPSec 的配置。\r\n\r\n\r\n\r\n具体介绍如下：\r\n\r\n\r\n\r\n\r\n\r\n\r\n(1) 定义被保护的数据流\r\n\r\n\r\n\r\n数据流是一组流量（traffic）的集合，由源地址/掩码、目的地址/掩码、IP 报文承载\r\n\r\n\r\n\r\n的协议号、源端口号、目的端口号等来规定。一个数据流用一个ACL 来定义，所有\r\n\r\n\r\n\r\n匹配一个访问控制列表规则的流量，在逻辑上作为一个数据流。一个数据流可以小\r\n\r\n\r\n\r\n到是两台主机之间单一的TCP 连接；也可以大到是两个子网之间所有的流量。IPSec\r\n\r\n\r\n\r\n能够对不同的数据流施加不同的安全保护，因此IPSec 配置的第一步就是定义数据\r\n\r\n\r\n\r\n流。\r\n\r\n\r\n\r\n(2) 定义安全提议\r\n\r\n\r\n\r\n安全提议规定了对要保护的数据流所采用的安全协议、验证或加密算法、操作模式\r\n\r\n\r\n\r\n（即报文的封装方式）等。\r\n\r\n\r\n\r\nVRP 支持的AH 和ESP 安全协议，两者既可单独使用，也可联合使用。其中，AH\r\n\r\n\r\n\r\n支持MD5 和SHA-1 验证算法；ESP 协议支持MD5、SHA-1 验证算法和DES、3DES\r\n\r\n\r\n\r\n加密算法。VRP 支持的操作模式包括传输模式和隧道模式。\r\n\r\n\r\n\r\n对同一数据流，对等体两端必须设置相同的协议、算法和操作模式。另外，对于两\r\n\r\n\r\n\r\n个安全网关（例如VRP 路由器间）实施IPSec，建议采用隧道模式，以隐藏实际通\r\n\r\n\r\n\r\n信的源和目的IP 地址。\r\n\r\n\r\n\r\n因此，请先根据需要配置好一个安全提议，以便下一步将数据流和安全提议相关联。\r\n\r\n\r\n\r\n(3) 定义安全策略或安全策略组\r\n\r\n\r\n\r\n安全策略规定了对什么样的数据流采用什么样的安全提议。一条安全策略由“名字”\r\n\r\n\r\n\r\n和“顺序号”共同唯一确定。安全策略分为手工安全策略和IKE 协商安全策略，前\r\n\r\n\r\n\r\n者需要用户手工配置密钥、SPI、SA 的生存周期等参数，在隧道模式下还需要手工\r\n\r\n\r\n\r\n配置安全隧道两个端点的IP 地址；后者则由IKE 自动协商生成这些参数。\r\n\r\n\r\n\r\n安全策略组是所有具有相同名字、不同顺序号的安全策略的集合。在同一个安全策\r\n\r\n\r\n\r\n略组中，顺序号越小的安全策略，优先级越高。\r\n\r\n\r\n\r\n(4) 接口实施安全策略\r\n\r\n\r\n\r\n在接口上应用安全策略组，安全策略组中的所有安全策略同时应用在这个接口上，\r\n\r\n\r\n\r\n从而实现对流经这个接口的不同的数据流进行不同的安全保护。\r\n\r\n\r\n\r\n\r\n\r\n\r\n具体过程看流程图：请点击IPSEC的基本流程注意放大观看\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n四、IPSEC的配置命令（并无配置IKE）\r\n\r\n\r\n\r\n1 扩展的ACL\r\n\r\n\r\n\r\n用于IPSec 的访问控制列表可称为加密访问控制列表。加密访问控制列表匹配\r\n\r\n\r\n\r\n（permit）的报文将被保护，加密访问控制列表拒绝（deny）的报文将不被保护。\r\n\r\n\r\n\r\n加密访问控制列表既可用于加密入口数据流，也可用于加密出口数据流。\r\n\r\n\r\n\r\n具体配置请参见1.4.3 2. 访问控制列表。\r\n\r\n\r\n\r\n在本地和远端路由器上定义的加密访问控制列表必须是相对应的（即互为镜像），\r\n\r\n\r\n\r\n这样在某一端加密的数据才能在对端上被解密。例如：\r\n\r\n\r\n\r\n本端：\r\n\r\n\r\n\r\nacl number 3101\r\n\r\n\r\n\r\nrule 1 permit ip source 173.1.1.1 0.255.255.255 destination 173.2.2.2\r\n\r\n\r\n\r\n0.255.255.255\r\n\r\n\r\n\r\n对端：\r\n\r\n\r\n\r\nacl number 3101\r\n\r\n\r\n\r\nrule 1 permit ip source 173.2.2.2 0.255.255.255 destination 173.1.1.1\r\n\r\n\r\n\r\n0.255.255.255\r\n\r\n\r\n\r\n􀀉说明：\r\n\r\n\r\n\r\n􀁺IPSec 对访问控制列表（ACL）中permit 的数据流进行保护，因此建议用户精\r\n\r\n\r\n\r\n确地配置ACL，只对确实需要IPSec 保护的数据流配置permit，避免盲目地使\r\n\r\n\r\n\r\n用关键字any。