IKE配置.doc

VRP配置指南 安全插图目录目 录6 IKE配置6-16.1 IKE概述6-26.1.1 IKE协议简介6-26.1.2 IPSec的NAT穿越6-36.1.3 IKE在VRP上的实现6-46.2 配置IKE协商时的本地ID6-56.2.1 建立配置任务6-56.2.2 配置IKE协商时的本地ID6-56.3 配置IKE安全提议6-66.3.1 建立配置任务6-66.3.2 创建IKE安全提议并进入IKE安全提议视图6-76.3.3 选择加密算法6-76.3.4 选择验证方法6-76.3.5 选择验证算法6-86.3.6 选择Diffie-Hellman组标识6-86.3.7 配置ISAKMP SA生存周期6-86.3.8 检查配置结果6-96.4 配置IKE对端属性6-96.4.1 建立配置任务6-96.4.2 创建IKE Peer并进入IKE Peer视图6-106.4.3 配置IKE协商模式6-106.4.4 配置IKE安全提议6-116.4.5 配置本地ID类型6-116.4.6 配置IPSec的NAT穿越6-116.4.7 配置身份验证字6-116.4.8 配置对端IP地址或地址段6-126.4.9 配置对端名称6-126.4.10 配置VPN实例与安全联盟关联的MPLS VPN接入6-126.4.11 检查配置结果6-126.5 配置IKE的微调6-136.5.1 建立配置任务6-136.5.2 配置发送Keepalive报文的时间间隔6-146.5.3 配置等待Keepalive报文的超时时间6-146.5.4 配置发送NAT更新报文的时间间隔6-146.6 维护6-156.6.1 显示6-156.6.2 清除6-156.6.3 调试6-166.7 采用IKE协商方式建立安全联盟举例6-16文档版本 01 (2006-12-20)华为技术有限公司iii插图目录图6-1 安全联盟建立过程6-3图6-2 IPSec配置组网图6-17VRP配置指南 安全6 IKE配置6 IKE配置关于本章本章描述内容如下表所示。标题内容6.1 IKE概述了解IKE的基本原理和概念6.2 配置IKE协商时的本地ID配置IKE协商时的本地ID6.3 配置IKE安全提议配置IKE安全提议6.4 配置IKE对端属性配置IKE对端属性6.5 配置IKE的微调配置IKE的微调6.6 维护显示配置信息、清除统计信息、调试IKE6.7 采用IKE协商方式建立安全联盟举例介绍IKE的组网举例。6.1 IKE概述本节介绍配置IKE所需要理解的知识，具体包括：l IKE协议简介l IPSec的NAT穿越l IKE在VRP上的实现6.1.1 IKE协议简介IKE协议IPSec的安全联盟可以通过手工配置的方式建立，但是当网络中节点增多时，手工配置将非常困难，而且难以保证安全性。这时就要使用因特网密钥交换协议IKE自动地进行安全联盟的建立与密钥的交换。IKE协议是建立在由Internet安全联盟和密钥管理协议ISAKMP（Internet Security Association and Key Management Protocol）定义的框架上。它能够为IPSec提供自动协商交换密钥、建立安全联盟的服务，以简化IPSec的使用和管理。IKE具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。IKE的安全机制l DH（Diffie-Hellman）交换及密钥分发。Diffie-Hellman算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据，计算出共享的密钥。加密的前提是交换加密数据的双方必须要有共享的密钥。IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥。即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。l 完善的前向安全性PFS。指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。此特性是通过在IKE阶段2的协商中增加密钥交换来实现的。PFS是由DH算法保障的。l 身份验证。身份验证确认通信双方的身份。对于pre-shared key验证方法，验证字用来作为一个输入产生密钥，验证字不同是不可能在双方产生相同的密钥的。验证字是验证双方身份的关键。l 身份保护。身份数据在密钥产生之后加密传送，实现了对身份数据的保护。IKE的交换阶段IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟，如下。1. 通信各方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个ISAKMP安全联盟，即ISAKMP SA（也可称IKE SA）；2. 用已经建立的安全联盟（IKE SA）为IPSec协商安全服务，即为IPSec协商具体的安全联盟，建立IPSec SA，IPSec SA用于最终的IP数据安全传送。