https://support.huawei.com/enterprise/zh/doc/EDOC1100334794?section=j014
配置IPsec策略
了解IPsec策略和策略组
IPsec策略是创建SA的前提,它明确了对哪些数据流采用哪种保护方法。设备上支持配置如下两种方式的IPsec策略:
ISAKMP方式的IPsec策略和策略模板方式的IPsec策略均由IKE协议自动协商生成动态密钥。
配置IPsec策略时,通过引用ACL和IPsec安全提议,将ACL定义的数据流和IPsec安全提议定义的保护方法关联起来,并可以指定SA的协商方式、IPsec隧道的起点和终点、所需要的密钥和SA的生存周期等。
一个IPsec策略由唯一的名称和序号共同确定,相同名称的IPsec策略成一个IPsec策略组。IPsec策略组是所有具有相同名称、不同序号的IPsec策略的集合。一个IPsec策略组中可以包含多个ISAKMP方式的IPsec策略(每个策略对应一个高级ACL),但只能包含一个策略模板方式的IPsec策略,如图2-17所示。在同一个IPsec策略组中,序号越小的IPsec策略,优先级越高。
两端的IPsec策略方式
配置要求
两端均采用ISAKMP方式的IPsec策略
两端指定的PFS DH组必须一致,否则会导致IPsec SA协商失败。
一端采用策略模板方式的IPsec策略,另一端采用ISAKMP方式的IPsec策略
若策略模板下配置了PFS功能,则两端指定的PFS DH组必须一致,否则会导致IPsec SA协商失败。
若策略模板下未配置PFS功能,则当两端指定的PFS DH组不一致时,IPsec SA可以协商成功,响应方采用发起方的DH组。
可选:配置本端不主动发起协商。
respond-only enable
缺省情况下,如果本端采用ISAKMP方式的IPsec策略建立IPsec隧道,则本端将主动发起IPsec协商。
如果隧道两端都采用ISAKMP方式的IPsec策略建立IPsec隧道,则两端都会主动发起协商。此时,配置其中一端作为响应方,不主动发起协商,可便于观察报文处理流程,有助于IPsec故障诊断和定位。
可选:启用IPsec策略。
policy enable
缺省情况下,IPsec策略组中的策略处于启用状态。
检查配置结果
执行display ipsec policy [ brief | name policy-name [ seq-number ] ] [ slot slot-id cpu cpu-id ]命令,查看IPsec策略的配置信息。
后续处理
在接口上应用IPsec策略组。
配置策略模板方式的IPsec策略
前提条件
IPsec安全提议配置完成。
IKE对等体配置完成。
背景信息
采用策略模板方式的IPsec策略可简化多条IPsec隧道建立时的配置工作量,适用于对端IP地址不固定或存在多个对端的场景,一般用于点到多点组网下总部侧的配置。
本端采用策略模板方式的IPsec策略建立IPsec隧道时,不能作为协商发起方主动发起协商,只能作为协商响应方接受对端的协商请求,对端必须配置ISAKMP方式的IPsec策略。在策略模板配置中,引用IPsec安全提议和IKE对等体为必选配置,其他为可选配置,策略模板中未定义的可选参数由协商发起方的安全提议决定。
操作步骤
进入系统视图。
system-view
创建策略模板,并进入策略模板视图。
ipsec policy-template template-name seq-number
可选:指定策略模板的别名。
alias alias
缺省情况下,以策略模板的名称和序号进行组合作为其缺省别名。如果此缺省别名已被其他策略模板占用,则以策略模板的名称、序号和当前时间进行组合作为其缺省别名。
可选:引用高级ACL。
security acl [ ipv6 ] acl-number
缺省情况下,策略模板没有引用ACL。
acl-number是一个已创建的高级ACL,创建高级ACL的详细步骤请参见创建高级ACL。
一个策略模板只能引用一个ACL,引用新的ACL前必须先删除对原有ACL的引用关系。
响应方可不定义需要保护的数据流,此时表示接受发起方定义的需要保护的数据流范围;
引用IPsec安全提议。
proposal proposal-name
缺省情况下,策略模板没有引用IPsec安全提议。
proposal-name是一个已创建的IPsec安全提议,配置IPsec安全提议的详细步骤请参见配置IPsec安全提议。
一个策略模板最多可以引用12个IPsec安全提议。隧道两端进行IKE协商时将在IPsec策略中引用最先能够完全匹配的IPsec安全提议。如果在两端找不到完全匹配的IPsec安全提议,则SA无法成功建立。在IPsec策略中引用多个IPsec安全提议时,请确保隧道两端的IPsec策略中所引用的所有IPsec安全提议采用相同的IPsec封装模式。
