D044 VPN协议原理及配置(中文版3.0)(精品).ppt

华为3Com培训中心ISSUE 1.0ISSUE 1.0D044 VPND044 VPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置华为华为3Com3Com公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播 华为3COM合资公司 网络创造无限 2004年2月12日培训目标培训目标l掌握掌握 VPN 的概念和分类的概念和分类l掌握实现掌握实现 IP VPN 的相关协议的相关协议l掌握掌握 VPN 的配置的配置学习完本课程，您应该能够：学习完本课程，您应该能够：华为3COM合资公司 网络创造无限 2004年2月12日课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKE 华为3COM合资公司 网络创造无限 2004年2月12日VPN的定义的定义?lVPN VPN(Virtual(Virtual Private Private Network)Network)指指的的是是在在公公用用网网络络上上建建立立专专用用网网络络的的技技术术。之之所所以以称称为为虚虚拟拟网网主主要要是是因因为为整整个个VPNVPN网网络络的的任任意意两两个个节节点点之之间间的的连连接接并并没没有有传传统统专专网网所所需需的的端端到到端端的的物物理理链链路路，而而是是架架构构在在公公用用网网络络服服务务商商所所提提供供的的网网络络平平台台（如如INTERNETINTERNET，ATMATM，FRAME FRAME RELAYRELAY等等）之之上上的的逻逻辑辑网网络，用户数据在逻辑链路中传输。络，用户数据在逻辑链路中传输。lVPN VPN 可可以以省省去去专专线线租租用用费费用用或或者者长长距距离离电电话话费费用用，大大大大降降低成本低成本lVPN VPN 可可以以充充分分利利用用 internet internet 公公网网资资源源，快快速速地地建建立立起起公公司的广域连接司的广域连接 华为3COM合资公司 网络创造无限 2004年2月12日InternetVPN的定义的定义VPN Virtual Private Network出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构合作伙伴合作伙伴异地办事处异地办事处 华为3COM合资公司 网络创造无限 2004年2月12日VPN的分类的分类l按应用类型分类：按应用类型分类：Access VPN：Intranet VPNExtranet VPNl按实现的层次分类：按实现的层次分类：二层隧道二层隧道 VPN三层隧道三层隧道 VPN 华为3COM合资公司 网络创造无限 2004年2月12日Access VPNAccess VPN 华为3COM合资公司 网络创造无限 2004年2月12日VPDN POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接 总部总部隧道隧道 适用范围：适用范围：出差员工出差员工异地小型办公机构异地小型办公机构 华为3COM合资公司 网络创造无限 2004年2月12日Intranet VPNInternet/ISP IPATM/FR隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构 华为3COM合资公司 网络创造无限 2004年2月12日Extranet VPNInternet/ISP IPATM/FR分支机构分支机构合作伙伴合作伙伴总部总部异地办事处异地办事处 华为3COM合资公司 网络创造无限 2004年2月12日按实现的层次分类按实现的层次分类l二层隧道二层隧道VPNL2TP:Layer 2 Tunnel Protocol(RFC 2661)PPTP:Point To Point Tunnel ProtocolL2F:Layer 2 Forwardingl三层隧道三层隧道VPN GRE:General Routing Encapsulation IPSEC:IP Security Protocol 华为3COM合资公司 网络创造无限 2004年2月12日VPN设计原则设计原则l安全性安全性隧道与加密隧道与加密数据验证数据验证用户验证用户验证防火墙与攻击检测防火墙与攻击检测l可靠性可靠性l经济性经济性l扩展性扩展性 华为3COM合资公司 网络创造无限 2004年2月12日课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKE 华为3COM合资公司 网络创造无限 2004年2月12日L2TP 协议概述协议概述lL2TP:Layer 2 Tunnel Protocol 第第二二层层隧隧道道协协议议,是是为为在在用用户户和企业的服务器之间透明传输和企业的服务器之间透明传输PPP报文而设置的隧道协议报文而设置的隧道协议.l特性特性灵活的身份验证机制以及高度的安全性灵活的身份验证机制以及高度的安全性多协议传输多协议传输 支持支持RADIUS服务器的验证服务器的验证支持内部地址分配支持内部地址分配网络计费的灵活性网络计费的灵活性可靠性可靠性 华为3COM合资公司 网络创造无限 2004年2月12日使用使用L2TP 构建构建VPDNPSTN/ISDNLANLANLANLAN分支机构分支机构总部总部LACLNSQuidway NASQuidway RouterL2TP 消息消息数据消息数据消息控制消息控制消息会话会话隧道隧道出差员工出差员工LAC:L2TP Access Concentrator L2TP的接入集中器的接入集中器 LNS:L2TP Network Server L2TP的网络服务器的网络服务器LAC/LNS Radius:LAC/LNS的远端验证服务器的远端验证服务器LAC RADIUSLNS RADIUS 华为3COM合资公司 网络创造无限 2004年2月12日L2TPL2TP隧道和会话建立流程隧道和会话建立流程l隧道、会话建立流程隧道、会话建立流程 L2TP的的会会话话建建立立由由PPP触触发发,隧隧道道建建立立由由会会话话触触发发。