如圖1所示，Router A為公司分支機(jī)構(gòu)網(wǎng)關(guān)，Router B為公司總部網(wǎng)關(guān)，分支機(jī)構(gòu)與總部通過(guò)Internet建立通信。分支機(jī)構(gòu)子網(wǎng)為10.1.1.0/24，公司總部子網(wǎng)為 10.1.2.0/24?，F(xiàn)公司希望兩子網(wǎng)通過(guò)Internet實(shí)現(xiàn)互訪，且它們通信的流量可以受IPSec安全保護(hù)。

　　圖1  采用缺省IKE安全提議建立IPSec隧道配置示列的拓?fù)浣Y(jié)構(gòu)

　　本示例以IKE動(dòng)態(tài)協(xié)商方式來(lái)建立IPSec隧道，并且為了簡(jiǎn)化配置，對(duì)其中絕大多數(shù)安全參數(shù)采用缺省配置（包括IKE安全提議中的全部參數(shù)和IKE安全策略可選參數(shù)）進(jìn)行部署。其實(shí)，如果沒(méi)有特別的要求，大多數(shù)情況下都可以這樣配置，這樣不僅可以減少工作量，也可以在安全方面滿足用戶的需求。

　　1. 基本配置思路分析

　　根據(jù)《基于ACL方式通過(guò)IKE協(xié)商建立IPSec隧道》介紹的配置任務(wù)，再結(jié)合本示例的具體要求（IKE安全提議全部采用缺省配置），可得出如下所示的本示例基本配置思路。

　?。?）配置各網(wǎng)關(guān)設(shè)備內(nèi)/外網(wǎng)接口當(dāng)前的IP地址，以及分支機(jī)構(gòu)公網(wǎng)、私網(wǎng)與總部公網(wǎng)、私網(wǎng)互訪的靜態(tài)路由

　　這項(xiàng)配置包括配置連接內(nèi)/外網(wǎng)的接口IP地址，以及到達(dá)對(duì)端內(nèi)/外網(wǎng)的靜態(tài)路由，保證兩端路由可達(dá)。此處需要了解分支機(jī)構(gòu)和公司總部Internet網(wǎng)關(guān)所連接的ISP設(shè)備接口的IP地址。

　　（2）配置ACL，以定義需要IPSec保護(hù)的數(shù)據(jù)流

　　本示例中，需要保護(hù)的數(shù)據(jù)流是分支機(jī)構(gòu)子網(wǎng)與公司總部子網(wǎng)之間的通信，其需要在IPSec隧道中傳輸，其他通過(guò)Internet的訪問(wèn)（如訪問(wèn)Web網(wǎng)站）是直接在Internet中傳輸?shù)摹?/p>

　?。?）配置IPSec安全提議，定義IPSec的保護(hù)方法

　　無(wú)論是手工方式，還是IKE動(dòng)態(tài)協(xié)商方式建立IPSec隧道，IPSec安全提議必須手工配置。包括IPSec使用的安全協(xié)議、認(rèn)證/加密算法以及數(shù)據(jù)的封裝模式。當(dāng)然這些安全參數(shù)也都有缺省取值，需要時(shí)也可直接采用。

　　本示例中路由器運(yùn)各安全參數(shù)的缺省取值如下：安全協(xié)議為ESP協(xié)議，ESP協(xié)議采用SHA2-256認(rèn)證算法，ESP協(xié)議采用AES-256加密算法，安全協(xié)議對(duì)數(shù)據(jù)的封裝模式采用隧道模式。本示例將IPSec安全提議的認(rèn)證算法修改為SHA1，修改加密算法為AES-128，其他均采用缺省值。

　?。?）配置IKE對(duì)等體，定義對(duì)等體間IKE協(xié)商時(shí)的屬性

　　本示例假設(shè)采用IKEv1版本來(lái)配置IKE對(duì)等體，根據(jù)《基于ACL方式通過(guò)IKE協(xié)商建立IPSec隧道》所示的IKE對(duì)等體配置步驟配置兩端對(duì)等體的認(rèn)證密鑰、對(duì)端IP地址（本端IP地址可不配置）、本端ID類型（兩端配置的ID類型必須一致）、IKEv1協(xié)商模式等。