引用IKE对等体。
ike-peer peer-name
缺省情况下,策略模板没有引用IKE对等体。
peer-name是一个已创建的IKE对等体,配置IKE对等体的详细步骤请参见配置IKE对等体。
可选:配置IPsec隧道的本端地址。
tunnel local { ipv4-address | ipv6-address }缺省情况下,未配置IPsec隧道的本端地址。
对于IKE动态协商方式的IPsec策略,本端配置的tunnel local必须与对端引用的IKE对等体中配置的remote-address一致。通常情况下,一般不需要手动配置IPsec隧道的本端地址,SA协商时会根据路由自动选择IPsec隧道的本端地址。但在如下情形中,则必须手动配置IPsec隧道的本端地址:
本端与对端存在等价路由时;
IPsec策略实际绑定的接口IP地址不固定或无法预知时;
IPsec策略实际绑定的接口上配置了多个IP地址(一个主IP地址和多个从IP地址)时;
在Tunnel接口上应用了IPsec策略,并通过source { source-ip-address | interface-type interface-number }命令指定了该接口的地址时。
可选:配置本端发起协商时使用的PFS特性。
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group15 | dh-group16 | dh-group18 | dh-group19 | dh-group20 | dh-group21 | dh-group24 }缺省情况下,本端发起协商时没有使用PFS特性。该命令用于本端发起协商时,在IKEv1阶段2或IKEv2创建子SA交换的协商中进行一次附加的DH交换,保证IPsec SA密钥的安全,以提升安全性。不建议使用Group1、Group2、Group5和Group14,否则无法满足安全防御的要求。
若隧道的一端采用策略模板方式的IPsec策略,另一端采用ISAKMP方式的IPsec策略,配置PFS功能时,如果IPsec策略模板下配置了PFS功能,则两端指定的PFS DH组必须一致,否则会导致IPsec SA协商失败;如果IPsec策略模板下未配置PFS功能,则两端指定的PFS DH组不一致时,IPsec SA可以协商成功,响应方采用发起方的DH组。
可选:关闭ACL规则修改后设备立即触发IPsec隧道重协商功能。
security acl-rule modification response disable
缺省情况下,ACL规则修改后设备立即触发IPsec隧道重协商功能处于开启状态。
ACL规则修改后,设备默认立即触发IPsec隧道重协商,导致IPsec流量短时间中断。如果希望ACL规则修改后设备不立即触发IPsec隧道重协商,直到IPsec SA老化时间超期后重协商IPsec隧道,则可以执行此步骤。配置后,可以选择以下方式触发重协商该分支对应的IPsec隧道:
在总部(本端)上执行命令reset ipsec sa remote ip-address重协商该分支对应的IPsec SA;
在该分支(对端)上执行命令reset ipsec sa重协商IPsec SA。
可选:启用IPsec策略。
policy enable
缺省情况下,IPsec策略组中的策略处于启用状态。
退回系统视图,并创建IPsec策略引用策略模板。
quit ipsec policy policy-name seq-number [ isakmp [ template template-name ] ]
引用的策略模板的名称template-name不能与IPsec策略名称policy-name相同。
一个IPsec策略组只能有一条策略模板方式的IPsec策略,且该策略的序号建议大于其他策略的序号,即同一个IPsec策略组中策略模板方式的IPsec策略的优先级必须最低,否则可能导致其他IPsec策略不生效。
检查配置结果
执行display ipsec policy-template [ brief | name policy-template-name [ seq-number ] ] [ slot slot-id cpu cpu-id ]命令,查看IPsec策略模板的配置信息。
后续处理
在接口上应用IPsec策略组。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4678.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
