H3C ipsec ike 協商配置

1. 分幾步設置

(1)定義ACL

(2)創建 ipsec 安全建議

1.選擇認證方式

ah 選擇 ah頭認證方式 不配置 ipsec不能建立成功

(3)創建IKE keychain

可以寫多條keychain 與多個路由器進行ipsec 

(4)創建IKE profile

可以匹配多條對端地址

(5)創建一條IKE協商方式的IPsec安全策略

可以使用模版 建立多條ipsec

 

2.配置

(1)     

配置

Device A

配置各接口的IP地址，具體略。

 

配置

ACL 3101，定義要保護由子網10.1.1.0/24去子網10.1.2.0/24的數據流。

<DeviceA> system-view 

[DeviceA] acl number 3101 

[DeviceA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[DeviceA-acl-adv-3101] quit

也可以 允許任何ip

 [DeviceA-acl-adv-3101] rule permit ip source any destination any

 

 

創建IPsec安全提議tran1

[DeviceA] ipsec transform-set tran1

配置安全協議對IP報文的封裝形式為隧道模式。

[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel

配置采用的安全協議為ESP （這里有多種選擇 ah ah-esp esp 選擇ah-esp ah 一定要對ah 進行配置驗證）

[DeviceA-ipsec-transform-set-tran1] protocol esp

配置ESP協議采用的加密算法為128比特的AES，認證算法為HMAC-SHA1 （也有多種選擇 按自己的需求選擇）

[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceA-ipsec-transform-set-tran1] quit

 

附：ah 進行配置驗證

[DeviceA-ipsec-transform-set-tran1] ah authentication-algorithm md5 ah

[DeviceA-ipsec-transform-set-tran1] quit

 

 

 

創建IKE keychain，名稱為keychain1

[DeviceA] ike keychain keychain1

配置與IP地址為2.2.2.2的對端使用的預共享密鑰為明文123456TESTplat&!

[DeviceA-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456TESTplat&!

[DeviceA-ike-keychain-keychain1] quit

附：可以擁有多條為其他對端 預共享密鑰

 

創建IKE profile，名稱為profile1

[DeviceA] ike profile profile1

指定引用的IKE keychain為keychain1

[DeviceA-ike-profile-profile1] keychain keychain1

配置本端的身份信息為IP地址1.1.1.1 （可以配置也可以不配置 使用模版時 不配置這條）

[DeviceA-ike-profile-profile1] local-identity address 1.1.1.1

#配置匹配對端身份的規則為IP地址2.2.2.2/24 （這里可以匹配多個對端身份）

[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0

[DeviceA-ike-profile-profile1] quit

附：匹配多個對端身份 ip地址為 2.2.2.2 到 2.2.2.4

[DeviceA-ike-profile-profile1] match remote identity address range 2.2.2.2 2.2.2.4

 

 

創建一條IKE協商方式的IPsec安全策略，名稱為map1，順序號為10

[DeviceA] ipsec policy map1 10 isakmp

配置IPsec隧道的對端IP地址為2.2.2.2

[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2

指定引用ACL 3101

[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101

指定引用的安全提議為tran1

[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1

指定引用的IKE profile為profile1

[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1

[DeviceA-ipsec-policy-isakmp-map1-10] quit

 

在接口GigabitEthernet2/1/1上應用IPsec安全策略map1

[DeviceA-GigabitEthernet2/1/1] ipsec apply policy map1

[DeviceA-GigabitEthernet2/1/1] quit

 

B 同理