Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 IPsec 安全关联

为 ES PIC 配置手动 IPsec 安全关联

要使用 IPsec 安全服务,请在主机之间创建安全关联 (SA)。SA 是一种简单的连接,允许两个主机通过 IPsec 安全地相互通信。SA 有两种类型:手动和动态。

手动 SA 无需协商;所有值(包括密钥)均为静态值,并在配置中指定。因此,只有当对等方共享相同的配置选项时,对等方才能进行通信。

要为 ES PIC 配置手动 IPsec SA,请在编辑安全 ipsec 安全关联 sa-name] 层次结构级别中包含手动语句:

配置手动 SA 的任务包括:

配置处理方向

方向语句设置入站和出站 IPsec 处理。如果您要为每个方向定义不同的算法、密钥或安全参数索引 (SPI) 值,则配置入站出站选项。如果您希望两个方向具有相同的属性,请使用双向选项。

要配置 IPsec 处理的方向,请包括 方向 语句并在 [编辑安全 ipsec 安全关联 sa-name 手册] 层次结构级别中指定方向:

以下示例说明如何定义入站和出站处理方向的不同算法、密钥和安全参数索引值:

以下示例说明如何定义用于双向处理的相同算法、密钥和安全参数索引值:

为手动 SA 配置协议

IPsec 使用两种协议来保护 IP 流量:封装安全有效负载 (ESP) 和认证标头 (AH)。对于传输模式 SA,支持 ESP 和 AH。AH 协议用于强大的身份验证。 捆绑 选项使用 AH 身份验证和 ESP 加密;它不使用 ESP 认证,因为 AH 提供更强大的 IP 数据包身份验证。

注意:

AH 协议仅在 M 系列路由器上受支持。

要在 ES PIC 上配置 IPsec 协议,请在编辑安全 ipsec 安全关联sa-name手动方向(入站|出站|双向)) 中包含协议语句]层次结构级别,并指定 ahesp 选项:

配置安全参数索引

SPI 是一种任意值,可唯一标识要在接收主机中使用的 SA。发送主机使用 SPI 来识别并选择要用于保护每个数据包的 SA。接收主机使用 SPI 来识别和选择用于解密数据包的加密算法和密钥。

注意:

每个手动 SA 都必须有一个唯一的 SPI 和协议组合。

协议 语句配置为使用 捆绑选项 时,请使用辅助 SPI。

要在 ES PIC 上配置 SPI,请在[编辑安全 ipsec 安全关联sa-name手动方向(入站|出站|双向]层次结构级别中指定值(256 到 16,639) :

配置辅助安全参数索引

协议语句配置为使用捆绑选项 时,Junos OS 会使用 ESP 的辅助 SPI 和 AH 的 SPI。

注意:

每个手动 SA 都必须有一个唯一的 SPI 和协议组合。

要配置辅助 SPI,请在[编辑安全 ipsec 安全关联sa-name手动方向(入站|出站|双向))]层次结构级别中包括辅助 spi 语句,并将值设置为整数在 256 到 16,639 之间:

配置身份验证算法和密钥

要配置身份验证算法和密钥,请在 [编辑安全 ipsec 安全关联sa-name手动方向(入站|出站|双向)]层次结构级别中包含身份验证语句:

该算法可以是以下其中之一:

  • hmac-md5-96 — 对数据包数据进行身份验证的散列算法。它可生成 128 位身份验证器值和 96 位摘要。

  • hmac-sha1-96 — 用于验证数据包数据的散列算法。它可生成 160 位身份验证器值和 96 位摘要。

关键可以是以下其中之一:

  • ascii 文本 key—ASCII 文本密钥。使用 hmac-md5-96 选项时,密钥包含

  • 16 个 ASCII 字符。使用 hmac-sha1-96 选项时,密钥包含 20 个 ASCII 字符。

  • 十六进制 key-Hexadecimal 密钥。使用 hmac-md5-96 选项,密钥包含 32 个十六字体字符。使用 hmac-sha1-96 选项时,密钥包含 40 个十六字体字符。

配置加密算法和密钥

要配置 IPsec 加密,请在 [编辑安全 ipsec 安全关联sa-name手动方向(入站|出站|双向)) 层次结构级别中包含加密语句并指定算法和密钥:

该算法可以是以下其中之一:

  • des-cbc — 块大小为 8 字节的加密算法;其密钥尺寸为 64 位长。

  • 3des-cbc — 块大小为 24 字节的加密算法;其密钥尺寸为 192 位长。

    注意:

    有关数据加密标准 (DES) 加密算法弱和半威克密钥的列表,请参阅 RFC 2409。对于 3des-cbc,建议前 8 个字节与第二个 8 字节不相同,第二个 8 字节与第三个 8 字节相同。

关键可以是以下其中之一:

  • ascii 文本 — ASCII 文本密钥。使用 des-cbc 选项时,密钥包含 8 个 ASCII 字符。使用 3des-cbc 选项时,密钥包含 24 个 ASCII 字符。

  • 十六法基马 — Hexadecimal 密钥。使用 des-cbc 选项时,密钥包含 16 个十六字体字符。借 助 3des-cbc 选项,密钥包含 48 个十六字体字符。

    注意:

    使用 AH 协议时,您无法配置加密。

配置动态 IPsec 安全关联

您可使用一组由安全网关协商的提议配置动态 SA。密钥作为协商的一部分生成,无需在配置中指定。动态 SA 包含一个或多个提议,允许您确定要与对等方协商的协议和算法列表的优先级。

要配置动态 SA,请在[编辑安全 ipsec 安全关联sa-name] 层次结构级别中包含动态语句。指定 IPsec 策略名称,或者选择 32 包或 64 包回放窗口大小。