ESP协议采用的加密算法
esp encryption-algorithm { 3des | des | aes}
选择加密卡
[H3C-ipsec-card-proposal-aa]use encrypt-card Slot number

29
IPSec 的配置任务及命令 的配置任务及命令(2)
选择安全协议
[H3C-ipsec-card-proposal-test] transform { ah| esp| ah-esp}
设置AH协议采用的认证算法
ah authentication-algorithm { md5 | sha1 }
ESP协议采用的认证算法
esp authentication-algorithm { md5 | sha1 }

10
AH协议 协议
IP 包头
传输模式
数据 数据 数据
16 31
IP 包头
隧道模式
AH
新IP 包头
0
AH
8
原IP 包头
AH头结构 头结构
下一个头
负载长度 安全参数索引(SPI) 序列号 验证数据
保留域

11
ESP 协议
IP 包头
传输模式 IP 包头 隧道模式 新IP 包头 ESP头 头 原IP 包头 ESP头部 头部 加密后的数据
IKE的安全机制 的安全机制
完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发

16
IKE的交换过程（主模式） 的交换过程（主模式） 的交换过程
Peer1
发送本地 IKE策略 策略
发起方策略
Peer2
确认对方使 用的算法 查找匹配 的策略
接收方确认的策略
SA交换 交换
19
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSec 与IKE的关系 的关系
IKE的SA协商 的 协商
IKE
IKE
SA
SA
TCP UDP
IPSec
ESP协议采用的加密算法
esp encryption-algorithm { 3des | des | aes}

28
IPSec 的配置任务及命令 的配置任务及命令(1/1)
定义加密卡安全提议
[H3C] ipsec card-proposal proposal-name 设置安全协议对IP报文的封装模式 [H3C-ipsec-card-proposal-test]encapsulation-mode{ transport | tunnel }

27
IPSec 的配置任务及命令 的配置任务及命令(1/0)
创建加密访问控制列表 定义安全提议
[H3C] ipsec proposal proposal-name [H3C] ipsec card-proposal proposal-name
设置安全协议对IP报文的封装模式
[H3C-ipsec-proposal-test] encapsulation-mode { transport | tunnel }
创建安全策略
[H3C] ipsec policy policy-name sequence-number [ manual | isakmp ]
配置安全策略引用的访问控制列表
[H3C-ipsec-policy-policy1-10] security acl access-list-number tunnel remote ip-address
选择安全协议
[H3C-ipsec-proposal-test] transform { ah| esp| ah-esp}
设置AH协议采用的认证算法
ah authentication-algorithm { md5-hmac-96 | sha1-hmac-1-96 }
ESP协议采用的认证算法
esp authentication-algorithm { md5-hmac-96 | sha1-hmac-96 }
Peer1
发送本地 IKE策略， 策略， 策略 密钥生成信息 发起方策略，密钥生成信息 发起方策略，
Peer2
查找匹配 的策略， 的策略，密钥生成
确认对方使 用的算法， 用的算法， 产生密钥
接收方的密钥生成信息， 接收方的密钥生成信息， 身份和验证数据
SA交换， 交换， 交换 密钥生成
接受对端 确认的策略， 确认的策略， 密钥生成
IKE
IKE（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥

14
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
企业分支
企业分支

25
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSec配置前的准备 配置前的准备
确定需要保护的数据 确定使用安全保护的路径 确定使用那种安全保护 确定安全保护的强度
数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication）
IPsec提供了标准、健壮且包含广泛的机制来保证IP以上 提供了标准、健壮且包含广泛的机制来保证 以上 提供了标准 层的安全

4
目录

接受对端 确认的策略
发起方的密钥生成信息
产生密钥
密钥生成
密钥交换
接收方的密钥生成信息
密钥生成
发起方身份和验证数据
验证对方 身份
身份验证和 交换过程验证
ID交换及验证 交换及验证
身份验证和 交换过程验证
接收方的身份和验证数据

17
IKE的交换过程（野蛮模式） 的交换过程（野蛮模式） 的交换过程
DES (Data Encryption Standard) ,3DES AES 其他的加密算法： 其他的加密算法：Blowfish ，cast …

7
IPSec 的安全特点
数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication） 反重播（Anti-Replay）
TCP UDP
IPSec
IP
加密的IP报文 加密的 报文

21
IKE在IPSec中的作用 在 中的作用
降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重播服务 IPSec 允许在端与端之间动态认证

22
IPSEC NAT穿越 穿越
30
IKE的配置任务 的配置任务(1) 的配置任务
创建IKE安全策略 安全策略 创建 选择加密算法 选择认证方法 选择哈希散列算法 选择DH的组标识 设置IKE协商安全联盟的生存周期

31
IKE的配置任务 的配置任务(2) 的配置任务
配置预共享密钥 配置IKE keepalive定时器

8
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSec 基本概念
数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 安全提议
指定安全隧道的终点 配置安全策略中引用的转换方式
proposal proposal-name1 [ proposal-name2...proposal-name6 ]
在接口上应用安全策略组
[H3C-GigabitEthernet0/0] ipsec policy policy-name

发起方身份和验证数据
验证对方 身份
身份验证和 交换过程验证
ID交换及验证 交换及验证

18
DH交换及密钥产生 交换及密钥产生
(g ,p)
peer1
peer2
a
c=gamodp damodp
b
d=gbmodp cbmodp
damodp= cbmodp=gabmodp Nhomakorabea6
IPSec 的组成
IPSec 提供两个安全协议
AH (Authentication Header)报文认证头协议 报文认证头协议
MD5(Message Digest 5) SHA1(Secure Hash Algorithm)
ESP (Encapsulation Security Payload)封装安 封装安 全载荷协议
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSEC提出背景 提出背景
IP包本身不具有任何的安全性，不能保证： 包本身不具有任何的安全性，不能保证： 包本身不具有任何的安全性