华为技术和ipsec安全策略模拟实验配置步骤

网段地址：
R1
G0/0/0 192.168.1.100 24
G0/0/1 200.1.13.1 24

R3
G0/0/0 200.1.13.2 24
G0/0/1 200.1.23.2 24

R2
G0/0/0 192.168.2.100 24
G0/0/1 200.1.23.1 24

PC1:192.168.1.1 24
PC2:192.168.2.1 24

第一步

配置Security ACL，用于匹配站点间通信网络之间的感兴趣流。
配置：

[R1-acl-adv-3000]rule2permitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255

IPSec使用高级ACL定义需要保护的数据流。IPSec根据ACL的规则来确定哪些报文需要安全保护，哪些报文不需要安全保护。
在隧道发起端，匹配（permit）高级ACL的数据流将被保护，即经过IPSec加密处理后再发送；不能匹配高级ACL的数据流则直接转发。
在隧道接收端，对数据流进行解密，并检查解密后的数据流是否匹配了ACL规则，丢弃不匹配ACL规则的报文。

ACL配置原则

1.若不同的数据流需要采用不同的安全策略来保护，则需要为之创建不同的ACL。

2.若不同的数据流可以采用相同的安全策略来保护，则可以在一条ACL中配置多条rule来保护不同的数据流。但是ACL中序列号大的rule不能完全包含序列号小的rule 的内容。

3.IPSec两端ACL规则定义的协议类型要一致，如：一端使用IP协议，另一端也必须使用IP协议。

4.同一个安全策略组中配置的ACL不能包含相同的rule规则。采用IKEv2进行协商时，同一个安全策略组中所有安全策略的引用的ACL的rule之间不能存在交集。

5.建议IPSec隧道两端配置的ACL规则互为镜像，即一端ACL规则的源地址和目的地址分别为另一端ACL规则的目的地址和源地址。

第二步

配置IKE安全提议，决定处理IKE流量的安全机制（可选：可以采用默认
IKE安全提议）

IKE对等体通过IKE安全提议来协商建立IKE SA所需要的
加密算法、
认证方法、
认证算法、
Diffie-Hellman组标识
安全联盟生存周期

[R1]ikeproposal10(创建IKE安全提议)

[R1-ike-proposal-10]authentication-algorithm?(配置认证算法)
aes-xcbc-mac-96Selectaes-xcbc-mac-96asthehashalgorithm
md5SelectMD5asthehashalgorithm
sha1SelectSHAasthehashalgorithm
sm3Selectsm3asthehashalgorithm
[R1-ike-proposal-10]authentication-algorithmmd5

[R1-ike-proposal-10]encryption-algorithm?(配置加密算法)
3des-cbc168bits3DES-CBC
aes-cbc-128UseAES-128
aes-cbc-192UseAES-192
aes-cbc-256UseAES-256
des-cbc56bitsDES-CBC
[R1-ike-proposal-10]encryption-algorithmaes-cbc-128

[R1-ike-proposal-10]authentication-method?（配置认证方法）
digital-envelopeSelectdigitalenvelopekeyastheauthenticationmethod
pre-shareSelectpre-sharedkeyastheauthenticationmethod
rsa-signatureSelectrsa-signaturekeyastheauthenticationmethod
[R1-ike-proposal-10]authentication-methodpre-share

[R1-ike-proposal-10]dh?（配置Diffie-Hellman组标识）
group1768bitsDiffie-Hellmangroup
group142048bitsDiffie-Hellmangroup
group21024bitsDiffie-Hellmangroup
group51536bitsDiffie-Hellmangroup
[R1-ike-proposal-10]dhgroup2

可选：执行命令integrity-algorithm { aes-xcbc-96 | hmac-md5-96 | hmac-sha1-96 |
hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512 } 配置完整性算法。

[R1-ike-proposal-10]saduration?（配置IKE密钥有效期）
INTEGER<60-604800>Valueoftime(inseconds),defaultis86400
[R1-ike-proposal-10]saduration10000

配置完成：
[R1-ike-proposal-10]displaythis
[V200R003C00]
#
ikeproposal10
encryption-algorithmaes-cbc-128
dhgroup2
authentication-algorithmmd5
saduration10000
#
return

display ike proposal
//查看IKE默认Proposal，如果没有特殊安全需求建议保
持默认的IKE Proposal

第三步

配置IKE对等体，
调用第二步配置的IKE安全提议，
选择IKE版本（version1/version 2），
配置IKE身份认证参数，
决定IKE version 1第一阶段的交换模式，
可以选择主模式或野蛮模式。

[R1]ikepeerxwl?(配置IKEpeer和IKE版本号)
v1OnlyV1SA'scanbecreated
v2OnlyV2SA'scanbecreated
PleasepressENTERtoexecutecommand
[R1]ikepeerxwlv1

IKEv1要求两端配置的ACL规则互为镜像（IKE方式的IPSec安全策略）或发起方配置的ACL
规则为响应方的子集（模板方式的IPSec安全策略）。
IKEv2取双方ACL规则交集作为协商结果。

修改ACL时注意：
ACL参数的修改是实时生效的，修改后隧道立即被拆除，在下次进行隧道协商时使用新
的参数。

[R1-ike-peer-xwl]remote-address?
IP_ADDRIPaddress
STRING<1-254>Hostname
[R1-ike-peer-xwl]remote-address200.1.23.1（配置对端IP地址或地址段。）

[R1-ike-peer-xwl]pre-shared-keycipherhuawei（配置身份认证参数）

[R1-ike-peer-xwl]ike-proposal10（引用已配置的IKE安全提议。）

[R1-ike-peer-xwl]exchange-mode?（配置模式为主模式或者野蛮模式）
aggressiveAggressivemode
mainMainmode
[R1-ike-peer-xwl]exchange-modemain