由由于于多多个个会会话话可可以以复复用用在在一一条条隧隧道道上上，如如果果会会话话建建立立前前隧隧道道已已经经建建立立，则则隧隧道道不不用用重重新建立。新建立。隧道建立流程：三次握手隧道建立流程：三次握手会话建立流程：三次握手会话建立流程：三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQ ICRPICCN 华为3COM合资公司 网络创造无限 2004年2月12日L2TPL2TP隧道和会话维护和拆除流程隧道和会话维护和拆除流程l隧道维护流程隧道维护流程LAC/LNSLNS/LAC HelloZLBl隧道拆除流程隧道拆除流程l会话维护流程会话维护流程LAC/LNSLNS/LAC StopCNNZLBLAC/LNSLNS/LAC CDNZLB 华为3COM合资公司 网络创造无限 2004年2月12日L2TP 协议栈结构及数据包的封装过程协议栈结构及数据包的封装过程私有私有IPPPPL2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IPPPPIP包包(公有公有IP)UDPL2TPPPPIP包包(私有私有IP)链路层链路层私有私有IPPPP物理层物理层L2TPUDP公有公有IP链路层链路层物理层物理层 物理层物理层私有私有IP链路层链路层物理层物理层ClientLACLNSServerLAC侧封装过程侧封装过程LNS侧解封装过程侧解封装过程L2TP协议栈结构协议栈结构 华为3COM合资公司 网络创造无限 2004年2月12日L2TP的配置任务及命令的配置任务及命令(1)l LAC 侧的配置侧的配置配置配置AAA认证和本地用户认证和本地用户启用启用VPDNQuidway l2tp enable 创建创建VPDN组组 Quidway l2tp-group group-number 配置发起配置发起L2TP连接请求及连接请求及LNS地址地址Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name|dnis dialed-number|fullusername user-name 华为3COM合资公司 网络创造无限 2004年2月12日L2TP 的配置任务及命令的配置任务及命令(2)lLNS 侧的配置侧的配置配置本地配置本地VPDN用户用户启用启用VPDN创建创建VPDN组组创建虚接口模板并为用户分配创建虚接口模板并为用户分配IP地址地址Quidway interface virtual-template virtual-template-number Quidway-Virtual-Template1 remote address pool pool-name 配置接收呼叫的隧道对端名称配置接收呼叫的隧道对端名称 Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name 华为3COM合资公司 网络创造无限 2004年2月12日InternetL2TP的配置举例的配置举例Quidway local-user vpdnuser password cipher Hello Quidway ip pool 1 192.168.0.2 192.168.0.100 Quidway aaa-enableQuidway aaa authentication-scheme login default localQuidway aaa accounting-scheme optional Quidway interface virtual-template 1Quidway-Virtual-Template1 ip address 192.168.0.1 255.255.255.0Quidway-Virtual-Template1 ppp authentication-mode chap Quidway-Virtual-Template1 remote address pool 1 Quidway l2tp enable Quidway l2tp-group 1 Quidway-l2tp1 tunnel name lns-end Quidway-l2tp1 allow l2tp virtual-template 1 remote lac-end Quidway-l2tp1 tunnel authenticationQuidway-l2tp1 tunnel password simple quidway Quidway local-user vpdnuser password cipher Hello Quidway aaa-enableQuidway aaa authentication-scheme login default localQuidway aaa accounting-scheme optional Quidway l2tp enable Quidway l2tp-group 1 Quidway-l2tp1 tunnel name lac-end Quidway-l2tp1 start l2tp ip 202.38.160.2 fullusername vpdnuser Quidway-l2tp1 tunnel authenticationQuidway-l2tp1 tunnel password simple quidway LNSLACPSTN 