具体安全联盟的建立过程如下图所示。图6-1 安全联盟建立过程当一个报文从某接口外出时，如果此接口应用了IPSec，会进行安全策略的匹配。1. 如果找到匹配的安全策略，会查找相应的安全联盟。如果安全联盟还没有建立，则触发IKE进行协商。IKE首先建立阶段1的安全联盟，即IKE SA。2. 在阶段1安全联盟的保护下协商阶段2的安全联盟，即IPSec SA。3. 使用IPSec SA保护通讯数据。IKE的协商模式在RFC2409（The Internet Key Exchange）中规定，IKE第一阶段的协商可以采用两种模式：主模式（Main Mode）和野蛮模式（Aggressive Mode）。l 主模式被设计成将密钥交换信息与身份、验证信息相分离。这种分离保护了身份信息；交换的身份信息受已生成的Diffie-Hellman共享密钥的保护。但这增加了3条消息的开销。l 野蛮模式则允许同时传送与SA、密钥交换和验证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数，但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制，但可以满足某些特定的网络环境需求。例如：远程访问时，如果响应者（服务器端）无法预先知道发起者（终端用户）的地址、或者发起者的地址总在变化，而双方都希望采用预共享密钥验证方法来创建IKE SA，那么，不进行身份保护的野蛮模式就是唯一可行的交换方法；另外，如果发起者已知响应者的策略，或者对响应者的策略有全面的了解，采用野蛮模式能够更快地创建IKE SA。6.1.2 IPSec的NAT穿越NAT穿越（NAT Traversal）IPSec的一个主要应用是建立VPN，但在实际组网应用中，有一种情况会对部署IPSec VPN网络造成障碍：如果发起者位于一个私网内部，而它希望在自己与远端响应者之间直接建立一条IPSec隧道；这就涉及到IPSec与NAT的配合，主要问题在于，IKE在协商过程中如何发现两个端点之间存在NAT网关，以及如何使ESP报文正常穿越NAT网关。首先，建立IPSec隧道的两端需要进行NAT穿越能力协商，这是在IKE协商的前两个消息中进行的，通过Vendor ID载荷指明的一组数据来标识，该载荷数据的定义随所采用草案（draft）版本的不同而不同。而NAT网关发现是通过NAT-D载荷来实现的，该载荷用于两个目的：在IKE Peer之间发现NAT的存在；确定NAT设备在Peer的哪一侧。NAT侧的Peer作为发起者，需要定期发送NAT keepalive报文，以使NAT网关确保安全隧道处于激活状态。IPSec穿越NAT的处理IPSec穿越NAT，简单来说就是在原报文的IP头和ESP头（不考虑AH方式）间增加一个标准的UDP报头。这样，当ESP报文穿越NAT网关时，NAT对该报文的外层IP头和增加的UDP报头进行地址和端口号转换；转换后的报文到达IPSec隧道对端时，与普通IPSec处理方式相同，但在发送响应报文时也要在IP头和ESP头之间增加一个UDP报头。6.1.3 IKE在VRP上的实现VRP支持IKE的主模式和野蛮模式，并基于RFC2408、RFC2409实现，能够与大多数主流设备厂商互通。目前，如果VRP上的IPSec需要进行NAT穿越，则IKE第一阶段协商应采用野蛮模式，对端ID类型为对端名称，并在配置IPSec的安全提议时，安全协议采用ESP，还需要以隧道模式（tunnel）封装报文。VRP上IKE的实现步骤如下：1. 设置IKE交换过程中所使用的本地ID；2. 指定对端（IKE Peer）的一系列属性，包括：IKE协商模式、预共享密钥值、对端的IP地址或对端的名称、是否需要进行NAT穿越等，以保证IKE协商阶段的正确性；3. 创建IKE安全提议，以确定IKE交换过程中算法的强度，即安全保护的强度，包括：身份验证方法、加密算法、验证算法、DH组等。不同算法的强度不同，强度越高的算法，受保护数据越难被破解，但消耗的计算资源越多。一般来说，密钥越长的算法强度越高；4. 除以上基本步骤外，IKE还具有Keepalive机制，可以判断对端是否能够正常通讯，因此还可配置Keepalive的“interval”和“timeout”两个参数。当配置了IPSec的NAT穿越时，还可配置发送NAT更新报文的时间间隔。当上述IKE配置完毕后，需要在IPSec的安全策略视图下引用IKE Peer，以完成自动协商的IPSec的配置（IPSec引用IKE Peer已经在上一章中介绍）。6.2 配置IKE协商时的本地ID6.2.1 建立配置任务应用环境在采用野蛮模式进行IKE协商时，需要配置本地路由器ID。采用主模式时不需要。前置任务无数据准备在配置IKE协商时的本地ID之前，需准备以下数据。序号数据1确定本地路由器ID配置过程要完成配置IKE协商时的本地ID的任务，需要执行如下的配置过程。序号过程1配置IKE协商时的本地ID6.2.2 配置IKE协商时的本地ID在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike local-name router-name，配置IKE协商时的本地ID。