Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2113874
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-20 10:10:05

在本书上一章介绍IPSec协议时就提到了,IPSec安全框架可以应用到DVPN的虚拟隧道接口上,为DVPN提供隧道的安全认证和数据加密,保护DVPN隧道数据报文和控制报文的传递。本节所介绍的配置是在DVPN服务器端进行的。

在为DVPN配置IPsec安全框架之前,需完成两项基本任务:(1)配置IPsec安全框架所引用的安全提议,参见本书第1212.2.2节;(2)配置IPsec安全框架所引用的IKE对等体,参见本书第1212.4.5节。

DVPN引用IPSec所进行的IPsec安全框架配置步骤如表13-6所示。

13-6  DVPN配置IPSec安全框架的步骤

步骤

命令

说明

Step 1

system-view

例如:

system-view

进入系统视图

Step 2

ipsec profile profile-name

例如:

[Sysname] ipsec profile profile1

创建一个安全框架,并进入安全框架视图。缺省情况下,没有任何安全框架存在

Step 3

proposal proposal-name&<1-6>

例如:

[Sysname-ipsec-profile-profile1] proposal propo1

配置安全框架引用的安全提议。缺省情况下,安全框架没有引用任何安全提议

Step 4

ike-peer peer-name

例如:

[Sysname-ipsec-profile-profile1] ike-peer peer1

配置此安全框架中所引用的IKE对等体。缺省情况下,安全框架没有引用任何IKE对等体

Step 5

pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 }

例如:

[Sysname-ipsec-profile-profile1] pfs dh-group1

(可选)配置此安全框架发起协商时使用的PFS特性。缺省情况下,安全策略发起协商时没有使用PFS特性

Step 6

sa duration { time-based seconds | traffic-based kilobytes }

例如:

[Sysname-ipsec-profile-profile1]sa duration time-based 6000

(可选)配置安全联盟的生存周期。缺省情况下,安全框架的安全联盟生存周期为当前全局的安全联盟生存周期值

【说明】因为以上配置命令在本书第1212.3.1节都有详细介绍,故不再赘述,参见即可。

IPsec安全框架是通过IKE协商SA(不是依靠手工配置的),一个安全框架最多只能引用6个安全提议。如果IKE在两端找不到完全匹配的安全提议,则SA不能建立,需要被保护的报文将被丢弃。IKE在使用安全策略发起一个协商时,如果本端指定了PFS,对端在发起协商时必须是PFS交换。本端和对端指定的DH组必须一致,否则协商会失败。

IPsec安全框架用来保护DVPN数据流时,引用的安全提议所采用的安全协议必须是ESP。另外,由于DVPN地址的动态性,在发起端,IPsec安全框架下引用的IKE对等体中的remote-address不起作用。

本文摘自《路由器配置与管理完全手册(H3C)试读样章》第十三章

阅读(1621) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~