华为3COM合资公司 网络创造无限 2004年2月12日L2TP的可选参数配置的可选参数配置(1)l可选配的参数可选配的参数配置本端名称配置本端名称 Quidway-l2tp1 tunnel name name启用隧道验证及配置密码启用隧道验证及配置密码 Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple|cipher password 配置隧道配置隧道Hello报文发送时间间隔报文发送时间间隔 Quidway-l2tp1 tunnel timer hello hello-interval 配置域名分隔符及查找顺序配置域名分隔符及查找顺序 Quidway-l2tp1l2tp domain prefix-separator|suffix-separator delimiters 华为3COM合资公司 网络创造无限 2004年2月12日L2TP的可选参数配置的可选参数配置(2)l可选配的参数可选配的参数配置强制本端配置强制本端CHAP验证验证 Quidway-l2tp1 mandatory-chap 配置强制配置强制LCP重新协商重新协商 Quidway-l2tp1 mandatory-lcp 配置隧道流控接收窗口的大小配置隧道流控接收窗口的大小 Quidway-l2tp1 tunnel flow-control receive-window size 配置配置L2TP最大会话数最大会话数 Quidway-l2tp1 l2tp session-limit session-number 华为3COM合资公司 网络创造无限 2004年2月12日L2TP隧道和会话的验证过程隧道和会话的验证过程呼叫建立呼叫建立PPP LCP 协商通过协商通过LAC CHAP Challenge用户用户 CHAP Response隧道验证隧道验证(可选可选)SCCRP(LNS CHAP Response&LNS CHAP Challenge)SCCRQ(LAC CHAP Challenge)SCCCN(LAC CHAP Response)ICCN（用户（用户 CHAP Response&PPP 已经协商好的参数）已经协商好的参数）LNS CHAP Challenge可选的第二次验证可选的第二次验证用户用户 CHAP Response验证通过验证通过PSTN/ISDNInternetLACLACLNSLNS 华为3COM合资公司 网络创造无限 2004年2月12日L2TP的调试的调试l显示当前的显示当前的L2TP隧道的信息隧道的信息 Quidway display l2tp tunnelLocalID RemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.21 1701Total tunnels=1 l显示当前的显示当前的L2TP会话的信息会话的信息 Quidway display l2tp sessionLocalIDRemoteIDTunnelID 112 Total session=1 l 打开打开L2TP调试信息开关调试信息开关 debugging l2tp all|control|error|event|hidden|payload|time-stamp 华为3COM合资公司 网络创造无限 2004年2月12日L2TP 排错排错l用户登录失败用户登录失败 Tunnel建立失败建立失败 在在LAC端，端，LNS的地址配置不正确的地址配置不正确LNS（通常为路由器）端没有配置可以接收该通道对端的（通常为路由器）端没有配置可以接收该通道对端的VPDN组组Tunnel验证不通过，若配置了验证，应保证双方的通道密码一致验证不通过，若配置了验证，应保证双方的通道密码一致 PPP协商不通过协商不通过 LAC端配置的用户名与密码有误，或者是端配置的用户名与密码有误，或者是LNS端未设相应的用户端未设相应的用户LNS端不能分配地址，比如地址池配置的较小，或没有进行配置端不能分配地址，比如地址池配置的较小，或没有进行配置通道密码验证的类型不一致通道密码验证的类型不一致l数据传输失败，在建立连接后数据不能传输数据传输失败，在建立连接后数据不能传输 LAC配置的地址有误配置的地址有误网络拥挤网络拥挤 华为3COM合资公司 网络创造无限 2004年2月12日课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKE 华为3COM合资公司 网络创造无限 2004年2月12日GRElGRE(Generic Routing Encapsulation):是是对对某某些些网网络络层层协协议议（如如：IP,IPX,AppleTalk等等）的的数数据据报报进进行行封封装装，使使这这些些被封装的数据报能够在另一个网络层协议（如被封装的数据报能够在另一个网络层协议（如IP）中传输）中传输lGRE 提提供供了了将将一一种种协协议议的的报报文文封封装装在在另另一一种种协协议议报报文文中中的的机机制制，使使报报文文能能够够在在异异种种网网络络中中传传输输，异异种种报报文文传传输输的的通通道道称称为为tunnel 华为3COM合资公司 网络创造无限 2004年2月12日GRE 协议栈协议栈IP/IPXGREIP链路层协议链路层协议乘客协议乘客协议封装协议封装协议运输协议运输协议GRE协议栈协议栈隧道接口的报文格式隧道接口的报文格式链路层链路层GREIP/IPXIPPayload 华为3COM合资公司 网络创造无限 2004年2月12日使用使用GRE构建构建VPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部企业总部分支机构分支机构 华为3COM合资公司 网络创造无限 2004年2月12日GRE的配置任务及命令的配置任务及命令l创建虚拟创建虚拟Tunnel接口接口 