-结束6.3 配置IKE安全提议6.3.1 建立配置任务应用环境在进行IKE协商时，需要配置IKE安全提议，此IKE安全提议将被用来建立安全通道。用户可以按照优先级创建多条IKE安全提议，但是协商双方必须至少有一条匹配的IKE安全提议才能协商成功。前置任务无数据准备在配置IKE安全提议之前，需准备以下数据。序号数据1确定IKE安全提议优先级2在DES、AES以及3DES中选择一种加密算法3在pre-shared key和rsa-encr中选择一种验证方法4在MD5和SHA中选择一种验证算法5在group1和group2即768比特和1024比特中选择一种Diffie-Hellman组标识6确定ISAKMP SA生存周期，取值范围60604800秒配置过程要完成配置IKE安全提议的任务，需要执行如下的配置过程。序号过程1创建IKE安全提议并进入IKE安全提议视图2选择加密算法3选择验证方法4选择验证算法5选择Diffie-Hellman组标识6配置ISAKMP SA生存周期7检查配置结果6.3.2 创建IKE安全提议并进入IKE安全提议视图在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike proposal priority-level，创建IKE安全提议并进入IKE安全提议视图。l 可以为进行IKE协商的每一端配置多条提议，在协商时将从优先级最高的提议开始匹配一条双方都相同的提议，匹配的原则是：协商双方具有相同的加密算法、验证算法、验证方法和Diffie-Hellman组标识。l 系统提供一条缺省的IKE安全提议，具有最低的优先级，此缺省提议具有缺省的加密算法、验证算法、Diffie-Hellman组标识、ISAKMP SA生存周期和验证方法。-结束6.3.3 选择加密算法在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike proposal priority-level，进入IKE安全提议视图。步骤 3 执行命令encryption-algorithm des-cbc | 3des-cbc | aes-cbc ，选择加密算法。目前可使用CBC模式的DES、AES以及3DES加密算法。-结束上述涉及AES的配置命令，只在NE16E、NE08E、NE05平台上提供，并由加密卡硬件提供相应功能。6.3.4 选择验证方法在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike proposal priority-level，进入IKE安全提议视图。步骤 3 执行命令authentication-method pre-share | rsa-encr ，选择验证方法。l 此配置任务指定一个IKE提议使用的验证方法。使用pre-shared key的验证方法时必须配置验证字。l 目前可使用pre-shared key和rsa-encr的验证方法。-结束上述涉及rsa-encr的配置命令，只在NE16E、NE08E、NE05平台上提供，并由加密卡硬件提供相应功能。6.3.5 选择验证算法在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike proposal priority-level，进入IKE安全提议视图。步骤 3 执行命令authentication-algorithm md5 | sha1 ，选择验证算法。缺省情况下使用SHA-1验证算法。-结束6.3.6 选择Diffie-Hellman组标识在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike proposal priority-level，进入IKE安全提议视图。步骤 3 执行命令dh group1 | group2 ，选择Diffie-Hellman组标识。缺省情况下指定为group1，即768-bit的Diffie-Hellman组。-结束6.3.7 配置ISAKMP SA生存周期在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike proposal priority-level，进入IKE安全提议视图。步骤 3 执行命令sa duration seconds，配置ISAKMP SA生存周期。l 如果duration时间超时，ISAKMP SA将自动更新。生存周期可以设定为60到604800秒之间的一个值。因为IKE协商需要进行DH计算，在低端路由器上需要经过较长的时间，为使ISAKMP SA的更新不影响安全通信，建议设置duration大于10分钟。l SA在设定的生存周期超时前会提前协商另一个SA来替换旧的SA。在新的SA还没有协商完之前，依然使用旧的SA；在新的SA建立后，将立即使用新的SA，而旧的SA在生存周期超时时被自动清除。l 缺省情况下，ISAKMP SA生存周期为86400秒（一天）。