Konfigurieren einer IPsec-Richtlinie
Konfigurieren der IPsec-Richtlinie für einen ES PIC
Eine IPsec-Richtlinie definiert eine Kombination von Sicherheitsparametern (IPsec-Vorschlägen), die während der IPsec-Aushandlung verwendet werden. Es definiert Perfect Forward Secrecy (PFS) und die Vorschläge, die für die Verbindung erforderlich sind. Während der IPsec-Aushandlung sucht IPsec nach einem IPsec-Vorschlag, der auf beiden Peers identisch ist. Der Peer, der die Aushandlung initiiert, sendet alle seine Richtlinien an den Remotepeer, und der Remotepeer versucht, eine Übereinstimmung zu finden.
Eine Übereinstimmung wird vorgenommen, wenn beide Richtlinien der beiden Peers einen Vorschlag haben, der die gleichen konfigurierten Attribute enthält. Wenn die Gültigkeitsdauer nicht identisch ist, wird die kürzere Gültigkeitsdauer zwischen den beiden Richtlinien (vom Host und vom Peer) verwendet.
Sie können bei jedem Peer mehrere, priorisierte IPsec-Vorschläge erstellen, um sicherzustellen, dass mindestens ein Vorschlag mit dem Vorschlag eines Remotepeers übereinstimmt.
Zunächst konfigurieren Sie einen oder mehrere IPsec-Vorschläge. dann ordnen Sie diese Vorschläge einer IPsec-Richtlinie zu. Sie können die Vorschläge in der Liste priorisieren, indem Sie sie in der Reihenfolge auflisten, in der sie von der IPsec-Richtlinie verwendet werden (erste bis letzte).
Um eine IPsec-Richtlinie zu konfigurieren, fügen Sie die policy Anweisung auf Hierarchieebene [edit security ipsec] ein und geben Sie den Richtliniennamen und einen oder mehrere Vorschläge an, die Sie dieser Richtlinie zuordnen möchten:
[edit security ipsec] policy ipsec-policy-name { proposals [ proposal-names ]; }
Konfigurieren von Perfect Forward Secrecy
PFS bietet zusätzliche Sicherheit durch einen gemeinsamen Diffie-Hellman-Schlüsselaustauschwert . Wenn mit PFS ein Schlüssel kompromittiert wird, sind vorherige und nachfolgende Schlüssel sicher, da sie nicht von vorherigen Schlüsseln abgeleitet sind. Diese Anweisung ist optional.
Um PFS zu konfigurieren, schließen Sie die perfect-forward-secrecy Anweisung ein, und geben Sie eine Diffie-Hellman-Gruppe auf Hierarchieebene [edit security ipsec policy ipsec-policy-name] an:
[edit security ipsec policy ipsec-policy-name] perfect-forward-secrecy { keys (group1 | group2); }
Der Schlüssel kann einer der folgenden sein:
group1– Geben Sie an, dass IKE die 768-Bit-Diffie-Hellman-Primmodulgruppe verwendet, wenn der neue Diffie-Hellman-Austausch durchgeführt wird.group2– Geben Sie an, dass IKE die 1024-Bit-Diffie-Hellman-Primmodulgruppe verwendet, wenn der neue Diffie-Hellman-Austausch durchgeführt wird.
group2 Bietet mehr Sicherheit als group1, erfordert aber mehr Verarbeitungszeit.
Beispiel: Konfigurieren einer IPsec-Richtlinie
Das folgende Beispiel zeigt, wie eine IPsec-Richtlinie konfiguriert wird:
[edit security ipsec]
proposal dynamic-1 {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
proposal dynamic-2 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
policy dynamic-policy-1 {
perfect-forward-secrecy {
keys group1;
}
proposals [ dynamic-1 dynamic-2 ];
}
security-association dynamic-sa1 {
dynamic {
replay-window-size 64;
ipsec-policy dynamic-policy-1;
}
}
Aktualisierungen des aktuellen IPsec-Vorschlags und der aktuellen Richtlinienkonfiguration werden nicht auf die aktuelle IPsec-Sicherheitszuordnung angewendet. Updates werden auf neue IPsec-Sicherheitszuordnungen angewendet.
Wenn Sie möchten, dass die neuen Updates sofort wirksam werden, müssen Sie die vorhandenen IPsec-Sicherheitszuordnungen löschen, damit sie mit der geänderten Konfiguration wiederhergestellt werden. Informationen zum Löschen der aktuellen IPsec-Sicherheitszuordnung finden Sie im CLI-Explorer.