\r\n\r\n\r\n\r\n􀁺建议用户将本端和对端的ACL 配置成互为镜像。否则，会造成一端不能解密另\r\n\r\n\r\n\r\n一端发来的数据。\r\n\r\n\r\n\r\n􀁺VRP3.4 Release0010 之后的版本和VRP1.7、VRP3.4 Release0010 之前的版\r\n\r\n\r\n\r\n本（含Release0010）在实现IPSec 时，对流的匹配方式不同：\r\n\r\n\r\n\r\nVRP1.7 及VRP3.4Release0010 之前的版本对每个ACL 中的所有rule 只建立一个\r\n\r\n\r\n\r\nipsec sa，不支持display ipsec tunnel 命令。\r\n\r\n\r\n\r\nVR3.4Releasexxx 之后的版本对每个ACL 中的每个rule 建立一个ipsec sa 和ipsec\r\n\r\n\r\n\r\ntunnel。\r\n\r\n\r\n\r\n当这样的两个版本互通时，需要在两端路由器上都配置多个ACL，每个ACL 下仅配\r\n\r\n\r\n\r\n置一条rule，否则会导致IPSec SA 无法建立。\r\n\r\n\r\n\r\n\r\n\r\n\r\n2。配置IPSEC的安全提议\r\n\r\n\r\n\r\n配置安全提议\r\n\r\n\r\n\r\n创建安全提议并进入安全提议视图（适\r\n\r\n\r\n\r\n用于VRP 主体软件IPSec） \r\n\r\n\r\n\r\nipsec proposal proposal-name\r\n\r\n\r\n\r\n删除安全提议（适用于VRP 主体软件\r\n\r\n\r\n\r\nIPSec） \r\n\r\n\r\n\r\nundo ipsec proposal proposal-name\r\n\r\n\r\n\r\nIPSEC的安全提议可以有多个，当然在IPSEC策略中用的时候也可以用多个，双方只要找出一对一致的就可以了\r\n\r\n\r\n\r\n\r\n\r\n\r\n<2>配置提议内容（可选）\r\n\r\n\r\n\r\n选择报文封装形式\r\n\r\n\r\n\r\n在安全提议中需要指定报文封装模式，安全隧道的两端所选择的IP 报文封装模式必\r\n\r\n\r\n\r\n须一致。\r\n\r\n\r\n\r\n请在安全提议试图\r\n\r\n\r\n\r\n选择报文封装形式\r\n\r\n\r\n\r\n设置安全协议对IP 报文的封装形式 encapsulation-mode { transport | tunnel }\r\n\r\n\r\n\r\n恢复缺省报文封装形式 undo encapsulation-mode\r\n\r\n\r\n\r\n当然默认使用的就是隧道模式\r\n\r\n\r\n\r\n\r\n\r\n\r\n<3>配置选择安全协议\r\n\r\n\r\n\r\n设置安全提议采用的安全协议 transform { ah | ah-esp | esp }\r\n\r\n\r\n\r\n恢复缺省的安全协议 undo transform\r\n\r\n\r\n\r\n缺省情况下采用esp，即RFC2406 规定的ESP\r\n\r\n\r\n\r\n\r\n\r\n\r\n〈4〉定义安全算法\r\n\r\n\r\n\r\n设置ESP 协议采用的加密算法 esp encryption-algorithm { 3des | des | aes\r\n\r\n\r\n\r\n[ 128 | 192 | 256 ]}\r\n\r\n\r\n\r\n设置ESP 协议不对报文进行加密 undo esp encryption-algorithm\r\n\r\n\r\n\r\n设置ESP 协议采用的验证算法 esp authentication-algorithm { md5 | sha1 }\r\n\r\n\r\n\r\n设置ESP 协议不对报文进行验证 undo esp authentication-algorithm\r\n\r\n\r\n\r\n设置AH 协议采用的验证算法 ah authentication-algorithm { md5 | sha1 }\r\n\r\n\r\n\r\n恢复AH 协议缺省的验证算法 undo ah authentication-algorithm\r\n\r\n\r\n\r\n缺省情况下，ESP 协议采用的加密算法是des，采用的验证算法是md5；AH 协议\r\n\r\n\r\n\r\n采用的验证算法是md5。