-结束6.3.8 检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令显示每个IKE提议配置的参数display ike proposal secp slot/card/port 6.4 配置IKE对端属性6.4.1 建立配置任务应用环境在进行IKE协商时，需要配置IKE对端属性。前置任务在配置IKE对端属性之前，需完成以下任务。l 已经配置IKE安全提议。l 在采用野蛮模式时，已经配置IKE协商时的本地ID。l 在VPN实例与安全联盟关联之前，需要配置VPN实例、配置VPN实例的路由相关属性、配置VPN实例的隧道策略、配置PE-CE间的路由、配置PE-PE间的路由交换。数据准备在配置IKE对端属性之前，需准备以下数据。序号数据1确定IKE对端的名称2确定IKE协商模式是主模式还是野蛮模式3确定IKE安全提议的编号，是1到100之间的任意一个整数4确定本地ID类型是IP地址形式还是名称5确定是否有NAT设备需要IPSec穿越6确定作为验证字的字符串，长度为11277确定对端IP地址，点分十进制格式8确定对端所属的VPN实例名称9确定对端名称，字符串形式，长度为115配置过程要完成配置IKE对端属性的任务，需要执行如下的配置过程。序号过程1创建IKE Peer并进入IKE Peer视图 2配置IKE协商模式3配置IKE安全提议4配置本地ID类型5配置IPSec的NAT穿越6配置身份验证字7配置对端IP地址或地址段8配置对端名称9配置VPN实例与安全联盟关联的MPLS VPN接入10检查配置结果6.4.2 创建IKE Peer并进入IKE Peer视图在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，创建IKE Peer并进入IKE Peer视图。-结束6.4.3 配置IKE协商模式在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令exchange-mode main | aggressive ，配置IKE协商模式。缺省情况下，采用主模式进行IKE协商。-结束6.4.4 配置IKE安全提议在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令ike-proposal proposal-number，配置IKE安全提议。缺省情况下，对于野蛮模式将采用第一个ike提议进行协商，对于主模式将采用本端已配置的所有提议进行协商。-结束6.4.5 配置本地ID类型在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令local-id-type ip | name ，配置本地ID类型。当进行IKE交换时，可以使用IP地址作为ID，也可以使用名称作为ID。缺省情况下，IKE采用的ID类型为IP地址形式。当IKE协商模式为野蛮模式时，本地ID类型必须name；当IKE协商模式为主模式时，可以不配置本地ID，但是，本地类型不能为name。-结束6.4.6 配置IPSec的NAT穿越在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令nat traversal，使能IPSec的NAT穿越。缺省情况下，禁止NAT穿越功能。-结束6.4.7 配置身份验证字在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令pre-shared-key key，配置身份验证字。目前VRP软件仅提供Pre-shared key验证方法，有关验证方法的配置请见后文。如果选择了Pre-shared key验证方法，需要为每个对端配置预共享密钥。建立安全连接的两个对端的预共享密钥必须一致。-结束6.4.8 配置对端IP地址或地址段在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令remote-address vpn-instance vpn-instance low-ip-address high-ip-address ，配置对端IP地址或地址段。-结束上述涉及配置地址段时，此IKE Peer只能被IPSec的策略模板引用。6.4.9 配置对端名称在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令remote-name name，配置对端名称。-结束6.4.10 配置VPN实例与安全联盟关联的MPLS VPN接入在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike peer peer-name，进入IKE Peer视图。步骤 3 执行命令sa binding vpn-instance vpn-instance，配置IPSec隧道绑定的VPN实例。-结束此命令也可运用于MPLS VPN网络中。