　?。?）配置安全策略，確定哪些數(shù)據(jù)流需要采用何種方法進(jìn)行保護(hù)

　　本示例假設(shè)采用ISAKMP方式協(xié)商創(chuàng)建IPSec隧道，創(chuàng)建一個(gè)安全策略，然后在安全策略中引用前面定義的ACL、IPSec安全提議和IKE對(duì)等體，其他可選參數(shù)也全部采用缺省配置。

　?。?）在接口上應(yīng)用安全策略

　　示例中分支機(jī)構(gòu)和公司總部網(wǎng)關(guān)的WAN接口都有固定的公網(wǎng)IP地址，所以采用的是專線或者固定IP地址的光纖以太網(wǎng)方式接入Internet。所以，可直接在IPSec隧道端點(diǎn)設(shè)備的公網(wǎng)接口上應(yīng)用已配置的安全策略組。

　　2. 具體配置步驟

　　下面按照前面所做的配置思路分析具體的配置方法。

　　前面介紹的配置思路的第（1）～（3）項(xiàng)配置任務(wù)與《基于ACL方式手工建立IPSec隧道》介紹的配置步驟中的第（1）～（3）的配置方法完全一樣，不再贅述。下面僅介紹上述第（4）～（6）項(xiàng)配置任務(wù)。

　　第（4）項(xiàng)任務(wù)：分別在Router A和Router B上配置IKE對(duì)等體。

　　在Router A和Router B上配置IKE對(duì)等體，并根據(jù)IKE安全提議的缺省配置要求，配置預(yù)共享密鑰（假設(shè)為huawei）和對(duì)端ID（缺省以IP地址方式進(jìn)行標(biāo)識(shí)）兩端均采用缺省的主模式協(xié)商方式，采用缺省的以IP地址作為ID類型，均不配置本端IP地址，因?yàn)槿笔∏闆r下，路由選擇到對(duì)端的出接口，將該出接口地址作為本端IP地址。

　　[Router A] ike peer spub #---配置對(duì)等體名稱為spub

　　[Router A-ike-peer-spub] undo version 2 #---取消對(duì)IKEv2版本的支持

　　[Router A-ike-peer-spub] pre-shared-key simple huawei #---配置預(yù)共享密鑰認(rèn)證方法的共享密鑰為huawei，兩端的密鑰必須一致

　　[Router A-ike-peer-spub] remote-address 202.138.162.1 #---配置對(duì)端IPSec端 點(diǎn)IP地址為202.138.162.1

　　[Router A-ike-peer-spub] quit

　　[Router B] ike peer spua

　　[Router B-ike-peer-spub] undo version 2

　　[Router B-ike-peer-spua] pre-shared-key simple huawei

　　[Router B-ike-peer-spua] remote-address 202.138.163.1

　　[Router B-ike-peer-spua] quit

　　此時(shí)分別在Router A和Router B上執(zhí)行display ike peer，操作會(huì)顯示所配置的信息，以下是在Router A上執(zhí)行該命令的輸出示例。

　　[Router A] display ike peer name spub verbose

　　----------------------------------

　　Peername　　　　　　　:spub

　　Exchangemode　　　　　 :mainonphase1

　　Pre-shared-key　　　　　:huawei

　　Local IDtype　　　　　 :IP

　　DPD　　　　　　　　　 :Disable

　　DPDmode　　　　　　　 :Periodic

　　DPDidletime　　　　　 :30

　　DPDretransmitinterval　:15

　　DPDretrylimit　　　　 :3

　　Hostname　　　　　　　:

　　Peer  Ipaddress　　　　 :202.138.162.1

　　VPNname　　　　　　　 :

　　Local IPaddress　　　　:

　　Remotename　　　　　　:

　　Nat-traversal　　　　　 :Disable

　　Configured IKEversion　 :Versionone

　　PKIrealm　　　　　　　:NULL

　　Inband  OCSP　　　　　　:Disable

　　----------------------------------

　　第（5）項(xiàng)任務(wù)：分別在Router A和Router B上創(chuàng)建安全策略

　　本示例采用通過(guò)ISAKMP創(chuàng)建IKE動(dòng)態(tài)協(xié)商方式的安全策略，只配置那些必選的配置步驟（包括指定引用的IPSec安全提議和ACL，指定對(duì)端對(duì)等體名稱），可選的配置步驟均采用缺省配置。

　　[Router A] ipsec policy client 10 isakmp #---創(chuàng)建名為client，序號(hào)為10的安全策略

　　[Router A-ipsec-policy-isakmp-client-10] ike-peer spub #---指定對(duì)等體名稱為 spub

　　[Router A-ipsec-policy-isakmp-client-10] proposal pro1 #---引用前面已創(chuàng)建的IPSec安全提議pro1

　　[Router A-ipsec-policy-isakmp-client-10] security acl 3100 #---引用前面已定義的用于指定需要保護(hù)數(shù)據(jù)流的ACL 3100

　　[Router A-ipsec-policy-isakmp-client-10] quit

　　[Router B] ipsec policy server 10 isakmp

　　[Router B-ipsec-policy-isakmp-server-10] ike-peer spua

　　[Router B-ipsec-policy-isakmp-server-10] proposal pro1

　　[Router B-ipsec-policy-isakmp-server-10] security acl 3100

　　[Router B-ipsec-policy-isakmp-server-10] quit

　　此時(shí)分別在Router A和Router B上執(zhí)行display ipsec policy操作，會(huì)顯示所配置的信息，以下是在Router A上執(zhí)行該命令的輸出示例。

　　[Router A] display ipsec policy name client

　　===========================================

　　IPSec policy group:“client”

　　Using interface:

　　===========================================

　　Sequencenumber:10　 #---IPSec策略組序號(hào)為10

　　Securitydataflow:3100　#---引用ACL3100

　　Peername:　spub　#---對(duì)端對(duì)等體名稱為spub

　　Perfect forward secrecy: None

　　Proposalname:　pro1　 #---IPSec安全提議名稱為pro1

　　IPSec SAlocalduration（timebased）：3600seconds　#---以時(shí)間為基準(zhǔn)的IPSec SA生存周期采用缺省的3600秒

　　IPSec SAlocalduration（trafficbased）：1843200kilobytes　#---以流量為基準(zhǔn)的 IPSec SA生存周期采用缺省的180MB

　　Anti-replaywindowsize:32　#---抗重放窗口大小采用缺省的32位

　　SAtriggermode:Automatic　#---IPSec SA協(xié)商采用缺省的自動(dòng)觸發(fā)模式

　　Routeinject:None　 #---采用缺省的不啟用路由注入功能

　　Qospre-classify:Disable　 #---采用缺省的不啟用對(duì)原始報(bào)文信息進(jìn)行預(yù)提取功能

　　第（6）項(xiàng)任務(wù)：分別在Router A和Router B的接口（連接Internet的公網(wǎng)接口）上應(yīng)用各自的安全策略組，使通過(guò)這些接口發(fā)送的興趣流可以被IPSec保護(hù)。

　　[Router A] interface gigabitethernet 1/0/0

　　[Router A-Gigabit Ethernet1/0/0] ipsec policy client

　　[Router A-Gigabit Ethernet1/0/0] quit

　　[Router B] interface gigabitethernet 1/0/0

　　[Router B-Gigabit Ethernet1/0/0] ipsec policy server

　　[Router B-Gigabit Ethernet1/0/0] quit

　　3. 配置結(jié)果驗(yàn)證

　　配置成功后，在分支機(jī)構(gòu)主機(jī)PC A執(zhí)行ping操作可以ping通位于公司總部網(wǎng)絡(luò)的主機(jī)PC B，但它們之間的數(shù)據(jù)傳輸是被加密的，執(zhí)行命令display ipsec statistics esp可以查看數(shù)據(jù)包的統(tǒng)計(jì)信息。