\r\n\r\n\r\n\r\n\r\n\r\n\r\n3。配置安全策略（必选）\r\n\r\n\r\n\r\n安全策略规定了对什么样的数据流采用什么样的安全提议。\r\n\r\n\r\n\r\n主要就是用它创建多个节点\r\n\r\n\r\n\r\n用IKE 创建安全策略\r\n\r\n\r\n\r\n请在系统视图下进行下列配置。\r\n\r\n\r\n\r\n\r\n\r\n\r\n用IKE 创建安全策略，进入安全策略\r\n\r\n\r\n\r\n视图 ipsec policy policy-name seq-number isakmp\r\n\r\n\r\n\r\n注意这里有个名称和 SEQ号，SEQ号可以有多个，数字越小越优先采用\r\n\r\n\r\n\r\n使用多个SEQ便可以与多个PEER建立IPSEC\r\n\r\n\r\n\r\n进入POLICY视图之后可以配置的内容是：\r\n\r\n\r\n\r\n\r\n\r\n\r\n<1>配置在安全策略中引用安全提议\r\n\r\n\r\n\r\n安全策略通过引用安全提议来确定采用的安全协议、算法和报文封装形式。在引用\r\n\r\n\r\n\r\n一个安全提议之前，这个安全提议必须已经建立。\r\n\r\n\r\n\r\n请在安全策略视图下进行下列配置。\r\n\r\n\r\n\r\n设置安全策略所引用的安全提议 proposal proposal-name1 [ proposal-name2...\r\n\r\n\r\n\r\nproposal-name6 ]\r\n\r\n\r\n\r\n取消安全策略引用的安全提议 undo proposal\r\n\r\n\r\n\r\n这里可以配置多个提议哦！\r\n\r\n\r\n\r\n\r\n\r\n\r\n〈2〉配置在安全策略引用的访问控制列表\r\n\r\n\r\n\r\n安全策略引用访问控制列表，IPSec 根据该访问控制列表中的规则来确定哪些报文\r\n\r\n\r\n\r\n需要安全保护，哪些报文不需要安全保护：访问控制列表匹配（permit）的报文被\r\n\r\n\r\n\r\n保护，访问控制列表拒绝（deny）的报文不被保护。\r\n\r\n\r\n\r\n请在安全策略视图下进行下列配置。\r\n\r\n\r\n\r\n设置安全策略引用的访问控制列表 security acl acl-number\r\n\r\n\r\n\r\n取消安全策略引用的访问控制列表 undo security acl\r\n\r\n\r\n\r\n一条安全策略只能引用一条访问控制列表，如果设置安全策略引用了多于一个访问\r\n\r\n\r\n\r\n控制列表，最后配置的那条访问控制列表才有效。\r\n\r\n\r\n\r\n\r\n\r\n\r\n<3>配置在安全策略中引用IKE 对等体(注意在3.4内是如此定义关于1.74只需要定义remoter address)\r\n\r\n\r\n\r\n对于IKE 协商方式，无需象手工方式那样配置对等体、SPI 和密钥等参数，IKE 将\r\n\r\n\r\n\r\n自动协商这些它们，因而仅需要将安全策略和IKE Peer 关联即可。\r\n\r\n\r\n\r\n请在安全策略视图下进行下列配置。\r\n\r\n\r\n\r\n在安全策略中引用ike 对等体 ike-peer peer-name\r\n\r\n\r\n\r\n取消在安全策略中引用ike 对等体 undo ike-peer peer-name\r\n\r\n\r\n\r\n\r\n\r\n\r\n<4在接口上用安全策略组名\r\n\r\n\r\n\r\n为使定义的安全联盟生效，应在每个要加密的出站数据、解密的入站数据所在接口\r\n\r\n\r\n\r\n（逻辑的或物理的）上应用一个安全策略组，由这个接口根据所配置的安全策略组\r\n\r\n\r\n\r\n和对端加密路由器配合进行报文的加密处理。当安全策略组被从接口上删除后，此\r\n\r\n\r\n\r\n接口便不再具有IPSec 的安全保护功能。