在MPLS VPN网络中，PE设备上连接CE的接口应与VPN实例进行关联，此时如果再在该接口上应用IPSec策略，就需要通过本命令指明关联的VPN实例。6.4.11 检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看IKE Peer的配置情况display ike peer name peer-name secp slot/card/port 6.5 配置IKE的微调6.5.1 建立配置任务应用环境l IKE通过配置Keepalive报文发送时间间隔来维护ISAKMP SA的链路状态。如果对端配置了超时时间，则必须在本端配置此Keepalive报文发送时间间隔。当对端在配置的超时时间内未收到此Keepalive报文时，如果该ISAKMP SA带有TIMEOUT标记，则删除该ISAKMP SA以及由其协商的IPSec SA；否则，将其标记为TIMEOUT。所以在配置时需使配置的超时时间比Keepalive报文发送时间长。l 在一台路由器上应该同时配置以上两个参数，并且参数要匹配。l interval和timeout要成对出现，即在一个路由器上配置了timeout参数，那么在对端就要配置interval参数。l interval的参数应该小于对端的timeout参数值，而不应该与本端进行比较。l 配置一个ISAKMP SA发送NAT更新报文的时间间隔。NAT侧的Peer作为发起者定期发送NAT-Keepalive报文，以确保安全隧道处于激活状态。前置任务在配置IKE的微调之前，需完成以下任务。l 配置IKE协商时的本地IDl 配置IKE安全提议l 配置IKE对端属性数据准备在配置IKE的微调之前，需准备以下数据。序号数据1确定发送Keepalive报文的时间间隔2确定等待Keepalive报文的超时时间3确定发送NAT更新报文的时间间隔配置过程要完成配置IKE的微调的任务，需要执行如下的配置过程。序号过程1配置发送Keepalive报文的时间间隔2配置等待Keepalive报文的超时时间3配置发送NAT更新报文的时间间隔6.5.2 配置发送Keepalive报文的时间间隔在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike sa keepalive-timer interval seconds，配置ISAKMP SA向对端发送Keepalive报文的时间间隔。缺省情况下，此功能无效。-结束6.5.3 配置等待Keepalive报文的超时时间在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike sa keepalive-timer timeout seconds，配置ISAKMP SA等待Keepalive报文的超时时间。l 在网络上一般不会出现超过连续三次的报文丢失，所以超时时间可以采用对端配置的Keepalive报文发送时间间隔的三倍。l 缺省情况下，此功能无效-结束6.5.4 配置发送NAT更新报文的时间间隔在路由器上进行如下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ike sa nat-keepalive-timer interval seconds，配置ISAKMP SA发送NAT更新报文的时间间隔。缺省情况下，在使用IPSec NAT穿越功能时，ISAKMP SA每隔20秒发送一次NAT更新报文。-结束6.6 维护本节包含如下的内容。l 显示l 清除l 调试本节介绍的配置命令中，所有涉及到加密卡接口的可选参数，都只在NE16E、NE08E、NE05平台上提供，并由加密卡硬件完成相关功能。6.6.1 显示需要查看当前已经建立的安全通道时，可在所有视图下进行以下操作。操作命令显示当前已建立的安全通道display ike sa6.6.2 清除删除安全通道会导致网络传输不能处在安全保护之下。务必仔细确认是否必须执行删除安全通道的操作。如果需要清除已经建立的安全通道，可在用户视图下选择执行以下命令。操作命令清除当前已建立的安全通道reset ike sa connection-id 在删除指定的安全通道时，需要指定SA的connection-id。通过命令display ike sa可以显示目前的安全联盟的connection-id信息。针对同一个安全通道（即相同的对端），分别有阶段1的信息和阶段2的信息。删除本地的安全联盟时，如果阶段1的ISAKMP SA还存在，将在此安全联盟的保护下向对端发送删除消息，通知对方清除安全联盟数据库。如果未指定connection-id，所有的阶段1的SA都会被删除。安全通道与安全联盟是完全不同的两个概念，安全通道是一个两端可以互通的通道，而安全联盟则是一个单向的连接。6.6.3 调试打开调试开关将影响系统的性能。调试完毕后，应及时执行undo debugging all命令关闭调试开关。在出现IKE运行故障时，请在用户视图下执行下表中的debugging命令对IKE进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见VRP 配置指南-系统管理中“维护与调试”的内容。