ES PIC 的 IPsec 配置概述
ES PIC 的 IPsec 配置概述
IP 安全 (IPsec) 提供了一种安全的方式来验证发件人身份并加密网络设备(如路由器和主机)之间的 IPv4 和 IPv6 流量。以下部分介绍如何为 ES PIC 配置 IPsec。
密钥管理进程 (kmd) 为 ES PIC 提供 IPsec 身份验证服务。只有在路由器上配置 IPsec 时,密钥管理进程才会启动。
参见
在 ES PIC 上配置手动 SA
要为 ES PIC 定义手动安全关联 (SA) 配置,请在层次结构级别至少[edit security ipsec]
包含以下语句:
[edit security ipsec] security-association sa-name { manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; } } }
参见
在 ES PIC 上配置 IKE 要求
要为 ES PIC 定义 IKE 配置,请在层次结构级别至少[edit security]
包含以下语句:
[edit security ike] proposal ike-proposal-name { authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures); dh-group (group1 | group2); encryption-algorithm (3des-cbd | des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc); } policy ike-peer-address { proposals [ ike-proposal-names ]; pre-shared-key (ascii-text key | hexadecimal key); }
参见
为 ES PIC 上的 IKE 配置数字证书
要为 M 系列和 T 系列路由器上的加密接口定义 IKE 的数字证书配置,请在 和 [edit security certificates]
[edit security ike]
层次结构级别至少包括以下语句:
[edit security] certificates { certification-authority ca-profile-name { ca-name ca-identity; crl filename; enrollment-url url-name; file certificate-filename; ldap-url url-name; } } ike { policy ike-peer-address { local-certificate certificate-filename; local-key-pair private-public-key-file; proposal [ ike-proposal-names ]; } proposal ike-proposal-name { authentication-method rsa-signatures; } }