　　在Router A上執(zhí)行display ike sa操作，結(jié)果如下例所示。其中“Conn-ID”為SA標(biāo)識(shí)符；“Peer”表示SA的對(duì)端IP地址，如果SA未建立成功，此項(xiàng)目?jī)?nèi)容顯示為0.0.0.0（此處已正確顯示對(duì)端IP地址，所以證明已成功建立SA）；“RD”（READY）表示SA已建立成功，“ST”（STAYALIVE）表示本端是SA協(xié)商發(fā)起方不顯示ST則表示本端為響應(yīng)方；“Phase”列中的“1”或“2”分別代表該SA是第一階段的IKA SA，還是第二階段的IPSec SA。

　　[Router A] display ike sa

　　Conn-ID　　 Peer　　　　　VPN　　Flag（s）　　Phase

　　-----------------------------------------------

　　16　　　　 202.138.162.1　　0　　 RD|ST　　 v1:2

　　14　　　　 202.138.162.1　　0　　 RD|ST　　 v1:1

　　Flag Description:

　　RD--READY　 ST--STAYALIVE　 RL--REPLACED　 FD--FADING　 TO-- TIMEOUT

　　分別在Router A和Router B上執(zhí)行display ipsec sa操作，查看當(dāng)前IPSec SA的相關(guān) 信息，以下是在Router A上執(zhí)行該命令的輸出示例。

　　[Router A] display ipsec sa

　　===============================

　　Interface:Gigabit Ethernet1/0/0　 #---表示應(yīng)用安全策略的接口

　　Path MTU: 1500

　　===============================

　　------------------

　　IPSec policy name:“client”

　　Sequencenumber　:10

　　Acl Group　　　 :3100

　　Aclrule　　　　:5　 #---匹配的ACL規(guī)則號(hào)為5

　　Mode　　　　　 :ISAKMP　 #---表示是通過(guò)IKE動(dòng)態(tài)協(xié)商方式安全策略建立SA

　　------------------

　　Connection ID　　:16　 #---這是IPSec SA標(biāo)識(shí)符

　　Encapsulationmode:Tunnel　 #---采用隧道封裝模式

　　Tunnellocal　　 :202.138.163.1

　　Tunnelremote　　:202.138.162.1

　　Flowsource　　　:10.1.1.0/0.0.0.2550/0　 #---數(shù)據(jù)流的源地址段，最后兩個(gè)0是 表示ACL協(xié)議號(hào)和端口號(hào)

　　Flowdestination　:10.1.2.0/0.0.0.2550/0　　#---數(shù)據(jù)流的目的地址段

　　Qospre-classify　:Disable　#---沒(méi)啟用報(bào)文信息預(yù)提取功能

　　[Outbound ESPSAs]　　#---以下部分是出方向ESPSA參數(shù)

　　SPI:1026037179（0x3d2815bb） #協(xié)商生成的SPI參數(shù)

　　Proposal:ESP-ENCRYPT-AES-18ESP-AUTH-SHA1　#---IPSec安全提議參數(shù)配置

　　SA remaining key duration （bytes/sec）： 1887436800/3596

　　Maxsentsequence-number:5　 #---當(dāng)前發(fā)送的ESP報(bào)文的最大序列號(hào)為5

　　UDPencapsulationusedfor NATtraversal:N　 #---沒(méi)啟用NAT透?jìng)鞴δ?/p>

　　[Inbound ESPSAs]　　#---以下部分是入方向ESPSA參數(shù)

　　SPI: 1593054859 （0x5ef4168b）

　　Proposal: ESP-ENCRYPT-AES-18 ESP-AUTH-SHA1

　　SA remaining key duration （bytes/sec）： 1887436800/3596

　　Maxreceivedsequence-number:4　 #---當(dāng)前接收的ESP報(bào)文的最大序列號(hào)為4

　　Anti-replaywindowsize:32　#---抗重放窗口大小為32位

　　UDP encapsulation used for NAT traversal: N