有关debugging命令的解释请参见VRP 命令参考。操作命令打开IKE的调试信息开关debugging ike all | error | exchange | message | misc | transport 6.7 采用IKE协商方式建立安全联盟举例组网需求如图6-2所示，在Router A和Router B之间建立一个安全隧道，对PC A代表的子网（10.1.1.x）与PC B代表的子网（10.1.2.x）之间的数据流进行安全保护。安全协议采用ESP协议，加密算法采用DES，认证算法采用SHA1。图6-2 IPSec配置组网图配置思路1. 配置IKE协商时需要的本机ID和IKE Peer。2. 配置ACL，以定义要保护的数据流。配置安全提议。3. 配置安全策略，并引用ACL和安全提议。4. 在接口上引用安全策略。配置步骤步骤 1 配置Router A和Router B的本机ID和IKE Peer。#配置Router A进行IKE协商时需要的本机ID和IKE Peer。RouterA ike local-name huawei01RouterA ike peer routerbRouterA-ike-peer-routerb exchange-mode aggressiveRouterA-ike-peer-routerb local-id-type nameRouterA-ike-peer-routerb pre-shared-key huaweiRouterA-ike-peer-routerb remote-name huawei02RouterA-ike-peer-routerb remote-address 202.38.162.1RouterA-ike-peer-routerb quit野蛮模式中对于发起协商端需要增加remote-adress x.x.x.x的配置。#配置Router B进行IKE协商时需要的本机ID和IKE Peer。RouterB ike local-name huawei02RouterB ike peer routeraRouterB-ike-peer-routera exchange-mode aggressiveRouterB-ike-peer-routera local-id-type nameRouterB-ike-peer-routera pre-shared-key huaweiRouterB-ike-peer-routera remote-name huawei01RouterB-ike-peer-routera remote-address 202.38.163.1RouterB-ike-peer-routera quit此时分别RouterA和RouterB上执行display ike peer会显示所配置的信息，以RouterA为例。RouterA display ike peer- IKE Peer: routerb exchange mode: aggressive on phase 1 pre-shared-key: huawei proposal: local id type: name peer ip address: 202.38.162.1 peer name: huawei02 nat traversal: disable- 步骤 2 配置Router A和Router B的访问控制列表，定义各自要保护的数据流。#配置Router A的访问控制列表。RouterA acl number 3101RouterA-acl-adv-3101 rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255RouterA-acl-adv-3101 quit#配置Router B的访问控制列表。RouterB acl number 3101RouterB-acl-adv-3101 rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255RouterB-acl-adv-3101 quit步骤 3 分别配置Router A和Router B到对端的静态路由。#配置Router A到目的端的静态路由。RouterA ip route-static 10.1.2.0 255.255.255.0 202.38.162.1#配置Router B到目的端的静态路由。RouterB ip route-static 10.1.1.0 255.255.255.0 202.38.163.1步骤 4 分别在Router A和RouterB上创建安全提议。#在RouterA上配置安全提议。RouterA ipsec proposal tran1RouterA-ipsec-proposal-tran1 encapsulation-mode tunnelRouterA-ipsec-proposal-tran1 transform espRouterA-ipsec-proposal-tran1 esp encryption-algorithm desRouterA-ipsec-proposal-tran1 esp authentication-algorithm sha1RouterA-ipsec-proposal-tran1 quit#在RouterB上配置安全提议。