Quidway interface tunnel tunnel-number l配置配置Tunnel接口的源端地址接口的源端地址 Quidway-Tunnel0 source ip-address l配置配置Tunnel接口的目的地址接口的目的地址 Quidway-Tunnel0 destination ip-address l配置配置Tunnel接口的网络地址接口的网络地址 Quidway-Tunnel0 ip address ip-address mask|unnumbered interface-type interface-number 华为3COM合资公司 网络创造无限 2004年2月12日GRE的配置举例的配置举例RouterB-Serial0ip address 1.1.1.1 255.255.255.0 RouterB-Ethernet0ip address 10.10.1.1 255.255.255.0 RouterB-Tunnel0ip address 3.3.3.1 255.255.255.0 RouterB-Tunnel0 source 1.1.1.1 RouterB-Tunnel0 destination 2.2.2.1 RouterB ip route-static 2.2.2.1 24 s0 RouterB ip route-static 10.10.2.0 24 3.3.3.2 RouterA-Serial0ip address 2.2.2.1 255.255.255.0 RouterA-Ethernet0ip address 10.10.2.1 255.255.255.0 RouterA-Tunnel0ip address 3.3.3.2 255.255.255.0 RouterA-Tunnel0 source 2.2.2.1 RouterA-Tunnel0 destination 1.1.1.1 RouterAip route-static1.1.1.1 24 s0 RouterAip route-static 10.10.1.1 24 3.3.3.1 T0:3.3.3.1/24InternetS0:1.1.1.1/24S0:2.2.2.1/24E0:10.10.1.1/24E0:10.10.2.1/24T0:3.3.3.2/24A AB B 华为3COM合资公司 网络创造无限 2004年2月12日GRE的可选参数配置的可选参数配置lTunnel接口的识别关键字接口的识别关键字 Quidway-Tunnel0 gre key key-number l配置配置Tunnel进行数据报序列号同步进行数据报序列号同步 Quidway-Tunnel0 gre sequence-datagrams lTunnel接口使用校验接口使用校验 Quidway-Tunnel0 gre checksum 华为3COM合资公司 网络创造无限 2004年2月12日GRE的调试的调试Quidway display interfaces tunnel 1Tunnel1 is up,line protocol is up Maximum Transmission Unit is 128 Internet address is 3.1.1.1 255.255.255.0 10 packets input,640 bytes 0 input errors,0 broadcast,0 drops 10 packets output,640 bytes 0 output errors,0 broadcast,0 no protocol 华为3COM合资公司 网络创造无限 2004年2月12日课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKE 华为3COM合资公司 网络创造无限 2004年2月12日IPSeclIPSec（IP Security）是是IETF制制定定的的为为保保证证在在Internet上上传传送送数据的安全保密性能的框架协议数据的安全保密性能的框架协议lIPSec包包括括报报文文验验证证头头协协议议AH（协协议议号号51）和和报报文文安安全全封封装装协议协议ESP（协议号（协议号50）两个协议）两个协议lIPSec有隧道（有隧道（tunnel）和传送（）和传送（transport）两种工作方式）两种工作方式 华为3COM合资公司 网络创造无限 2004年2月12日IPSec 的组成的组成lIPSec 提供两个安全协议提供两个安全协议AH(Authentication Header)报文认证头协议报文认证头协议 MD5(Message Digest 5)SHA1(Secure Hash Algorithm)ESP(Encapsulation Security Payload)封装安全载荷协议封装安全载荷协议 DES(Data Encryption Standard)3DES 其他的加密算法其他的加密算法：Blowfish，blowfish、cast 华为3COM合资公司 网络创造无限 2004年2月12日IPSec 的安全特点的安全特点l数据机密性（数据机密性（Confidentiality）l数据完整性（数据完整性（Data Integrity）l数据来源认证数据来源认证（Data Authentication）l反重放（反重放（Anti-Replay）华为3COM合资公司 网络创造无限 2004年2月12日IPSec 基本概念基本概念l数据流数据流(Data Flow)l安全联盟安全联盟(Security Association)l安全参数索引安全参数索引(Security Parameter Index)l安全联盟生存时间安全联盟生存时间(Life Time)l安全策略安全策略l安全提议安全提议 