配置 IPsec 安全关联
为 ES PIC 配置手动 IPsec 安全关联
要使用 IPsec 安全服务,请在主机之间创建安全关联 (SA)。SA 是一种单工连接,允许两台主机通过 IPsec 安全地相互通信。有两种类型的 SA:手动和动态。
手动 SA 不需要协商;所有值(包括键)都是静态的,并在配置中指定。因此,只有当对等方共享相同的配置选项时,它们才能进行通信。
要为 ES PIC 配置手动 IPsec SA,请在编辑安全 IPsec 安全关联 sa-name] 层次结构级别包含手动语句:
[edit security ipsec security-association sa-name] manual { direction (inbound | outbound | bi-directional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spiauxiliary-spi-value; encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; } }
配置手动 SA 的任务包括:
配置处理方向
direction 语句设置入站和出站 IPsec 处理。如果要为每个方向定义不同的算法、密钥或安全参数索引 (SPI) 值,请配置入站和出站选项。如果要在两个方向上使用相同的属性,请使用双向选项。
要配置 IPsec 处理的方向,请包含 方向 语句并在 [编辑安全 IPsec 安全关联 sa-name 手册] 层次结构级别指定方向:
[edit security ipsec security-association sa-name manual] direction (inbound | outbound | bidirectional);
以下示例演示如何为入站和出站处理方向定义不同的算法、密钥和安全参数索引值:
[edit security ipsec security-association sa-name] manual { direction inbound { encryption { algorithm 3des-cbc; key ascii-text 23456789012345678901234; } protocol esp; spi 16384; } direction outbound { encryption { algorithm 3des-cbc; key ascii-text 12345678901234567890abcd; } protocol esp; spi 24576; } }
以下示例说明如何为双向处理定义相同的算法、密钥和安全参数索引值:
[edit security ipsec security-association sa-name manual] direction bidirectional { authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } protocol ah; spi 20001; }
为手动 SA 配置协议
IPsec 使用两种协议来保护 IP 流量:封装安全有效负载 (ESP) 和身份验证标头 (AH)。对于传输模式 SA,同时支持 ESP 和 AH。AH 协议用于强身份验证。 捆绑 选项使用 AH 身份验证和 ESP 加密;它不使用 ESP 身份验证,因为 AH 提供更强的 IP 数据包身份验证。
AH 协议仅在 M 系列路由器上受支持。
要在 ES PIC 上配置 IPsec 协议,请在编辑安全 IPsec 安全关联sa-name手动方向(入站 | 出站 | 双向)] 层次结构级别包含协议语句,并指定 AH、捆绑或 ESP 选项:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] protocol (ah | bundle | esp);
配置安全参数索引
SPI 是一个任意值,用于唯一标识要在接收主机上使用的 SA。发送主机使用 SPI 来识别和选择要用于保护每个数据包的 SA。接收主机使用 SPI 来识别和选择用于解密数据包的加密算法和密钥。
每个手动 SA 都必须具有唯一的 SPI 和协议组合。
将 协议 语句配置为使用 捆绑选项 时,请使用辅助 SPI。
要在 ES PIC 上配置 SPI,请包含 spi 语句,并在 [编辑安全 IPsec 安全关联 sa-name 手动方向(入站 | 出站 | 双向] 层次结构级别指定一个值(256 到 16,639):
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] spi spi-value;
配置辅助安全参数索引
将 协议语句配置为使用捆绑 选项时,Junos OS 会将辅助 SPI 用于 ESP,将 SPI 用于 AH。
每个手动 SA 都必须具有唯一的 SPI 和协议组合。
要配置辅助 SPI,请在 [编辑安全 IPsec 安全关联sa-name手动方向(入站 | 出站 | 双向)] 层次结构级别包含辅助 SPI 语句,并将值设置为 256 到 16,639 之间的整数:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] auxiliary-spi auxiliary-spi-value;
配置身份验证算法和密钥
要配置身份验证算法和密钥,请在 [编辑安全 IPsec 安全关联sa-name手动方向(入站 | 出站 | 双向)] 层次结构级别包含身份验证语句:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); }
该算法可以是以下算法之一:
hmac-md5-96 — 对数据包数据进行身份验证的散列算法。它生成 128 位身份验证器值和 96 位摘要。
hmac-sha1-96 — 对数据包数据进行身份验证的哈希算法。它生成 160 位身份验证器值和 96 位摘要。
密钥可以是以下项之一:
ASCII 文本 key- ASCII 文本键。使用 hmac-md5-96 选项时,密钥包含
16 个 ASCII 字符。使用 hmac-sha1-96 选项时,密钥包含 20 个 ASCII 字符。
十六进制 key- 十六进制键。使用 hmac-md5-96 选项时,密钥包含 32 个十六进制字符。使用 hmac-sha1-96 选项时,密钥包含 40 个十六进制字符。
配置加密算法和密钥
要配置 IPsec 加密,请包含 加密 语句,并在 [编辑安全 IPsec 安全关联 sa-name 手动方向(入站 | 出站 | 双向)] 层次结构级别指定算法和密钥:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); }
该算法可以是以下算法之一:
des-cbc — 块大小为 8 字节的加密算法;其密钥大小为 64 位长。
3des-cbc — 块大小为 24 字节的加密算法;其密钥大小为 192 位长。
注意:有关数据加密标准 (DES) 加密算法弱密钥和半弱密钥的列表,请参阅 RFC 2409。对于 3des-cbc,我们建议前 8 个字节不要与后 8 个字节相同,第二个 8 个字节与第三个 8 个字节相同。
密钥可以是以下项之一:
ASCII 文本 — ASCII 文本密钥。使用 des-cbc 选项时,密钥包含 8 个 ASCII 字符。使用 3des-cbc 选项时,密钥包含 24 个 ASCII 字符。
十六进制 - 十六进制键。使用 des-cbc 选项时,密钥包含 16 个十六进制字符。使用 3des-cbc 选项时,密钥包含 48 个十六进制字符。
注意:使用 AH 协议时,无法配置加密。
参见
配置动态 IPsec 安全关联
您可以使用一组由安全网关协商的建议来配置动态 SA。密钥作为协商的一部分生成,不需要在配置中指定。动态 SA 包含一个或多个提议,允许您确定要与对等方协商的协议和算法列表的优先级。
要配置动态 SA,请在 [编辑安全 ipsec 安全关联sa-name] 层次结构级别包含动态语句。指定 IPsec 策略名称,并可选择指定 32 个数据包或 64 个数据包的重播窗口大小。
[edit security ipsec security-association sa-name] dynamic { ipsec-policy policy-name; replay-window-size (32 | 64); }