华为防火墙配IPSEC

8 配置IPSec. 8-18.1 简介. 8-28.1.1 IPSec概述. 8-28.1.2 基于证书认证机制的IPSec. 8-28.2 配置Manual方式协商的IPSec隧道. 8-38.2.1 建立配置任务. 8-38.2.2 创建需要保护的数据流. 8-58.2.3 配置IPSec安全提议. 8-58.2.4 配置IPSec安全策略. 8-68.2.5 引用IPSec安全策略. 8-88.2.6 检查配置结果. 8-88.3 配置IKE方式协商的IPSec隧道. 8-98.3.1 建立配置任务. 8-98.3.2 创建需要保护的数据流. 8-108.3.3 配置IPSec安全提议. 8-118.3.4 配置IKE安全提议. 8-118.3.5 配置IKE Peer 8-128.3.6 配置IPSec安全策略模板. 8-148.3.7 配置IPSec安全策略. 8-158.3.8 引用IPSec安全策略. 8-168.3.9 检查配置结果. 8-168.4 配置证书申请. 8-178.4.1 建立配置任务. 8-178.4.2 配置实体名称. 8-188.4.3 创建本地公私密钥对. 8-198.4.4 配置证书申请受理机构. 8-198.4.5 获取CA证书. 8-208.4.6 申请本地证书. 8-208.4.7 （可选）获取CRL. 8-218.4.8 检查配置结果. 8-218.5 配置证书验证功能. 8-228.5.1 建立配置任务. 8-228.5.2 配置CRL更新周期. 8-228.5.3 配置是否检查CRL. 8-238.5.4 配置证书验证. 8-238.5.5 检查配置结果. 8-238.6 维护. 8-238.6.1 查看IPSec处理报文的统计信息. 8-238.6.2 调试IPSec. 8-248.6.3 调试IKE. 8-248.6.4 删除IKE SA. 8-248.6.5 删除SA. 8-258.6.6 清除IPSec统计报文. 8-258.6.7 维护低速加密卡. 8-258.6.8 维护CA. 8-268.7 配置举例. 8-278.7.1 配置采用Manual方式建立SA示例. 8-278.7.2 配置采用IKE方式建立SA示例（预共享密钥）. 8-348.7.3 配置采用IKE方式建立SA示例（RSA签名）. 8-418.7.4 配置使用SCEP方式申请证书示例. 8-49插图目录图8-1 采用Manual方式建立SA配置示例组网图. 8-28图8-2 采用IKE方式建立SA配置示例组网图（预共享密钥）. 8-35图8-3 采用IKE方式建立SA配置示例组网图（RSA签名）. 8-42图8-4 使用SCEP方式申请证书配置示例组网图. 8-498 配置IPSec关于本章本章描述内容如下表所示。标题内容8.1 简介介绍IPSec协议和证书认证机制。8.2 配置Manual方式协商的IPSec隧道介绍采用Manual方式协商的IPSec隧道的配置方法。配置举例：配置采用Manual方式建立SA示例8.3 配置IKE方式协商的IPSec隧道介绍采用IKE方式协商的IPSec隧道的配置方法。配置举例1：配置采用IKE方式建立SA示例（预共享密钥）配置举例2：配置采用IKE方式建立SA示例（RSA签名）8.4 配置证书申请介绍申请CA证书、本地证书和CRL的方法。配置举例：配置使用SCEP方式申请证书示例8.5 配置证书验证功能介绍验证证书有效性的方法。8.6 维护介绍IPSec的维护方法。8.7 配置举例介绍IPSec的组网举例及配置方法。8.1 简介8.1.1 IPSec概述IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP报文提供了基于密码学的、可互操作的、高质量的安全保护机制。特定的通信双方在IP层通过加密与数据源验证等方式，保证报文在网络中传输时的私有性、完整性、真实性，并有效防御重放攻击。IPSec对报文的保护通过AH（Authentication Header）和ESP（Encapsulating Security Payload）两种安全协议实现。各协议的功能简单介绍如下：l AH协议主要提供的功能有数据源验证、数据完整性校验和防御报文重放攻击，但不能对需要保护的报文进行加密。l ESP协议除提供AH协议的所有功能外，还可提供对IP报文的加密功能。与AH协议不同的是，其数据完整性校验不包括IP报文头。ESP协议允许对报文同时进行加密和验证，或只加密，或只验证。为简化IPSec的使用和管理，除了可以手动建立安全联盟SA（Security Association）外，还可以通过IKE（Internet Key Exchange）进行自动协商交换密钥、建立和维护SA。IKE协议用于自动协商AH和ESP所使用的密码算法，并将算法所需的必备密钥放到恰当位置。Eudemon除可以通过软件进行SA协商外，还能通过IPSec加密卡进行协商。有关加密卡的相关介绍，请参见Quidway Eudemon 200 防火墙 安装指南。8.1.2 基于证书认证机制的IPSecEudemon提供基于公钥基础设施PKI（Public Key Infrastructure）框架的证书认证机制，支持证书的申请、存储和验证，但不提供生成证书功能。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。它是一套软硬件系统和安全策略的集合，提供了一整套安全机制。