7
配置安全提议

创建安全提议，并进入安全提议视图
[Router] ipsec proposal proposal-name

选择安全协议
[Router-ipsec-proposal-tran1] transform { ah | ah-esp | esp }

选择工作模式
[Router-ipsec-proposal-tran1] encapsulation-mode { transport | tunnel }
[Router-ipsec-policy-manual-map1-10] ike-peer peer-name

[Router-ipsec-policy-manual-map1-10] pfs { dh-group1 | dhgroup2 | dh-group5 | dh-group14 }

[Router-ipsec-policy-manual-map1-10] sa duration { timebased seconds | traffic-based kilobytes }

配置IPSec隧道的对端地址
[Router-ipsec-policy-manual-map1-10] tunnel remote ipaddress

配置SA的SPI
[Router-ipsec-policy-manual-map1-10] sa spi { inbound | outbound } { ah | esp } spi-number
配置ESP协议的加密密钥（以16进制方式输入） [Router-ipsec-policy-manual-map1-10] sa encryption-hex { inbound | outbound } esp hex-key

15
IKE协商安全提议
RTA
交换安全提议 并协商参数

8
配置安全提议（续）

选择安全算法
配置ESP协议采用的加密算法
[Router-ipsec-proposal-tran1] esp encryption-algorithm { 3des | aes [ key-length ] | des }
配置ESP协议采用的验证算法

IKE协商参数的安全策略流程
数据包 待发送
第一条 安全策略
Y 是否匹配ACL N
成功 用IKE协商 安全参数 失败
提供安全服务 丢弃数据包
第二条 安全策略
成功
是否匹配ACL
N
Y
用IKE协商 安全参数
提供安全服务 丢弃数据包
失败
最后一条 安全策略
成功 是否匹配ACL N 直接明文发送 Y
4
目录
配置前准备 配置IPSec隧道 配置IKE IPSec隧道配置示例 IPSec与传统VPN技术结合
IPSec的配置任务

配置安全ACL 配置安全提议
创建安全提议
选择安全协议 选择安全算法 选择工作模式

配置安全策略
手工配置参数的安全策略 通过IKE协商参数的安全策略
配置IKE协商参数的安全策略

创建一条安全策略，并进入安全策略视图
[Router] ipsec policy policy-name seq-number isakmp

配置安全策略引用的ACL
[Router-ipsec-policy-manual-map1-10] security acl aclnumber
供完整性和机密性保证时，可以与IPSec结合使用。 本章亦将讲解用IPSec保护GRE和L2TP的方法。
课程目标
学习完本课程，您应该能够：
描述IPSec和IKE的配置要点和任务 配置IPSec和IKE 使用display命令获取IPSec和IKE配置
和运行信息
使用debugging命令了解IPSec和IKE 运行时的重要事件和异常情况 配置IPSec保护GRE和L2TP隧道

[Router] ipsec sa global-duration { time-based seconds | traffic-based kilobytes }

18
在接口上应用安全策略

在接口上应用安全策略
IPSec安全策略可以应用到串口、以太网口等物
[Router-Serial1/0] ipsec policy policy-name 理接口上和Tunnel、Virtual Template等逻辑接 口上

[Router] display ipsec statistics

20
display ipsec sa命令显示示例
<Sysname> display ipsec sa Interface: Ethernet0/0 path MTU: 1500 IPsec policy name: "r2" sequence number: 1 mode: isakmp connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 2.2.2.2 remote address: 1.1.1.2 Flow: sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP [inbound ESP SAs] spi: 3564837569 (0xd47b1ac1) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436380/2686 max received sequence-number: 5 anti-replay check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 801701189 (0x2fc8fd45) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436380/2686 max sent sequence-number: 6 udp encapsulation used for nat traversal: N

在接口上应用安全策略
6

配置安全ACL

IPSec通信双方安全ACL的源和目的须 对称
本端：
acl number 3101 rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2 0.0.0.7
对端：
acl number 3204 rule 1 permit ip source 173.2.2.2 0.0.0.7 destination 173.1.1.1 0.0.0.0
[Router-ipsec-proposal-tran1] esp authentication-algorithm { md5 | sha1 }
配置AH协议采用的验证算法
[Router-ipsec-proposal-tran1] ah authentication-algorithm { md5 | sha1 }

14
配置手工配置参数的安全策略（续）

配置SA使用的密钥
配置协议的验证密钥（以16进制方式输入）
[Router-ipsec-policy-manual-map1-10] sa authentication-hex { inbound | outbound } { ah | esp } hex-key

Hale Waihona Puke [Router] display ipsec proposal [ proposal-name ]

[Router] display ipsec sa [ brief | duration | policy policy-name [ seq-number ] | remote ip-address ]
目录
配置前准备 配置IPSec隧道 配置IKE IPSec隧道配置示例 IPSec与传统VPN技术结合
IPSec配置前准备
What —— 确定需要保护的数据
Where —— 确定使用安全保护的路径
Which —— 确定使用哪种安全保护
How —— 确定安全保护的强度

一个接口只能应用一个安全策略组 IKE协商参数的安全策略可以应用到多个接口上 手工配置参数的安全策略只能应用到一个接口上

19
IPSec信息显示命令

显示安全策略的信息 显示安全提议的信息 显示安全联盟的相关信息 显示IPSec处理报文的统计信息
[Router] display ipsec policy [ brief | name policy-name [ seqnumber ] ]
匹配
IPSec proposal b3
安全协议：ESP 验证算法：SHA1 加密算法：DES 模式：Tunnel
IPSec proposal b5

IKE为双方协商出互相匹 配的安全提议，使用其参 数保护用户数据
安全协议：ESP 验证算法：MD5 加密算法：AES 模式：Tunnel