华为3COM合资公司 网络创造无限 2004年2月12日AH协议协议数据数据IP 包头包头数据数据IP 包头包头AH数据数据原原IP 包头包头AH新新IP 包头包头传输模式传输模式隧道模式隧道模式下一个头下一个头负载长度负载长度保留域保留域安全参数索引安全参数索引(SPI)序列号序列号验证数据验证数据AH头结构头结构081631 华为3COM合资公司 网络创造无限 2004年2月12日ESP 协议协议数据数据IP 包头包头加密后的数据加密后的数据IP 包头包头ESP头部头部ESP头头新新IP 包头包头传输模式传输模式隧道模式隧道模式ESP尾部尾部ESP验证验证ESP尾部尾部ESP验证验证081624安全参数索引安全参数索引(SPI)序列号序列号有效载荷数据（可变）有效载荷数据（可变）填充字段填充字段(0-255字节）字节）填充字段长度填充字段长度下一个头下一个头验证数据验证数据ESP协议包结构协议包结构数据数据原原IP 包头包头加密部分加密部分 华为3COM合资公司 网络创造无限 2004年2月12日IKEl IKE（Internet Key Exchange，因特网密钥交换协议），因特网密钥交换协议）l为为IPSec提供了自动协商交换密钥、建立安全联盟的服务提供了自动协商交换密钥、建立安全联盟的服务l通过数据交换来计算密钥通过数据交换来计算密钥 华为3COM合资公司 网络创造无限 2004年2月12日IKE的安全机制的安全机制l完善的前向安全性完善的前向安全性l数据验证数据验证身份验证身份验证身份保护身份保护lDH交换和密钥分发交换和密钥分发 华为3COM合资公司 网络创造无限 2004年2月12日IKE的交换过程的交换过程SA交换交换密钥交换密钥交换ID交换及验证交换及验证发送本地发送本地IKE策略策略身份验证和身份验证和交换过程验证交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端接受对端确认的策略确认的策略查找匹配查找匹配的策略的策略身份验证和身份验证和交换过程验证交换过程验证确认对方使确认对方使用的算法用的算法产生密钥产生密钥验证对方验证对方身份身份发起方策略发起方策略发起方策略发起方策略接收方确认的策略接收方确认的策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer1Peer2Peer2 华为3COM合资公司 网络创造无限 2004年2月12日DH交换及密钥产生交换及密钥产生ac=gamodpdamodppeer2peer2peer1peer1bd=gbmodpcbmodpd da amodpmodp=c cb bmodpmodp=g gababmodpmodp(g,p)(g,p)华为3COM合资公司 网络创造无限 2004年2月12日IKE在在IPSec中的作用中的作用l降低手工配置的复杂度降低手工配置的复杂度l安全联盟定时更新安全联盟定时更新l密钥定时更新密钥定时更新l允许允许IPSec提供反重放服务提供反重放服务l允许在端与端之间动态认证允许在端与端之间动态认证 华为3COM合资公司 网络创造无限 2004年2月12日IPSec 与与IKE的关系的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的加密的加密的加密的IPIP报文报文报文报文IPIPIKEIKE的的的的SASA协商协商协商协商SASASASA 华为3COM合资公司 网络创造无限 2004年2月12日IPSec配置前的准备配置前的准备l确定需要保护的数据确定需要保护的数据l确定使用安全保护的路径确定使用安全保护的路径l确定使用那种安全保护确定使用那种安全保护l确定安全保护的强度确定安全保护的强度InternetInternet 华为3COM合资公司 网络创造无限 2004年2月12日IPSec 的配置任务及命令的配置任务及命令(1)l创建加密访问控制列表创建加密访问控制列表l定义安全提议定义安全提议Quidway ipsec proposal proposal-name Quidway ipsec card-proposal proposal-name l设置安全协议对设置安全协议对IP报文的封装模式报文的封装模式Quidway-crypto-transform-trans encapsulation-mode transport|tunnel l选择安全协议选择安全协议Quidway-crypto-transform-trans transform ah-new|esp-new|ah-esp-new 设置设置AH协议采用的认证算法协议采用的认证算法 ah-new authentication-algorithm md5-hmac-96|sha1-hmac-96 ESP协议采用的认证算法协议采用的认证算法esp-new authentication-algorithm md5-hmac-96|sha1-hmac-96 ESP协议采用的加密算法协议采用的加密算法 esp-new encryption-algorithm 3des|des|blowfish|cast|skipjack|aes|qc5 华为3COM合资公司 网络创造无限 2004年2月12日IPSec 的配置任务及命令的配置任务及命令(2)l创建安全策略创建安全策略Quidway ipsec policy policy-name sequence-number manual|isakmp 配置安全策略引用的访问控制列表配置安全策略引用的访问控制列表Quidway-ipsec-policy-policy1-10 security acl access-list-number 指定安全隧道的终点指定安全隧道的终点tunnel remote ip-address 配置安全策略中引用的转换方式配置安全策略中引用的转换方式 