IPSEC VPN命令手册

更新时间：2023-11-15 04:07:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

ipsec推荐度：
相关推荐

IPSEC VPN命令手册

第1页, 共34页

IPSEC VPN命令手册

简介 ................................................................................................................................... 3 1.1 1.2

概述 ....................................................................................................................... 3 协议简介 ............................................................................................................... 3 1.2.1 简述 ............................................................................................................. 3 1.2.2 概念介绍 ..................................................................................................... 4 1.2.3 IKE简述 ...................................................................................................... 6

2 3

配置IPSec VPN ................................................................................................................. 8 典型配置 ......................................................................................................................... 25 3.1 3.2

SITE TO SITE VPN ............................................................................................. 25 ACCESS VPN ......................................................................................................... 31

第2页, 共34页

IPSEC VPN命令手册

1 简介

1.1 概述

IPsec（IP Security）是 IETF制定的三层隧道加密协议，它为 Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式，

提供了以下的安全服务： ?

数据机密性（Confidentiality）：IPsec发送方在通过网络传输包前对包进行加密。 ?

数据完整性（Data Integrity）：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。 ?

数据来源认证（Data Authentication）：IPsec在接收端可以认证发送 IPsec报文的发送端是否合法。 ?

防重放（Anti-Replay）：IPsec接收方可检测并拒绝接收过时或重复的报文。

IPsec具有以下优点： ?

支持 IKE（Internet Key Exchange，因特网密钥交换），可实现密钥的自动协商功能，减少了密钥协商的开销。可以通过IKE建立和维护SA的服务，简化了 IPsec的使用和管理。 ?

所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，而不必对这些应用系统和服务本身做任何修改。 ?

对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高 IP数据包的安全性，可以有效防范网络攻击。

1.2 协议简介

1.2.1 简述

IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security

第3页, 共34页

IPSEC VPN命令手册

Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

IPsec协议中的 AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供数据可靠性保证。

AH 协议（IP 协议号为 51）提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准 IP包头后面，对数据提供完整性保护。可选择的认证算法有 MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。 ?

ESP协议（IP协议号为 50）提供加密、数据源认证、数据完整性校验和防报文重放功能。 ESP的工作原理是在每一个数据包的标准IP包头后面添加一个 ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有 DES、3DES、AES 等。同时，作为可选项，用户可以选择 MD5、SHA-1算法保证报文的完整性和真实性。

在实际进行 IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于 ESP。同时使用 AH和 ESP时，设备支持的AH和ESP联合使用的方式为：先对报文进行ESP封装，再对报文进行 AH封装，封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。

1.2.2 概念介绍

1. 安全联盟（Security Association，SA）

IPsec在两个端点之间提供安全通信，端点被称为 IPsec对等体。

SA是IPsec的基础，也是 IPsec的本质。SA是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、3DES和 AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。建立SA的方式有手工配置和IKE自动协商两种。

SA是单向的，在两个对等体之间的双向通信，最少需要两个SA来分别对两个方向的数

第4页, 共34页

IPSEC VPN命令手册

据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。

SA由一个三元组来唯一标识，这个三元组包括 SPI（Security Parameter Index，安全参数索引）、目的IP地址、安全协议号（AH或ESP）。

SPI是用于唯一标识 SA的一个32比特数值，它在 AH和 ESP头中传输。在手工配置 SA时，需要手工指定 SPI的取值。使用 IKE协商产生SA时，SPI将随机生成。

通过IKE协商建立的SA具有生存周期，手工方式建立的SA永不老化。IKE协商建立的 SA的生存周期有两种定义方式：

? ?

基于时间的生存周期，定义了一个 SA从建立到失效的时间；基于流量的生存周期，定义了一个 SA允许处理的最大流量。

生存周期到达指定的时间或指定的流量，SA就会失效。SA失效前，IKE将为IPsec协商建立新的SA，这样，在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前，继续使用旧的SA保护通信。在新的SA协商好之后，则立即采用新的 SA保护通信。

2. 封装模式

IPsec有如下两种工作模式： ?

隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。 ?

传输（transport）模式：只是传输层数据被用来计算 AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。 3. 认证算法与加密算法 (1) 认证算法

认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。IPsec对等体计算摘要，如果两个摘要是相同的，则表示报文是完整未经篡改的。IPsec使用两种认证算法：

? ?

MD5：MD5通过输入任意长度的消息，产生 128bit的消息摘要。

SHA-1：SHA-1通过输入长度小于 2的 64次方 bit的消息，产生 160bit的消息摘要。

第5页, 共34页

IPSEC VPN命令手册

使用模式功能参数解释

命令名称使用模式功能参数解释 (config-phase1-gateway)# 设置ISAKMP SA生存周期 <1200-86400>: ISAKMP SA生存周期默认10800 Group (1|2|5) (config-phase1-gateway)# 设置DH组 1: group1 768位Diffie-Hellmen group 2: group2 1024位Diffie-Hellmen group (默认) 5: group5 1536位Diffie-Hellmen group

命令名称使用模式功能参数解释 authentication (pre-share|rsa-sig) (config-phase1-gateway)# 设置认证方式 Pre-share: 预共享密钥认证方式 Rsa-sig: 基于公钥认证方式默认预共享密钥认证方式

命令名称使用模式功能参数解释

第11页, 共34页

set local-cert NAME (config-phase1-gateway)# 设置IKE本地证书 NAME：证书名称 Set dpd <30-120> (config-phase1-gateway)# 设置SA检测超时时间 <30-120>: SA 的超时时间

IPSEC VPN命令手册

命令名称使用模式功能参数解释

命令名称使用模式功能参数解释 Set localid address A.B.C.D (config-phase1-gateway)# 设置本端ID地址标识 A.B.C.D: 本端地址IP Set mode (config-phase1-gateway)# 设置IKE第一阶段模式 Main: 主模式 Aggressive: 野蛮模式默认主模式

命令名称使用模式功能

命令名称使用模式功能参数解释

命令名称使用模式

Set modecfg-server (config-phase1-gateway)# 配置地址池、分配DNS WINS等 Set nat <10-900> (config-phase1-gateway)# 设置IPSEC NAT保活时间 <10-900>：NAT 保活时间默认10 Set policy <1-3> (config-phase1-gateway)# 设置IPSEC策略 <1-3>:策略ID Set preshared-key KEY (config-phase1-gateway)# 第12页, 共34页

IPSEC VPN命令手册

功能参数解释

命令名称使用模式功能参数解释

设置共享密钥（密文） KEY: 共享密钥 Set preshared-key secret KEY（建议不要用） (config-phase1-gateway)# 设置共享密钥（明文） KEY: 共享密钥 Set remotegw A.B.C.D (config-phase1-gateway)# 设置对等体地址 A.B.C.D 对端IP地址 Set remotegw dynamic (config-phase1-gateway)# 设置对等体地址为动态 Dynamic ：对端动态IP Set remotegw hostname NAME (config-phase1-gateway)# 通过主机名设置对等体 NAME：对端主机名称 Set xauth-server USERGROUP (config-phase1-gateway)# 配置XAUTH USERGROUP：用户组第13页, 共34页

IPSEC VPN命令手册

命令名称使用模式功能

命令名称使用模式功能参数解释 No authentication (config-phase1-gateway)# 取消认证.. No group (config-phase1-gateway)# 取消DH设置 No lifetime (config-phase1-gateway)# 取消ISAKMP SA生存时间设置 Mode (transport|tunnel) (config-phase2-tunnel)# mode的设置 Transport:传输模式 Tunnel:隧道模式默认隧道模式命令名称使用模式功能

命令名称使用模式功能

No set mode (config-phase1-gateway)# 取消mode的设置 No Mode (config-phase2-tunnel)# 取消mode模式的设置