PKI采用证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其他标识信息捆绑在一起，实现在网上验证用户身份功能。PKI为用户建立起一个安全的网络运行环境，用户可以在多种应用环境下方便地使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中，不能被非授权者查看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指数据不能被否认。不采用证书机制的IPSec情况下，进行网络扩容时，每新增一台设备，都需要修改其余设备的配置。操作繁琐，且易出错。证书机制可以为IPSec网络提供集中的密钥管理机制，并增强整个IPSec网络的伸缩性。在采用证书机制的IPSec网络中，每台设备都拥有CA（Certification Authority）颁发的证书，当设备之间进行通讯时，只要通过交换证书就可以确认对方的身份（因为所有的设备都信任CA，所以对CA颁发的证书都信任），并获得对方的公钥（从对方的证书中获取）。这样当有新设备加入时，只需要为新增加的设备申请一个证书，就可以与其他设备进行通讯，而不需要修改其他设备的配置。在实际应用中，证书分为两种：l CA证书是颁发机构本身的证书，用于验证CA颁发的本地证书和CRL（Certificate Revocation List）的有效性。l 本地证书由CA颁发，在IPSec设备通信时使用。证书绑定了名字和本地公钥，如同网络身份证。在获取本地证书前，需要首先获取CA证书。8.2 配置Manual方式协商的IPSec隧道8.2.1 建立配置任务应用环境考虑到安全性，数据流往往需要认证。在一些安全性要求较高的场合，数据流可能既需要认证又需要加密，此时需要在IPSec服务发起端和终结端的Eudemon设备上配置IPSec功能。当与Eudemon进行通信的对等体设备数量较少时，或是在小型静态环境中，可以选择Manual方式协商IPSec隧道。前置任务在配置IPSec前，需要完成以下任务：l 配置Eudemon的工作模式l 配置接口的IP地址l 配置接口加入安全区域只有Eudemon工作于路由模式才可以配置IPSec。数据准备在配置IPSec前，需要准备以下数据。序号数据1高级ACL的相关参数2安全提议的名称3使用的安全协议4AH协议的验证算法5ESP协议的验证算法6ESP协议的加密算法7报文的封装形式8安全策略的名称和顺序号9SA的建立方式10隧道本端的IP地址（仅用于手工协商方式）11隧道对端的IP地址12AH协议入方向和出方向的SPI（Security Parameters Index）13ESP协议入方向和出方向的SPI14AH协议入方向和出方向的验证密钥（以字符串方式输入）15ESP协议入方向和出方向的验证密钥（以字符串形式输入）16AH协议入方向和出方向的验证密钥（以16进制方式输入）17ESP协议入方向和出方向的验证密钥（以16进制方式输入）18ESP协议入方向和出方向的加密密钥（以16进制方式输入）19接口类型和接口编号配置过程要完成IPSec的配置，需要按照以下过程配置。序号过程1创建需要保护的数据流2配置IPSec安全提议3配置IPSec安全策略4引用IPSec安全策略5检查配置结果8.2.2 创建需要保护的数据流IPSec能够对不同的数据流进行安全保护。在实际应用中，需要首先通过ACL定义数据流，再在安全策略中引用该ACL，从而起到保护该数据流的作用。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令acl number acl-number match-order config | auto ，创建高级ACL，并进入相应视图。 步骤 3 执行命令rule rule-id permit | deny protocol source source-address source-wildcard | address-set address-set-name | any | destination destination-address destination-wildcard | address-set address-set-name | any | source-port operator port | range port1 port2 | port-set port-set-name | destination-port operator port | range port1 port2 | port-set port-set-name | icmp-type icmp-type icmp-code | icmp-message | precedence precedence | tos tos | time-range time-name | logging *，配置ACL规则。-结束配置时请注意：l 需要精确配置ACL。 建议只对确实需要IPSec保护的数据流进行保护，即在配置ACL规则时，严格配置需要保护的数据流的动作关键字为permit。 建议避免盲目使用关键字any，否则，数据流定义范围过大，会对不需要加密的普通数据流也进行加密。当被加密的数据流到达没有配置IPSec的网关设备时，会因网关无法识别加密数据而被丢弃。l 对于有不同安全保护要求的数据流，需要创建不同的ACL和相应的安全策略。l 隧道两端的设备，ACL需要镜像配置。