RouterB ipsec proposal tran1RouterB-ipsec-proposal-tran1 encapsulation-mode tunnelRouterB-ipsec-proposal-tran1 transform espRouterB-ipsec-proposal-tran1 esp encryption-algorithm desRouterB-ipsec-proposal-tran1 esp authentication-algorithm sha1RouterB-ipsec-proposal-tran1 quit此时分别RouterA和RouterB上执行display ipsec proposal 会显示所配置的信息，以RouterA为例。RouterA display ipsec proposal IPsec proposal name: tran1 encapsulation mode: tunnel transform: esp-new ESP protocol: authentication sha1-hmac-96, encryption des步骤 5 分别在Router A和RouterB上创建安全策略。#在RouterA上配置安全策略。Quidway ipsec policy map1 10 isakmpQuidway-ipsec-policy-isakmp-map1-10 ike-peer routerbQuidway-ipsec-policy-isakmp-map1-10 proposal tran1Quidway-ipsec-policy-isakmp-map1-10 security acl 3101Quidway-ipsec-policy-isakmp-map1-10 quit#在RouterB上配置安全策略。Quidway ipsec policy use1 10 isakmpQuidway-ipsec-policy-isakmp-use1-10 ike-peer routeraQuidway-ipsec-policy-isakmp-use1-10 proposal tran1Quidway-ipsec-policy-isakmp-use1-10 security acl 3101Quidway-ipsec-policy-isakmp-use1-10 quit此时分别RouterA和RouterB上执行display ipsec policy 会显示所配置的信息，以RouterA为例。RouterA display ipsec policy=IPsec Policy Group: map1Using local-address: Using interface: =- IPsec policy name: map1 sequence number: 10 mode: isakmp - security data flow : 3101 ike-peer name: routerb perfect forward secrecy: None proposal name: tran1 IPsec sa local duration(time based): 3600 seconds IPsec sa local duration(traffic based): 1843200 kilobytes步骤 6 分别在Router A和RouterB的接口上引用各自的安全策略组。#在RouterA的接口上引用安全策略组。RouterA interface Pos1/0/1RouterA-Pos1/0/1 ip address 202.38.163.1 255.255.255.0RouterA-Pos1/0/1 ipsec policy map1Quidway-Pos1/0/1 quit#在RouterB的接口上引用安全策略组。RouterB interface Pos2/0/1RouterB-Pos2/0/1 ip address 202.38.162.1 255.255.255.0RouterB-Pos2/0/1 ipsec policy use1Quidway-Pos2/0/1 quit此时分别RouterA和RouterB上执行display ipsec sa会显示所配置的信息，以RouterA为例。RouterA display ipsec sa=Interface: pos1/0/1 path MTU: 1500= - IPsec policy name: map1 sequence number: 10 mode: manual - encapsulation mode: tunnel tunnel local : 202.38.163.1