所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R010C00 配置指南-IP单播路由

本文档介绍了设备支持的IP单播路由相关配置。主要内容包括IP路由概述,静态路由、RIP、RIPng、OSPF、OSPFv3、IS-IS(IPv4)、IS-IS(IPv6)、BGP、路由策略以及策略路由的基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IPSec基本功能

配置IPSec基本功能

背景信息

在网络中为了防止数据在传输过程中被窃取和仿冒,可以通过IPSec对数据进行加密认证保护。

用IPSec保护数据之前,必须先建立安全联盟SA(Security Association)。SA是出于安全目的而创建的一个单向逻辑连接,是IPSec对等体(使用IPSec协议对数据进行保护的通信双方)之间对某些要素的约定。这些要素包括:

  • 对等体间使用何种安全协议
  • 安全协议支持的认证/加密算法
  • 数据的封装模式
  • SA的安全参数索引SPI(Security Parameter Index)
  • SA的认证密钥/加密密钥

其中,前三项要素是通过IPSec安全提议来指定的。实际配置中,需要在IPSec对等体上先配置IPSec安全提议,再配置IPSec安全联盟。

操作步骤

  1. 配置IPSec安全提议
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ipsec proposal proposal-name,创建IPSec安全提议并进入安全提议视图。
    3. 执行命令transform { ah | esp },配置IPSec安全提议采用的安全协议。

      缺省情况下,IPSec安全提议采用的安全协议为ESP协议。

    4. 配置安全协议的认证/加密算法。

      • 安全协议采用AH协议时,AH协议只能对报文进行认证。即只能配置AH协议的认证算法。

        执行命令ah authentication-algorithm { md5 | sha1 | sha2-256 },配置AH采用的认证算法。

        缺省情况下,AH协议采用SHA2-256认证算法。

      • 安全协议采用ESP协议时,ESP协议允许对报文同时进行加密和认证,或只加密,或只认证,根据需要配置ESP协议的认证算法、加密算法。
        • 执行命令esp authentication-algorithm { md5 | sha1 | sha2-256 },配置ESP采用的认证算法。

          缺省情况下,ESP协议采用SHA2-256认证算法。

        • 执行命令esp encryption-algorithm { des | 3des | aes [ 128 | 192 | 256 ] },配置ESP协议采用的加密算法。

          缺省情况下,ESP协议采用AES-256加密算法。

      不建议使用MD5、SHA-1、DES和3DES算法,否则无法满足您安全防御的要求。

    5. 执行命令encapsulation-mode { transport | tunnel },配置安全协议对数据的封装模式。

      缺省情况下,安全协议对数据的封装模式采用隧道模式。

      说明:

      在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。

    6. 执行命令quit,返回到系统视图。
  2. 配置IPSec安全联盟
    1. 执行命令ipsec sa sa-name,创建IPSec安全联盟并进入IPSec安全联盟视图。

      缺省情况下,系统没有配置IPSec安全联盟。

    2. 执行命令proposal proposal-name,引用IPSec安全提议。

      缺省情况下,系统没有指定引用的IPSec安全提议。

      说明:

      一个IPSec安全联盟只能引用一个IPSec安全提议。如果需要引用新的IPSec安全提议,必须先删除原先的IPSec安全提议。

    3. 执行命令sa spi { inbound | outbound } { ah | esp } spi-number,配置安全参数索引SPI。

      说明:
      • SPI标识唯一SA,应分别设置inbound和outbound两个方向SPI,本端出方向的SPI必须和对端入方向的SPI保持一致。
      • 配置SPI时选择的安全协议类型(AH或ESP)必须与SA引用的安全提议中采用的安全协议类型保持一致。

    4. 根据SA引用的安全提议所采用的安全协议配置密钥。

      • 安全协议采用AH协议时,可以配置十六进制形式或字符串形式的认证密钥,二者任选其一。
        • 执行命令sa authentication-hex { inbound | outbound } ah [ cipher ] hex-cipher-key,配置十六进制形式的认证密钥。

        • 执行命令sa string-key { inbound | outbound } ah [ cipher ] string-cipher-key,配置字符串形式的认证密钥。

      • 安全协议采用ESP协议时,可以只配置认证密钥或只加密密钥(选择执行其中一条命令),也可以同时配置认证密钥和加密密钥(只能同时配置为十六进制形式的认证密钥和加密密钥)。
        • 执行命令sa authentication-hex { inbound | outbound } esp [ cipher ] hex-cipher-key,配置十六进制形式的认证密钥。

        • 执行命令sa string-key { inbound | outbound } esp [ cipher ] string-cipher-key,配置字符串形式的认证密钥。

        • 执行命令sa encryption-hex { inbound | outbound } esp [ cipher ] hex-cipher-key,配置十六进制形式的加密密钥。

      说明:
      • 配置密钥时选择的安全协议类型(AH或ESP)必须与SA引用的安全提议中采用的安全协议类型保持一致。
      • 本端出方向的密钥必须和对端入方向的密钥保持一致。
      • 在IPSec对等体两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立SA。
      • 如果先后以不同的方式输入了密钥,则最后设定的密钥有效。

翻译
下载文档
更新时间:2019-04-17

文档编号:EDOC1000141402

浏览量:22182

下载量:1343

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页