分类: 系统运维
2011-10-20 10:10:05
在本书上一章介绍IPSec协议时就提到了,IPSec安全框架可以应用到DVPN的虚拟隧道接口上,为DVPN提供隧道的安全认证和数据加密,保护DVPN隧道数据报文和控制报文的传递。本节所介绍的配置是在DVPN服务器端进行的。
在为DVPN配置IPsec安全框架之前,需完成两项基本任务:(1)配置IPsec安全框架所引用的安全提议,参见本书第12章12.2.2节;(2)配置IPsec安全框架所引用的IKE对等体,参见本书第12章12.4.5节。
为DVPN引用IPSec所进行的IPsec安全框架配置步骤如表13-6所示。
13-6 为DVPN配置IPSec安全框架的步骤
|
步骤 |
命令 |
说明 |
|
Step 1 |
system-view 例如: |
进入系统视图 |
|
Step 2 |
ipsec profile profile-name 例如: [Sysname] ipsec profile profile1 |
创建一个安全框架,并进入安全框架视图。缺省情况下,没有任何安全框架存在 |
|
Step 3 |
proposal proposal-name&<1-6> 例如: [Sysname-ipsec-profile-profile1] proposal propo1 |
配置安全框架引用的安全提议。缺省情况下,安全框架没有引用任何安全提议 |
|
Step 4 |
ike-peer peer-name 例如: [Sysname-ipsec-profile-profile1] ike-peer peer1 |
配置此安全框架中所引用的IKE对等体。缺省情况下,安全框架没有引用任何IKE对等体 |
|
Step 5 |
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 } 例如: [Sysname-ipsec-profile-profile1] pfs dh-group1 |
(可选)配置此安全框架发起协商时使用的PFS特性。缺省情况下,安全策略发起协商时没有使用PFS特性 |
|
Step 6 |
sa duration { time-based seconds | traffic-based kilobytes } 例如: [Sysname-ipsec-profile-profile1]sa duration time-based 6000 |
(可选)配置安全联盟的生存周期。缺省情况下,安全框架的安全联盟生存周期为当前全局的安全联盟生存周期值 |
【说明】因为以上配置命令在本书第12章12.3.1节都有详细介绍,故不再赘述,参见即可。
IPsec安全框架是通过IKE协商SA(不是依靠手工配置的),一个安全框架最多只能引用6个安全提议。如果IKE在两端找不到完全匹配的安全提议,则SA不能建立,需要被保护的报文将被丢弃。IKE在使用安全策略发起一个协商时,如果本端指定了PFS,对端在发起协商时必须是PFS交换。本端和对端指定的DH组必须一致,否则协商会失败。
IPsec安全框架用来保护DVPN数据流时,引用的安全提议所采用的安全协议必须是ESP。另外,由于DVPN地址的动态性,在发起端,IPsec安全框架下引用的IKE对等体中的remote-address不起作用。
本文摘自《路由器配置与管理完全手册(H3C篇)试读样章》第十三章