[R1-ike-peer-xwl]peer-id-type?（配置peer建立时ID的类型）
ipSelectIPaddressasthepeerID
nameSelectnameasthepeerID

配置完成
[R1-ike-peer-xwl]displaythis
[V200R003C00]
#
ikepeerxwlv1
pre-shared-keycipher%$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal10
remote-address200.1.23.1
#
return

第四步

配置IPSec安全提议，配置处理实际感兴趣的安全机制，
包括封装模式，ESP的加密与验证算法，AH的验证算法。

如果只创建ipsec proposal ,则继承默认策略

[R1]ipsecproposalxwl（创建安全提议）

[R1-ipsec-proposal-xwl]encapsulation-mode?（配置报文封装模式）
transportOnlythepayloadofIPpacketisprotected(transportmode)
tunnelTheentireIPpacketisprotected(tunnelmode)
[R1-ipsec-proposal-xwl]encapsulation-modetunnel

[R1-ipsec-proposal-xwl]espauthentication-algorithm?（配置ESP方式采用的认证算法）
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm
[R1-ipsec-proposal-xwl]espauthentication-algorithmmd5

[R1-ipsec-proposal-xwl]espencryption-algorithm?（配置ESP协议使用的加密算法）
3desUse3DES
aes-128UseAES-128
aes-192UseAES-192
aes-256UseAES-256
desUseDES
sm1UseSM1
PleasepressENTERtoexecutecommand
[R1-ipsec-proposal-xwl]espencryption-algorithmaes-128

[R1-ipsec-proposal-xwl]transform?（配置传送数据时采用的安全协议）
ahAHprotocoldefinedinRFC2402
ah-espESPprotocolfirst,thenAHprotocol
espESPprotocoldefinedinRFC2406
[R1-ipsec-proposal-xwl]transformesp

如果配置为ah
[R1-ipsec-proposal-xwl]ahauthentication-algorithm?
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm

配置完成
[R1-ipsec-proposal-xwl]displaythis
[V200R003C00]
#
ipsecproposalxwl
espencryption-algorithmaes-128
#
return

第五步

配置IPSec安全策略，
调用第一步配置的Security ACL;
第二步配置的IKE Peer;
第三步配置的IPSec安全提议。

模板方式的IPSec安全策略配置原则：
1.IPSec隧道只能有一端配置模板方式的IPSec安全策略，另一端必须配置IKE方式的
IPSec安全策略。
2.一个IPSec策略组中只能有一条安全策略引用安全策略模板，该策略的序号推荐比
其它策略的序号大，否则可能导致其它策略不生效。

3.IPSec安全策略模板中ACL、IPSec安全提议和IKE对等体为必选配置，而其它参数为
可选配置。

4.在IKE协商时，要求安全策略模板中定义的参数必须与对端匹配；安全策略模板中
没有定义的参数由发起方来决定，响应方接受发起方的建议。

5.一个安全策略模板可以引用多个IPSec安全提议，在响应不同对端发起的连接时匹
配不同的IPSec安全提议。

6.一个安全策略模板只能引用一条ACL，引用新的ACL时必须先取消引用原有ACL。
如果接口上应用了IPSec安全策略，则修改IPSec和IKE的各项参数时，需注意在修
改IPSec安全策略时可以直接新增或删除IPSec安全策略或者修改IPSec安全策略中
的各项配置。

对于模板方式建立的IPSec安全策略：
1.修改PFS参数在下次协商时生效，对已经协商起来的隧道不生效。
2. 除PFS外的其它参数只能先在接口上取消应用IPSec策略，再进行修改。
pfs 完美向前 第一个密钥失效后第二个密钥和第一个密钥是有关系的 设置了pfs后，这密钥之间没有关系

PFS（Perfect Forward Secrecy，完善的前向安全性）是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。此特性是通过在IKE阶段2的协商中增加密钥交换来实现的

[R1]ipsecpolicyxwl?
INTEGER<1-10000>ThesequencenumberofIPSecpolicy
sharedShared
[R1]ipsecpolicyxwl10?
isakmpIndicatesuseIKEtoestablishtheIPSecSA
manualIndicatesusemanualtoestablishtheIPSecSA
PleasepressENTERtoexecutecommand
[R1]ipsecpolicyxwl10isakmp

[R1-ipsec-policy-isakmp-xwl-10]ike-peerxwl（调用第二步配置的IKEPeer）

[R1-ipsec-policy-isakmp-xwl-10]proposalxwl（调用第二步配置的IKEPeer）

[R1-ipsec-policy-isakmp-xwl-10]securityacl3000（调用第一步配置的SecurityACL）

配置完成：
[R1-ipsec-policy-isakmp-xwl-10]displaythis
[V200R003C00]
#
ipsecpolicyxwl10isakmp
securityacl3000
ike-peerxwl
proposalxwl
#
Return

第六步

在接口上调用IPSec安全策略。
[R1]interfaceGigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ipsecpolicyxwl?
PleasepressENTERtoexecutecommand

配置完成后，需要流量进行激活隧道的建立

[R1]iproute-static192.168.2.024200.1.13.2
[R2]iproute-static192.168.1.024200.1.23.2

查看相关信息

ipsec第一阶段形成ike sa 的通道 使用的是udp 500的流量，源端口，目的端口都是500

Reset ike sa all 清除建立的SA 通道

PC1:

协商后的Iipsec proposal 参数

协商后的ike peer 参数

IKE第二阶段

IKE第一和第二阶段