proposal proposal-name1 proposal-name2.proposal-name6 l在接口上应用安全策略组在接口上应用安全策略组 Quidway-Serial0 ipsec policy policy-name 华为3COM合资公司 网络创造无限 2004年2月12日IKE的配置任务的配置任务(1)l创建创建IKE安全策略安全策略 Quidway ike proposal policy-number 选择加密算法选择加密算法Quidway-ike-proposal-10 encryption-algorithm des-cbc|3des-cbc 选择认证方法选择认证方法Quidway-ike-proposal-10 authentication-method pre-share 选择哈希散列算法选择哈希散列算法 Quidway-ike-proposal-10 authentication-algorithm md5|sha 选择选择DH的组标识的组标识 Quidway-ike-proposal-10 dh group1|group2 设置设置IKE协商安全联盟的生存周期协商安全联盟的生存周期 Quidway-ike-proposal-10 sa duration seconds 华为3COM合资公司 网络创造无限 2004年2月12日IKE的配置任务的配置任务(2)l配置预共享密钥配置预共享密钥 Quidway ike pre-shared-key key remote remote-address l配置配置IKE keepalive定时器定时器 Quidway ike sa keepalive-timer interval|timeout seconds 华为3COM合资公司 网络创造无限 2004年2月12日IPSec 的配置举例的配置举例InternetS0:202.38.162.1/24S0:202.38.163.1/24E0:10.1.2.1/24E0:10.1.1.1/24A AB BE0:10.1.1.2/24E0:10.1.2.2/24RouterA-Ethernet0 ip address 10.1.1.1 255.255.255.0RouterA-Serial0 ip address 202.38.163.1 255.255.255.0 RouterA acl 101 RouterA-acl-101 rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255RouterA-acl-101 rule deny ip source any destination any RouterA ipsec proposal tran1 RouterA-ipsec-proposal-tran1 encapsulation-mode tunnel RouterA-ipsec-proposal-tran1 transform esp-new RouterA-ipsec-proposal-tran1 esp-new encryption-algorithm desRouterA-ipsec-proposal-tran1 esp-new authentication-algorithm sha1-hmac-96 RouterA ipsec policy policy1 10 isakmp RouterA-ipsec-policy-policy1-10 security acl 101 RouterA-ipsec-policy-policy1-10 tunnel remote 202.38.162.1 RouterA-ipsec-policy-policy1-10 proposal tran1 RouterA ike proposal 10 RouterA-ike-proposal-10 authentication-algorithm md5 RouterA-ike-proposal-10 authentication-method pre-share RouterA-ike-proposal-10 dh group1 RouterA-ike-proposal-10 sa duration 5000 RouterA ike pre-shared-key abcde remote 202.38.162.1 RouterA ike sa keepalive-timer interval 100RouterA ike sa keepalive-timer timeout 300 RouterA-Serial0 ipsec policy policy1 RouterA ip route-static 10.1.2.0 255.255.255.0 202.38.162.1 华为3COM合资公司 网络创造无限 2004年2月12日IPSec 的监控与调试的监控与调试l显示安全联盟的相关信息显示安全联盟的相关信息 display ipsec sa all|brief|remote ip-address|policy policy-name sequence-number|parameters dest-address protocol spi QuidwayQuidway display display ipsecipsec sasa brief briefSrcSrc Address Address DstDst Address SPI Protocol Algorithm Address SPI Protocol Algorithm202.38.162.1 202.38.163.1 54321 NEW_ESP E:DES;A:HMAC-SHA1-96;202.38.162.1 202.38.163.1 54321