\r\n\r\n\r\n\r\n请在接口视图下进行下列配置。\r\n\r\n\r\n\r\n应用安全策略组 ipsec policy policy-name\r\n\r\n\r\n\r\n取消应用的安全策略组 undo ipsec policy [ policy-name ]\r\n\r\n\r\n\r\n一个接口只能应用一个安全策略组，一个安全策略组可以应用到多个接口上。但手\r\n\r\n\r\n\r\n工方式配置的安全策略只能应用到一个接口。\r\n\r\n\r\n\r\n当从一个接口发送报文时，将按照从小到大的顺序号查找安全策略组中每一条安全\r\n\r\n\r\n\r\n策略。如果报文匹配了一条安全策略引用的访问控制列表，则使用这条安全策略对\r\n\r\n\r\n\r\n报文进行处理；如果报文没有匹配安全策略引用的访问控制列表，则继续查找下一\r\n\r\n\r\n\r\n条安全策略；如果报文对所有安全策略引用的访问控制列表都不匹配，则报文直接\r\n\r\n\r\n\r\n被发送（IPSec 不对报文加以保护）。\r\n\r\n\r\n\r\n华为3COM 公司实现的IPSec 安全策略除了可以应用到串口、以太网口等实际物理\r\n\r\n\r\n\r\n接口上之外，还能够应用到Tunnel、Virtual Template 等虚接口上。这样就可以根\r\n\r\n\r\n\r\n据实际组网要求，在如GRE、L2TP 等隧道上应用IPSec\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n五、IKE的配置（必选）\r\n\r\n\r\n\r\n关于IKE：\r\n\r\n\r\n\r\n在实施IPSec 的过程中，可以使用因特网密钥交换IKE（Internet Key Exchange）\r\n\r\n\r\n\r\n协议来建立安全联盟，该协议建立在由Internet 安全联盟和密钥管理协议ISAKMP\r\n\r\n\r\n\r\n（Internet Security Association and Key Management Protocol）定义的框架上。IKE\r\n\r\n\r\n\r\n为IPSec 提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSec 的使用\r\n\r\n\r\n\r\n和管理。\r\n\r\n\r\n\r\n网络安全包括两层含义：其一是内部网的安全，其二是在公共网络中进行数据交换\r\n\r\n\r\n\r\n的安全。实现前者的手段有防火墙、地址转换（NAT）等。后者如正在兴起的IPSec\r\n\r\n\r\n\r\n（IP Security），IPSec 提供了在IP 层对报文实施加密的保护手段。IPSec 的安全\r\n\r\n\r\n\r\n联盟可以通过手工配置的方式建立，但是当网络中结点增多时，手工配置将非常困\r\n\r\n\r\n\r\n难，而且难以保证安全性。这时就要使用IKE 自动地进行安全联盟建立与密钥交换\r\n\r\n\r\n\r\n的过程。\r\n\r\n\r\n\r\nIKE 具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建\r\n\r\n\r\n\r\n立IPSec 安全联盟。\r\n\r\n\r\n\r\nIKE 的安全机制包括：\r\n\r\n\r\n\r\n􀁺DH（Diffie-Hellman）交换及密钥分发。Diffie-Hellman 算法是一种公共密钥算\r\n\r\n\r\n\r\n法。通信双方在不传送密钥的情况下通过交换一些数据，计算出共享的密钥。\r\n\r\n\r\n\r\n加密的前提是交换加密数据的双方必须要有共享的密钥。IKE 的精髓在于它永\r\n\r\n\r\n\r\n远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，最终计算\r\n\r\n\r\n\r\n出双方共享的密钥。即使第三者（如黑客）截获了双方用于计算密钥的所有交\r\n\r\n\r\n\r\n换数据，也不足以计算出真正的密钥。\r\n\r\n\r\n\r\n􀁺完善的前向安全性（Perfect Forward Secrecy，PFS）。PFS 特性是一种安全\r\n\r\n\r\n\r\n特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有\r\n\r\n\r\n\r\n派生关系。对于IPsec，是通过在IKE 阶段2 协商中增加一次密钥交换来实现\r\n\r\n\r\n\r\n的。