8.2.3 配置IPSec安全提议隧道两端的设备，安全协议、验证算法、加密算法、报文封装格式需要配置相同，否则不能成功建立SA。IPSec安全提议（Proposal）用于指定IPSec所采取的一系列措施，包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令ipsec proposal proposal-name，创建安全提议并进入安全提议视图。Eudemon最多支持50个安全提议。 步骤 3 执行命令transform ah | ah-esp | esp ，选择安全协议。 步骤 4 根据transform命令配置的安全协议，配置验证算法和加密算法。l 如果transform命令配置为ah或ah-esp，则配置AH协议采用的验证算法，执行命令ah authentication-algorithm md5 | sha1 。l 如果transform命令配置为esp或ah-esp，则配置ESP协议采用的验证和加密算法。 执行命令esp authentication-algorithm md5 | sha1 ，配置ESP验证算法。 执行命令esp encryption-algorithm 3des | des | aes 128 | 192 | 256 ，配置ESP加密算法。 步骤 5 执行命令encapsulation-mode tunnel，指定报文封装形式。-结束8.2.4 配置IPSec安全策略隧道两端的设备，SA参数SPI、string-key、authentication-hex和encryption-hex需要镜像配置，否则不能正确建立隧道。IPSec安全策略规定了对什么样的数据流采用什么样的安全提议。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令ipsec policy policy-name seq-number manual，创建安全策略。一个安全策略组最多支持配置512条安全策略，所有安全策略的总数也不能超过512。用户购买了支持多少条隧道数的License，就支持创建多少条隧道，也就是如果创建了超出License限制数目的安全策略是不起作用的。 步骤 3 执行命令proposal proposal-name，在安全策略中引用安全提议。 步骤 4 执行命令security acl acl-number，在安全策略中引用访问控制列表。一条安全策略只能引用一条ACL。如果配置安全策略引用了多条ACL，最后配置的ACL生效。 步骤 5 执行命令tunnel local ip-address，配置隧道的起点。tunnel local命令中的IP地址只能是应用IPSec的接口地址。 步骤 6 执行命令tunnel remote ip-address，配置隧道的终点。l 在配置SA时，需要分别设置inbound和outbound两个方向的SA的参数。l 只需配置IPSec安全提议使用的协议的相应配置。如：配置IPSec安全提议时使用transform ah选择了ah安全协议，则配置SA参数时只需配ah一套参数，不需配esp的参数。l sa spi命令需要与sa string-key或sa authentication-hex或sa encryption-hex共同使用，才能成功创建手工IPSec隧道。l 先配置sa string-key命令后，则无法再配置sa authentication-hex或sa encryption-hex命令，后配置的会覆盖sa string-key命令的配置；相反，先配置sa authentication-hex或sa encryption-hex再配置sa string-key，前面两条命令的配置都会被sa string-key命令的配置覆盖。l sa authentication-hex和sa encryption-hex两条命令的配置相互没有影响。 步骤 7 执行命令sa spi inbound ah spi-number，配置采用AH协议的入方向SA的SPI。 步骤 8 执行命令sa spi outbound ah spi-number，配置采用AH协议的出方向SA的SPI。 步骤 9 执行命令sa spi inbound esp spi-number，配置采用ESP协议的入方向SA的SPI。 步骤 10 执行命令sa spi outbound esp spi-number，配置采用ESP协议的出方向SA的SPI。l 如果分别以两种方式输入了密钥，则最后设定的密钥有效。l 在安全隧道的两端，应当以相同的方式输入密钥。如果一端以字符串方式输入密钥，另一端以16进制方式输入密钥，则不能正确地建立安全隧道。 步骤 11 执行命令sa string-key inbound ah string-key，配置采用AH协议的入方向SA的验证密钥（以字符串方式输入）。 步骤 12 执行命令sa string-key outbound ah string-key，配置采用AH协议的出方向SA的验证密钥（以字符串方式输入）。 步骤 13 执行命令sa string-key inbound esp string-key，配置采用ESP协议的入方向SA的验证密钥（以字符串方式输入）。 步骤 14 执行命令sa string-key outbound esp string-key，配置采用ESP协议的出方向SA的验证密钥（以字符串方式输入）。 步骤 15 执行命令sa authentication-hex inbound ah hex-key，配置采用AH协议的入方向SA的验证密钥（以16进制方式输入）。 