配置 IPsec 策略
为 ES PIC 配置 IPsec 策略
IPsec 策略定义在 IPsec 协商期间使用的安全参数(IPsec 建议)的组合。它定义了完全向前保密 (PFS) 和连接所需的建议。在 IPsec 协商期间,IPsec 会查找在两个对等方上相同的 IPsec 提议。启动协商的对等方将其所有策略发送给远程对等方,远程对等方尝试查找匹配项。
当来自两个对等方的两个策略都具有包含相同配置属性的建议时,将进行匹配。如果生存期不相同,则使用两个策略(来自主机和对等方)之间的较短生存期。
您可以在每个对等方创建多个优先级 IPsec 提议,以确保至少有一个提议与远程对等方的建议匹配。
首先,配置一个或多个 IPsec 提议;然后将这些提议与 IPsec 策略相关联。您可以按 IPsec 策略使用建议的顺序(从头到尾)列出这些建议,从而对列表中的建议设置优先级。
要配置 IPsec 策略,请在层次结构级别包含 policy 语句 [edit security ipsec] ,指定策略名称以及要与此策略关联的一个或多个建议:
[edit security ipsec] policy ipsec-policy-name { proposals [ proposal-names ]; }
配置完全向前保密
PFS 通过 Diffie-Hellman 密钥交换 共享密钥值提供额外的安全性。使用 PFS,如果一个密钥泄露,则先前和后续密钥是安全的,因为它们不是从以前的密钥派生的。此语句是可选的。
要配置 PFS,请包含 perfect-forward-secrecy 语句并在层次结构级别指定 [edit security ipsec policy ipsec-policy-name] Diffie-Hellman 组:
[edit security ipsec policy ipsec-policy-name] perfect-forward-secrecy { keys (group1 | group2); }
密钥可以是以下项之一:
group1— 指定 IKE 在执行新的 Diffie-Hellman 交换时使用 768 位 Diffie-Hellman 素数模组。group2— 指定 IKE 在执行新的 Diffie-Hellman 交换时使用 1024 位 Diffie-Hellman 素数模组。
group2 提供了比 更高的 group1安全性,但需要更多的处理时间。
示例:配置 IPsec 策略
以下示例说明如何配置 IPsec 策略:
[edit security ipsec]
proposal dynamic-1 {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
proposal dynamic-2 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
policy dynamic-policy-1 {
perfect-forward-secrecy {
keys group1;
}
proposals [ dynamic-1 dynamic-2 ];
}
security-association dynamic-sa1 {
dynamic {
replay-window-size 64;
ipsec-policy dynamic-policy-1;
}
}
对当前 IPsec 提议和策略配置的更新不会应用于当前 IPsec SA;更新将应用于新的 IPsec SA。
如果希望新更新立即生效,则必须清除现有的 IPsec 安全关联,以便使用更改后的配置重新建立这些关联。有关如何清除当前 IPsec 安全关联的信息,请参阅 CLI 资源管理器。