\r\n\r\n\r\n\r\n􀁺身份验证。身份验证确认通信双方的身份。对于pre-shared key 验证方法，验\r\n\r\n\r\n\r\n证字用来作为一个输入产生密钥，验证字不同是不可能在双方产生相同的密钥\r\n\r\n\r\n\r\n的。验证字是验证双方身份的关键。\r\n\r\n\r\n\r\n􀁺身份保护。身份数据在密钥产生之后加密传送，实现了对身份数据的保护。\r\n\r\n\r\n\r\n\r\n\r\n\r\nIKE 使用了两个阶段为IPSec 进行密钥协商并建立安全联盟：第一阶段，通信各方\r\n\r\n\r\n\r\n彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个\r\n\r\n\r\n\r\nISAKMP 安全联盟，即ISAKMP SA；第二阶段，用在第一阶段建立的安全通道为\r\n\r\n\r\n\r\nIPSec 协商安全服务，即为IPSec 协商具体的安全联盟，建立IPSec SA，IPSec SA\r\n\r\n\r\n\r\n用于最终的IP 数据安全传送。\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nIKE的配置：\r\n\r\n\r\n\r\n定义IKE 安全提议\r\n\r\n\r\n\r\n1. 创建IKE 安全提议（可选）\r\n\r\n\r\n\r\n此配置是专门针对IKE协商自己的SA时所需要用的因此也可以是多个，当然它有一个DEFAULT设置\r\n\r\n\r\n\r\n之后可以定义多个IKE的提议，IKE的双方将按照SEQ从小到大的顺序来选提议，最后如果双方都没\r\n\r\n\r\n\r\n找到一致的，我门就采用默认的定义。\r\n\r\n\r\n\r\n创建IKE 安全提议 ike proposal proposal-number\r\n\r\n\r\n\r\n删除IKE 安全提议 undo ike proposal proposal-number\r\n\r\n\r\n\r\n<2>在IKE的提议视图之下可以定义关于IKE的一些安全参数主要也是加密算法认证类型等内容，在此我门采用默认设置既可。\r\n\r\n\r\n\r\n配置IKE 对等体\r\n\r\n\r\n\r\n1. 创建IKE 对等体\r\n\r\n\r\n\r\n请在系统视图下进行下列配置。\r\n\r\n\r\n\r\n配置一个ike 对等体并进入ike peer 视图 ike peer peer-name（此名字在IPSEC中会引用）\r\n\r\n\r\n\r\n其中可以配置的内容就是IKE的核心之处。\r\n\r\n\r\n\r\n配置ike 阶段协商所使用的身份验证字 pre-shared-key key 这个是最关键的内容用于DH交换时的信息源\r\n\r\n\r\n\r\n配置对端安全网关的IP 地址 remote-address ip-address 这个也是关键内容用与指示IKE与谁进行IKE协商。\r\n\r\n\r\n\r\n\r\n\r\n\r\n到此只需要在IPSEC中引用该PEER的名字就可以了。\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n例子：\r\n\r\n\r\n\r\n\r\n\r\n\r\n1. 组网需求\r\n\r\n\r\n\r\n如上例图所示，在Router A 和Router B 之间建立一个安全隧道，对PC A 代表的子\r\n\r\n\r\n\r\n网（10.1.1.x）与PC B 代表的子网（10.1.2.x）之间的数据流进行安全保护。安全\r\n\r\n\r\n\r\n协议采用ESP 协议，加密算法采用DES，验证算法采用SHA1-HMAC-96\r\n\r\n\r\n\r\n（注意该图中我门的IKE配置为默认提议）\r\n\r\n\r\n\r\n3. 配置步骤\r\n\r\n\r\n\r\n(1) 配置Router A\r\n\r\n\r\n\r\n# 配置一个访问控制列表，定义由子网10.1.1.x 去子网10.1.2.x 的数据流。\r\n\r\n\r\n\r\n[Quidway] acl number 3101\r\n\r\n\r\n\r\n[Quidway-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination\r\n\r\n\r\n\r\n10.1.2.0 0.0.0.255\r\n\r\n\r\n\r\n[Quidway-acl-adv-3101] rule deny ip source any destination any\r\n\r\n\r\n\r\n# 配置到PC B 的静态路由。