步骤 16 执行命令sa authentication-hex outbound ah hex-key，配置采用AH协议的出方向SA的验证密钥（以16进制方式输入）。 步骤 17 执行命令sa authentication-hex inbound esp hex-key，配置采用ESP协议的入方向SA的验证密钥（以16进制方式输入）。 步骤 18 执行命令sa authentication-hex outbound esp hex-key，配置采用ESP协议的出方向SA的验证密钥（以16进制方式输入）。 步骤 19 执行命令sa encryption-hex inbound esp hex-key，配置采用ESP协议的入方向SA的加密密钥（以16进制方式输入）。 步骤 20 执行命令sa encryption-hex outbound esp hex-key，配置采用ESP协议的出方向SA的加密密钥（以16进制方式输入）。-结束8.2.5 引用IPSec安全策略在指定接口上引用IPSec安全策略，从而对经过此接口且符合ACL的报文应用IPSec保护。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令interface interface-type interface-number，进入接口视图。 步骤 3 执行命令undo ip fast-forwarding qff，关闭接口的快速转发功能。 步骤 4 执行命令ipsec policy policy-name，在接口上应用安全策略。-结束一个接口只能应用一个安全策略组，一个安全策略组可以应用到多个接口上。但Manual方式配置的安全策略只能应用到一个接口。如果所应用的安全策略是Manual方式建立SA，会立即生成SA。如果所应用的安全策略是IKE方式建立SA，需要经过IKE协商才会生成SA。Eudemon实现的IPSec安全策略除可以应用到串口、以太网口等实际物理接口外，还能应用到Tunnel、Virtual Template、Dialer等虚拟接口。此时即可根据实际组网需求，在如L2TP等隧道上应用IPSec。8.2.6 检查配置结果可以在所有视图下执行以下命令检查配置结果。操作命令查看SA的相关信息display ipsec sa brief | remote ip-address | policy policy-name seq-number | duration 查看安全提议的信息display ipsec proposal name proposal-name 查看安全策略的信息display ipsec policy brief | name policy-name seq-number 8.3 配置IKE方式协商的IPSec隧道8.3.1 建立配置任务应用环境考虑到安全性，数据流往往需要认证。在一些安全性要求较高的场合，数据流可能既需要认证又需要加密，此时需要在IPSec服务发起端和终结端的Eudemon设备上配置IPSec功能。对于中、大型的动态网络环境，推荐使用IKE方式协商IPSec隧道。IKE协商支持预共享密钥（pre-share）、RSA签名（rsa-sig）和RSA加密NONCE（rsa-encr）3种身份验证方式。其中，RSA签名方式需要预先申请证书，申请过程请参见“8.4 配置证书申请”。前置任务在配置IPSec前，需要完成以下任务：l 配置Eudemon的工作模式l 配置接口的IP地址l 配置接口加入安全区域l 配置需要协商的两台Eudemon获取CA证书、本地证书和CRL（RSA签名方式）l 只有Eudemon工作于路由模式才可以配置IPSec。l 使用证书的验证要求所有证书和CRL都已经导入到内存。并且都使用同一个CA中心。l 需要协商的两台Eudemon之间通信正常。数据准备在配置IPSec前，需要准备以下数据。序号数据1高级ACL的相关参数2安全提议的名称3使用的安全协议4AH协议的验证算法5ESP协议的验证算法6ESP协议的加密算法7报文的封装形式8安全策略的名称和顺序号9SA的建立方式10隧道对端的IP地址11接口类型和接口编号12CA证书、本地证书和CRL（RSA签名方式）配置过程要完成IPSec的配置，需要按照以下过程配置。序号过程1创建需要保护的数据流2配置IPSec安全提议3配置IKE安全提议4配置IKE Peer5配置IPSec安全策略模板6配置IPSec安全策略7引用IPSec安全策略8检查配置结果8.3.2 创建需要保护的数据流IPSec能够对不同的数据流进行安全保护。在实际应用中，需要首先通过ACL定义数据流，再在安全策略中引用该ACL，从而起到保护该数据流的作用。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令acl number acl-number match-order config | auto ，创建高级ACL，并进入相应视图。 