所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 12800, 12800E V200R005C00 配置指南-IP业务

本文档介绍了IP业务的配置,具体包括IPv4基础配置、ARP配置、DHCP配置、DNS配置、UDP Helper配置、IP性能配置、IPv6基础配置、DHCPv6配置、IPv6 DNS配置和IPv6过渡技术配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置DHCPv6中继的IPSec认证加密功能

(可选)配置DHCPv6中继的IPSec认证加密功能

通过配置DHCPv6中继的IPSec认证,可以对DHCPv6中继之间,或者DHCPv6中继和服务器之间的DHCPv6报文进行IPSec认证加密,从而对网络攻击起到一定的防御作用。

背景信息

攻击者伪装成DHCPv6服务器向客户端发送虚假的DHCPv6报文,可能导致客户端受到拒绝服务攻击,或者客户端被错误配置。通过对DHCPv6中继之间,或者DHCPv6中继和服务器之间的DHCPv6报文进行IPSec认证加密,从而对网络攻击起到一定的防御作用。

操作步骤

  1. 配置IPSec安全提议
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ipsec proposal proposal-name,创建IPSec安全提议并进入安全提议视图。
    3. 执行命令transform { ah | esp },配置IPSec安全提议采用的安全协议。

      缺省情况下,IPSec安全提议采用的安全协议为ESP协议。

    4. 配置安全协议的认证/加密算法。

      • 安全协议采用AH协议时,AH协议只能对报文进行认证。即只能配置AH协议的认证算法。

        执行命令ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 },配置AH采用的认证算法。

        缺省情况下,没有为AH协议配置认证算法。

      • 安全协议采用ESP协议时,ESP协议允许对报文同时进行加密和认证,或只认证,根据需要配置ESP协议的认证算法、加密算法。
        • 执行命令esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 },配置ESP采用的认证算法。

          缺省情况下,没有为ESP协议配置认证算法。

        • 执行命令esp encryption-algorithm { 3des | aes { 128 | 192 | 256 } | des | null },配置ESP协议采用的加密算法。

          缺省情况下,没有为ESP协议配置加密算法。如果不需要对报文进行加密,选择null参数。

    5. 执行命令encapsulation-mode transport,配置安全协议对报文的封装模式。

      缺省情况下,安全协议对报文的封装模式采用隧道模式。

      说明:
      • 目前,设备仅支持安全协议采用的封装模式为transport,即传输模式。

      • 在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。

      • 不建议使用MD5、SHA-1、DES和3DES算法,否则无法满足您安全防御的要求。

    6. 执行命令quit,返回到系统视图。
    7. 执行命令commit,提交配置。
  2. 配置IPSec安全联盟
    1. 执行命令ipsec sa sa-name,创建IPSec安全联盟并进入IPSec安全联盟视图。

      缺省情况下,系统没有配置IPSec安全联盟。

    2. 执行命令proposal proposal-name,引用IPSec安全提议。

      缺省情况下,系统没有指定引用的IPSec安全提议。

      说明:

      一个IPSec安全联盟只能引用一个IPSec安全提议。如果需要引用新的IPSec安全提议,必须先删除原先的IPSec安全提议。

    3. 执行命令sa spi { inbound | outbound } { ah | esp } spi-number,配置安全参数索引SPI。

      说明:
      • SPI标识唯一SA,应分别设置inbound和outbound两个方向SPI,本端出方向的SPI必须和对端入方向的SPI保持一致。
      • 配置SPI时选择的安全协议类型(AH或ESP)必须与SA引用的安全提议中采用的安全协议类型保持一致。

    4. 根据SA引用的安全提议所采用的安全协议配置密钥。

      • 安全协议采用AH协议时,可以配置十六进制形式或字符串形式的认证密钥,二者任选其一。
        • 执行命令sa authentication-hex { inbound | outbound } ah [ cipher ] hex-string,配置十六进制形式的认证密钥。

        • 执行命令sa string-key { inbound | outbound } ah [ cipher ] string-key,配置字符串形式的认证密钥。

      • 安全协议采用ESP协议时,可以只配置认证密钥或只配置加密密钥(选择执行其中一条命令),也可以同时配置认证密钥和加密密钥(只能同时配置为十六进制形式的认证密钥和加密密钥)。
        • 执行命令sa authentication-hex { inbound | outbound } esp [ cipher ] hex-string,配置十六进制形式的认证密钥。

        • 执行命令sa string-key { inbound | outbound } esp [ cipher ] string-key,配置字符串形式的认证密钥。

        • 执行命令sa encryption-hex { inbound | outbound } esp [ cipher ] hex-string,配置十六进制形式的加密密钥。

      说明:
      • 配置密钥时选择的安全协议类型(AH或ESP)必须与SA引用的安全提议中采用的安全协议类型保持一致。
      • 本端出方向的密钥必须和对端入方向的密钥保持一致。
      • 在IPSec对等体两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立SA。
      • 如果先后以不同的方式输入了密钥,则最后设定的密钥有效。

    5. 执行命令quit,返回到系统视图。
    6. 执行命令commit,提交配置。
  3. 执行命令dhcpv6 ipsec sa sa-name [ peer peer-ipv6-address [ vpn-instance vpn-instance ] ],使能DHCPv6中继之间、DHCPv6中继和服务器之间的DHCPv6报文的IPSec认证加密功能。

    缺省情况下,DHCPv6的IPSec功能处于未使能状态。

  4. 执行命令commit,提交配置。
翻译
下载文档
更新时间:2019-04-19

文档编号:EDOC1100039516

浏览量:8039

下载量:205

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页