\r\n\r\n\r\n\r\n[Quidway] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1\r\n\r\n\r\n\r\n# 创建名为tran1 的安全提议。\r\n\r\n\r\n\r\n[Quidway] ipsec proposal tran1\r\n\r\n\r\n\r\n# 报文封装形式采用隧道模式。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel\r\n\r\n\r\n\r\n# 安全协议采用ESP 协议。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] transform esp\r\n\r\n\r\n\r\n# 选择算法。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] esp encryption-algorithm des\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] esp authentication-algorithm sha1\r\n\r\n\r\n\r\n# 退回到系统视图。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] quit\r\n\r\n\r\n\r\n# 配置IKE 对等体。\r\n\r\n\r\n\r\n[Quidway] ike peer peer\r\n\r\n\r\n\r\n[Quidway-ike-peer-peer] pre-shared-key abcde\r\n\r\n\r\n\r\n[Quidway-ike-peer-peer] remote- address 202.38.162.1\r\n\r\n\r\n\r\n# 创建一条安全策略，协商方式为isakmp。\r\n\r\n\r\n\r\n[Quidway] ipsec policy map1 10 isakmp\r\n\r\n\r\n\r\n# 引用安全提议。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-map1-10] proposal tran1\r\n\r\n\r\n\r\n# 引用访问控制列表。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-map1-10] security acl 3101\r\n\r\n\r\n\r\n# 引用IKE 对等体。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-map1-10] ike-peer peer\r\n\r\n\r\n\r\n# 退回到系统视图。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-map1-10] quit\r\n\r\n\r\n\r\n# 进入串口配置视图。\r\n\r\n\r\n\r\n[Quidway] interface serial 2/0/1\r\n\r\n\r\n\r\n# 配置串口的IP 地址。\r\n\r\n\r\n\r\n[Quidway-Serial2/0/1] ip address 202.38.163.1 255.0.0.0\r\n\r\n\r\n\r\n# 在串口上应用安全策略组。\r\n\r\n\r\n\r\n[Quidway-Serial2/0/1] ipsec policy map1\r\n\r\n\r\n\r\n# 退回到系统视图。\r\n\r\n\r\n\r\n[Quidway-Serial2/0/1] quit\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n(2) 配置Router B\r\n\r\n\r\n\r\n# 配置一个访问控制列表，定义由子网10.1.2.x 去子网10.1.1.x 的数据流。