步骤 3 执行命令rule rule-id permit | deny protocol source source-address source-wildcard | address-set address-set-name | any | destination destination-address destination-wildcard | address-set address-set-name | any | source-port operator port | range port1 port2 | port-set port-set-name | destination-port operator port | range port1 port2 | port-set port-set-name | icmp-type icmp-type icmp-code | icmp-message | precedence precedence | tos tos | time-range time-name | logging *，配置ACL规则。-结束8.3.3 配置IPSec安全提议IPSec安全提议（Proposal）用于指定IPSec所采取的一系列措施，包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令ipsec proposal proposal-name，创建安全提议并进入安全提议视图。 步骤 3 执行命令transform ah | ah-esp | esp ，选择安全协议。在配置NAT穿越的情况下，必须选择ESP协议。 步骤 4 根据transform命令配置的安全协议，配置验证算法和加密算法。l 如果transform命令配置为ah或ah-esp，则配置AH协议采用的验证算法，执行命令ah authentication-algorithm md5 | sha1 。l 如果transform命令配置为esp或ah-esp，则配置ESP协议采用的验证和加密算法。 执行命令esp authentication-algorithm md5 | sha1 ，配置ESP验证算法。 执行命令esp encryption-algorithm 3des | des | aes 128 | 192 | 256 ，配置ESP加密算法。 步骤 5 执行命令encapsulation-mode tunnel，选择报文封装形式。-结束8.3.4 配置IKE安全提议IKE安全提议用来协商建立安全通道，协商参数包括验证方式、加密算法、验证算法、Diffie-Hellman组标识和SA生存周期。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令ike proposal proposal-number，创建IKE安全提议并进入IKE安全提议视图。可以按照优先级创建多条IKE提议，但是协商双方必须至少有一条匹配的IKE提议才能协商成功。 步骤 3 执行命令encryption-algorithm des-cbc | 3des-cbc | aes-cbc ，选择加密算法。 步骤 4 执行命令authentication-method pre-share| rsa-encr | rsa-sig ，配置身份验证方式。l pre-share方式：需要为对端配置预共享密钥。建立安全连接的两端的预共享密钥必须一致。l rsa-encr方式：需要配置每个对端的RSA公钥。l rsa-sig方式：需要配置本地证书。 步骤 5 执行命令authentication-algorithm md5 | sha1 ，选择验证算法。 步骤 6 执行命令dh group1 | group2 | group5 ，选择Diffie-Hellman组标识。 步骤 7 执行命令sa duration interval，配置SA生存周期（单位：分钟）。如果duration时间超时，ISAKMP SA将自动更新。因为IKE协商需要进行DH计算，在Eudemon上需要经过较长的时间，为使ISAKMP SA的更新不影响安全通信，建议配置duration大于10分钟。-结束8.3.5 配置IKE PeerIKE Peer，即IKE对等体。配置IKE Peer的一系列属性，包括IKE协商模式、预共享密钥、证书、对端地址以及是否需要进行NAT穿越等，以保证IKE协商阶段的正确性。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 （可选）执行命令ipsec sa global-duration time-based interval | traffic-based kilobytes ，配置全局的SA生存周期。生存周期只对通过isakmp方式建立的SA有效，对通过Manual方式建立的SA没有生存周期的限制，即手工建立的SA永远不会失效。 步骤 3 （可选）执行命令ike local-name local-name，配置IKE协商时的本机ID。如果配置了本机ID，那么对端在IKE Peer视图中执行remote-name name命令配置的对端名称必须与此保持一致。 步骤 4 （可选）执行命令ike sa keepalive-timer interval interval，配置发送Keepalive报文的时间间隔（单位：秒）。 步骤 5 （可选）执行命令ike sa keepalive-timer timeout interval，配置等待Keepalive报文的超时时间（单位：秒）。通过Keepalive机制，可以判断是否能与对端正常通讯。interval和timeout两个参数要成对出现，即在一个Eudemon上配置了timeout参数，那么就要在对端配置interval参数。