导图社区配置IPSec

配置IPSec

华为消费者业务产品全面覆盖手机、移动宽带终端、终端云等，凭借自身的全球化网络优势、全球化运营能力，致力于将最新的科技带给消费者，让世界各地享受到技术进步的喜悦，以行践言，实现梦想。

编辑于2022-07-12 17:31:56

VPN
IPSec

JasonYang

他的近期作品查看更多>>

OSPF LSU for SR
OSPF LSU For Segment Routing报文思维导图，SR使用IGP协议进行拓扑信息、前缀信息、SRGB和标签信息的通告。IGP协议为了完成上述功能，对于协议报文的TLV进行了一些扩展。
IS-IS LSP for SR
IS-IS LSP For SR报文格式,思维导图,HCIE-Datacom，SR使用IGP协议进行拓扑信息、前缀信息、SRGB和标签信息的通告。IGP协议为了完成上述功能，对于协议报文的TLV进行了一些扩展。
配置IPSec
华为消费者业务产品全面覆盖手机、移动宽带终端、终端云等，凭借自身的全球化网络优势、全球化运营能力，致力于将最新的科技带给消费者，让世界各地享受到技术进步的喜悦，以行践言，实现梦想。

配置IPSec

社区模板帮助中心，点此进入>>

JasonYang

他的近期作品查看更多>>

相似推荐
大纲

项目时间管理6大步骤
- 17.3k
- 348
- 890
- 127
MindMaster
项目管理的五个步骤
- 47.6k
- 1.9k
- 2.5k
- 493
MindMaster
电商部人员工作结构
- 7.6k
- 173
- 246
- 15
issen
电费水费思维导图
- 3.0k
- 3
- 20
- 3
蔡正兆(Joe Choi)
D服务费结算
- 1.1k
- 0
- 13
- 2
蔡正兆(Joe Choi)
组织架构-单商户商城webAPP 思维导图。
- 14.6k
- 3
- 184
- 10
Kacyun
暮尚正常运转导图
- 7.6k
- 691
- 43
- 0
宋林鉴
批判性思维导图
- 2.6k
- 6
- 222
- 14
刘星吉
创业者10条创业经
- 1.3k
- 122
- 99
- 0
(*^▽^*)
创业十大思维误区
- 3.5k
- 207
- 407
- 9
(*^▽^*)

配置IPSec隧道

ACL方式

采用ACL方式建立IPSec隧道包括通过手工方式和IKE动态协商方式建立IPSec隧道。在对等体间镜像配置ACL，筛选出需要进入IPSec隧道的报文，ACL规则permit的报文将被保护，deny的报文将不被保护。这种方式可以利用ACL配置的灵活性，根据IP地址、端口、协议类型等对报文进行过滤进而灵活制定安全策略。

手工方式

安全策略 IPsec policy Manual

引用ACL

引用 IPsec Proposal

IPSec隧道的起点终点主题

tunnel local

tunnel remote

SA出/入方向的SPI值

sa spi outbound

sa spi inbound

SA出/入方向安全协议的认证密钥和加密密钥

(可选)扩展参数

IKE动态协商方式

安全策略 IPsec policy ISAKMP

引用 IPsec Proposal

引用 IKE Peer

引用ACL

(可选)扩展参数

策略模板 IPsec policy-template

安全策略中引用策略模板 IPsec policy str:policy-name int:seq-number isakmp template

引用 IPsec Proposal

引用 IKE Peer

(可选)扩展参数

虚拟隧道接口方式

虚拟隧道接口是一种三层逻辑接口，针对协议类型为GRE、mGRE或IPSec的逻辑接口，设备可提供IPSec保护功能。所有路由到虚拟隧道接口的报文都可以进行IPSec保护。虚拟隧道接口方式可简化IPSec隧道参数的配置。

子主题

Efficient VPN策略方式

Efficient VPN可以解决IPSec VPN分支配置复杂的问题。Efficient VPN采用Client/Server结构。它将IPSec及其它相应配置集中在Server端（总部网关），当Remote端配置好基本参数发起协商并与Server端建立起IPSec隧道，然后Server端将IPSec的相关属性及其他网络资源“推送”给Remote端，简化了分支网关的IPSec和其他网络资源的配置和维护。

子主题

JasonYang 2022-0712V1

接口视图 Interface

(可选)扩展参数

应用安全策略组 ipsec policy

全局扩展功能 system-view

(可选)扩展参数

IKE对等体

IKEv1 ike peer str:name v1

阶段1协商模式 exchange-mode { main | aggressive }

[本端IP地址 local-address IP:Add]

[对端IP地址或域名 remote-address [ vpn-instance str:name ] { IP:Add | str:host }]

[本端ID类型 local-id-type { dn | ip | name | user-fqdn }]

需要选择数字证书认证方法

Name

[本端名称系统视图 ike local-name str:local-name]

[对端名称 remote-name str:name]

FQDN

[IKE SA生存周期的通知消息 lifetime-notification-message enable]

Efficient VPN策略:IKEv1可以配置ACL推送

引用IKE安全提议

PSK

pre-shared-key { simple | cipher } str:key

RSA

pki realm str:name

Envelope

digital-envelope local-private-key pki realm str:name digital-envelope remote-public-key certificate str:peer_name

ikvv1 Only

IKEv2 ike peer str:name v2

引用IKE安全提议

PSK

pre-shared-key { simple | cipher } str:key

RSA

pki realm str:name

[检查证书有效性kvv2 Only inband ocsp]

Envelope-ikvv1 Only

IKEV2中local-id-type与对端peer-id-type相同

[本端IP地址 local-address IP:Add]

[对端IP地址或域名 remote-address [ vpn-instance str:name ] { IP:Add | str:host }]

[本端ID类型 local-id-type { dn | ip | name | user-fqdn }]

需要选择数字证书认证方法

Name

[本端名称系统视图 ike local-name str:local-name]

[对端名称 remote-name str:name]

FQDN

[对端ID类型 peer-id-type { dn | ip | name | user-fqdn }]

需要选择数字证书认证方法

Name

[本端名称系统视图 ike local-name str:local-name]

[对端名称 remote-name str:name]

FQDN

[IKEv2重认证的时间间隔 re-authentication interval time:interval]

Efficient VPN策略:IKEv2不支持配置ACL推送

IKE安全提议 ike proposal str:name

认证方法

authentication-method { pre-share | rsa-signature | digital-envelope }

pre-shared key

rsa-signature

digital-envelope

认证算法

authentication-algorithm { aes-xcbc-mac-96 | md5 | sha1 | sha2-256,384,512 | sm3 }

加密算法

encryption-algorithm { des-cbc | 3des-cbc | aes-cbc-128 ,192 ,256 | sm4 }

DH组

dh { group1 | group2 | group5 | group14 }

SA生存周期

sa duration time:time-value=86400

PRF伪随机数

prf { aes-xcbc-128 | hmac-md5 | hmac-sha1 | hmac-sha2-256 ,384,512 }

IPsec安全提议 ipsec proposal str:name

封装模式

encapsulation-mode { transport | tunnel }

安全协议

transform { ah | esp | ah-esp }

ESP

esp authentication-algorithm { md5 | sha1 | sha2-256,384,512 | sm3 }

esp encryption-algorithm [ 3des | des | aes-128,256 | sm1,sm4 ]

ah authentication-algorithm { md5 | sha1 | sha2-256,384,512 | sm3 }

认证/加密

注意

IKEv1,可不认证,不加密

IKEv2,必须认证和加密

[与思科兼容SHA2]

ipsec authentication sha2 compatible enable

高级ACL