|
|
|
IPSec实现的VPN有多种方式,本节介绍通过IKE协商方式建立IPSec隧道的配置。IKE动态协商方式是由ACL来指定要保护的数据流范围,配置安全策略并将安全策略绑定在实际的接口上来完成IPSec的配置。具体方法是通过ACL规则筛选出需要进入IPSec隧道的报文,规则允许(permit)的报文将被保护,规则拒绝(deny)的报文将不被保护。这种方式可以利用ACL配置的灵活性,根据IP地址、端口、协议类型等对报文进行过滤进而灵活制定安全策略,在中大型网络中,一般使用IKE协商建立SA。
|
|
|
|
|
|
在采用ACL方式建立IPSec隧道之前,实现源接口和目的接口之间路由可达。如果要配置基于ACL的GRE over IPSec,则需要创建一个Tunnel接口并配置该接口为GRE类型,配置源IP、目的IP和IP地址。其中,源IP为网关出接口的IP,目的IP为对端网关出接口的IP地址,并将Tunnel接口加入安全区域。
|
|
|
|
|
|
IPSec能够对一个或多个数据流进行安全保护,ACL方式建立IPSec隧道采用ACL来指定需要IPSec保护的数据流。实际应用中,首先需要通过配置ACL的规则定义数据流范围,再在IPSec安全策略中引用该ACL,从而起到保护该数据流的作用。一个IPSec安全策略中只能引用一个ACL。
|
|
|
|
|
|
IPSec安全提议是安全策略或者安全框架的一个组成部分,它包括IPSec使用的安全协议、认证/加密算法以及数据的封装模式,定义了IPSec的保护方法,为IPSec协商SA提供各种安全参数。IPSec隧道两端设备需要配置相同的安全参数。
|
|
|
|
|
|
IPSec安全策略是创建SA的前提,它规定了对哪些数据流采用哪种保护方法。配置IPSec安全策略时,通过引用ACL和IPSec安全提议,将ACL定义的数据流和IPSec安全提议定义的保护方法关联起来,并可以指定SA的协商方式、IPSec隧道的起点和终点、所需要的密钥和SA的生存周期等。一个IPSec安全策略由名称和序号共同唯一确定,相同名称的IPSec安全策为一个IPSec安全策略组。
|
|
|
|
|
|
为使接口能对数据流进行IPSec保护,需要在该接口上应用一个IPSec安全策略组。当取消IPSec安全策略组在接口上的应用后,此接口便不再具有IPSec的保护功能。IPSec安全策略组是所有具有相同名称、不同序号的IPSec安全策略的集合。
|
|
|
|
|
|
该任务涉及使用display ipsec global config、ping和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
|
|
|