\r\n\r\n\r\n\r\n[Quidway] acl number 3101\r\n\r\n\r\n\r\n[Quidway-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination\r\n\r\n\r\n\r\n10.1.1.0 0.0.0.255\r\n\r\n\r\n\r\n[Quidway-acl-adv-3101] rule deny ip source any destination any\r\n\r\n\r\n\r\n# 配置到PC A 的静态路由。\r\n\r\n\r\n\r\n[Quidway] ip route-static 10.1.1.0 255.255.255.0 202.38.163.1\r\n\r\n\r\n\r\n# 创建名为tran1 的安全提议。\r\n\r\n\r\n\r\n[Quidway] ipsec proposal tran1\r\n\r\n\r\n\r\n# 报文封装形式采用隧道模式。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel\r\n\r\n\r\n\r\n# 安全协议采用ESP 协议。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] transform esp\r\n\r\n\r\n\r\n# 选择算法。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] esp encryption-algorithm des\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] esp authentication-algorithm sha1\r\n\r\n\r\n\r\n# 退回到系统视图。\r\n\r\n\r\n\r\n[Quidway-ipsec-proposal-tran1] quit\r\n\r\n\r\n\r\n# 配置IKE 对等体。\r\n\r\n\r\n\r\n[Quidway] ike peer peer\r\n\r\n\r\n\r\n[Quidway-ike-peer-peer] pre-shared-key abcde\r\n\r\n\r\n\r\n[Quidway-ike-peer-peer] remote-address 202.38.163.1\r\n\r\n\r\n\r\n# 创建一条安全策略，协商方式为isakmp。\r\n\r\n\r\n\r\n[Quidway] ipsec policy use1 10 isakmp\r\n\r\n\r\n\r\n# 引用访问控制列表。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-use1-10] security acl 3101\r\n\r\n\r\n\r\n# 引用安全提议。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-use1-10] proposal tran1\r\n\r\n\r\n\r\n# 引用IKE 对等体。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-map1-10] ike-peer peer\r\n\r\n\r\n\r\n# 退回到系统视图。\r\n\r\n\r\n\r\n[Quidway-ipsec-policy-isakmp-use1-10] quit\r\n\r\n\r\n\r\n# 进入串口配置视图。\r\n\r\n\r\n\r\n[Quidway] interface serial 4/1/2\r\n\r\n\r\n\r\n# 配置串口的IP 地址。\r\n\r\n\r\n\r\n[Quidway-Serial4/1/2] ip address 202.38.162.1 255.0.0.0\r\n\r\n\r\n\r\n# 在串口上应用安全策略组。\r\n\r\n\r\n\r\n[Quidway-Serial4/1/2] ipsec policy use1\r\n\r\n\r\n\r\n# 退回到系统视图。\r\n\r\n\r\n\r\n[Quidway-Serial4/1/2] quit\r\n\r\n\r\n\r\n以上配置完成后，Router A 和Router B 之间如果有子网10.1.1.x 与子网10.1.2.x\r\n\r\n\r\n\r\n之间的报文通过，将触发IKE 进行协商建立安全联盟。IKE 协商成功并创建了安全\r\n\r\n\r\n\r\n联盟后，子网10.1.1.x 与子网10.1.2.x 之间的数据流将被加密传输。