当配置timeout的Eudemon在超时时间内未收到对端的Keepalive报文时，如果该ISAKMP SA带有TIMEOUT标记，则删除该ISAKMP SA以及由其协商的IPSec SA；否则，将其标记为TIMEOUT。 步骤 6 （可选）执行命令ike sa nat-keepalive-timer interval interval，配置发送NAT更新报文的时间间隔（单位：秒）。interval的缺省值是20秒。 步骤 7 执行命令ike peer peer-name，创建IKE Peer并进入IKE Peer视图。 步骤 8 执行命令exchange-mode main | aggressive ，配置IKE协商模式。如果要使用RSA加密NONCE（rsa-encr）验证方式，此处必须配置为主（main）模式。被IPSec安全策略模板引用的IKE Peer必须使用野蛮模式（aggressive），也就是通过安全策略模板配置安全策略时，不支持使用RSA加密NONCE（rsa-encr）验证方式。 步骤 9 执行命令ike-proposal proposal-number，引用已经配置的IKE安全提议。 步骤 10 执行命令local-id-type ip | name | user-name ，配置IKE Peer的ID类型。在野蛮模式（aggressive）下可以配置对端IP地址与对端名称，主模式（main）下只能配置对端IP地址。 步骤 11 （可选）执行命令nat traversal，配置是否需要进行NAT穿越。IPSec与NAT配合使用时需要配置NAT穿越。 步骤 12 （可选）执行命令local-address ip-address，配置IKE协商的本端IP地址。在IPSec和HRP联合组网或使用子接口、虚拟模板接口配置IPSec时，必须在IKE Peer视图下执行命令local-address ip-address，配置IPSec协商报文发起的IP地址。 步骤 13 执行命令remote-address authentication-address low-ip-address high-ip-address ，配置对端的IP地址。l 采用RSA签名验证方式时，如果对端证书中包含实体的IP地址，那么这里配置的对端IP地址必须和证书中的实体IP地址一致。l 如果对端本身已经通过local-address ip-address命令指定了IP地址，那么这里配置的对端IP地址必须和ip-address一致。l 配置基于IP认证的NAT穿越时需要指定authentication-address关键字。IP地址是NAT转换前的对端IP地址。若对端地址配置为地址段，此IKE Peer只能被IPSec的策略模板引用。 步骤 14 执行命令remote-name name，配置对端名称（只在野蛮模式下且使用名字认证时使用）。 步骤 15 执行命令pre-shared-key key-string，为对端配置预共享的密钥（pre-share方式）。 步骤 16 执行命令certificate local-filename | peer-filename cert-name，配置本地证书和对端证书（rsa-sig方式）。 步骤 17 配置RSA对端IP地址和公钥（rsa-encr方式）。1. 执行命令quit，退回系统视图。2. 执行命令rsa peer-public-key key-name，进入RSA公钥视图。3. 执行命令address ip-address，配置RSA对端IP地址。4. 执行命令public-key-code begin，进入RSA公钥编码视图。5. 输入RSA公钥十六进制编码。6. 执行命令public-key-code end，退回RSA公钥视图。7. 执行命令peer-public-key end，退回系统视图。-结束8.3.6 配置IPSec安全策略模板有两种方式配置IPSec安全策略，一种是本节介绍的通过配置IPSec安全策略模板的方式配置IPSec安全策略，另一种是“8.3.7 配置IPSec安全策略”介绍的直接配置IPSec安全策略。Eudemon实现的IPSec安全策略除可以应用到实际物理接口外，还能应用到Tunnel、Virtual Template、Dialer等逻辑接口。当要求IPSec与其他使用逻辑接口的特性混合使用时，即可配置IPSec安全策略模板。例如，当需要创建L2TP+IPSec隧道时，即需要在LNS端配置IPSec安全策略模板。当对端发起SA协商的客户端的IP地址不固定时，比如一些移动的VPN Client用户，可以采用配置安全策略模板的方式配置安全策略。配置安全策略模板时，除了IKE Peer、IPSec安全提议必配，其他参数可选。但如果配置了可选参数，则这些参数必须匹配，才能协商成功。为使配置安全策略模板端能够接收不同的对端发起的协商，在IKE Peer中可以指定对端地址范围或指定对端的名称，这样就允许不同的拨号用户接入。在IPSec服务发起端不能配置安全策略模板，要配置安全策略。在IPSec服务终结端配置使用安全策略模板的安全策略。同时在IPSec服务发起端，安全策略引用的ACL规则必须指定源地址范围以便IPSec服务终结端能够正确将回应数据加密回送。IPSec服务终结端不允许引用ACL。配置安全策略模板端不能发起SA的协商，只能响应协商。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令ipsec policy-template policy-template-name seq-number，创建安全策略模