第14页, 共34页

IPSEC VPN命令手册

命令名称使用模式功能

命令名称使用模式功能参数解释

命令名称使用模式功能

命令名称使用模式 No set modecfg-server (config-phase1-gateway)# 取消地址池等的设置 No set nat (config-phase1-gateway)# 取消设置NAT No set policy <1-3> (config-phase1-gateway)# 取消关联策略 <1-3>:策略ID No set preshared-key (config-phase1-gateway)# 取消设置预共享密钥 No set remotegw (config-phase1-gateway)# 取消对等体设置 No set xauth-serve (config-phase1-gateway)# 取消XAUTH设置 No set localid address (config-phase1-gateway)#

第15页, 共34页

IPSEC VPN命令手册

set remotegw 10.0.0.1 authentication rsa-sig

\\\\公钥认证

set local-cert cba \\\\本地证书 lifetime 86400 group 2 set policy 1 encrypt 3des hash sha exit vpn ipsec phase2 edit tunnel tl1 set peer gw1 mode tunnel pfs 2

set lifetime seconds 86400 set lifetime kilobytes 100000

set proposal1 esp-3des-md5 ah-md5-hmac ！

policy 1 vlan1 eth0 obj1 obj2 any always ipsec enable vpn tl1 ！

ip route 192.168.4.0/24 10.0.0.1 ！

3.2 ACCESS VPN

第31页, 共34页

IPSEC VPN命令手册

Eth0:67.0.0.1

IPSec VPN tunnelVlan1:192.168.2.0/24

1. Access VPN预共享密钥配置如下：！

interface eth0 ip address 67.0.0.1/24 access ping interface vlan1

ip address 192.168.2.1/24 access telnet access ping ！

address obj1

net-address 192.168.2.0/24 ！

vpn ipsec phase1 edit gateway gw1 set mode aggressive set remotegw dynamic authentication preshared

set preshared-key secret XXXXXX lifetime 86400 group 2 set policy 1 encrypt 3des

第32页, 共34页

IPSEC VPN命令手册

hash sha exit

vpn ipsec phase2 ！

policy 1 vlan1 eth0 obj1 any any always ipsec vpn tl1 enable ！

2. Access VPN证书认证配置如下：！

interface eth0 ip address 67.0.0.1/24 access ping interface vlan1

ip address 192.168.2.1/24 access telnet access ping ！

address obj1

net-address 192.168.2.0/24

第33页, 共34页

edit tunnel tl1 set peer gw1 mode tunnel pfs 2

set lifetime seconds 86400 set lifetime kilobytes 100000

set proposal1 esp-3des-md5 ah-md5-hmac exit

IPSEC VPN命令手册

！

vpn certificate ca cert import tftp 1.1.1.1 ca.crt

vpn certificate local cert_key import local tftp 1.1.1.1 aaa.crt aaa.key 000000 vpn ipsec phase1 edit gateway gw1 set mode aggressive set remotegw 67.0.0.2 authentication rsa-sig set localcert aaa lifetime 86400 group 2 set policy 1 encrypt 3des hash sha exit vpn ipsec phase2 ！

policy 1 vlan1 eth0 obj1 any any always ipsec vpn tl1 enable

edit tunnel tl1 set peer gw1 mode tunnel pfs 2

set lifetime seconds 86400 set lifetime kilobytes 100000

set proposal1 esp-3des-md5 ah-md5-hmac exit

！

第34页, 共34页

IPSEC VPN命令手册

命令名称使用模式功能

命令名称使用模式功能配DNS 参数解释

命令名称使用模式功能

命令名称 No set lifetime kilobytes (config-phase2-tunnel)# 取消设置IPSEC SA生存矢量 No set lifetime second (config-phase2-tunnel)# 取消设置IPSEC SA 生存时间 No set peer (config-phase2-tunnel)# 取消设置IKE第一阶段网关 No set proposal1 (config-phase2-tunnel)# 取消设置第二阶段加密方式 No set proposal2 (config-phase2-tunnel)# 取消设置第二阶段加密方式 No set proposal3 (config-phase2-tunnel)# 取消设置第二阶段加密方式 Set sesseion-key (esp-3des-md5|esp-3des-null|esp-3des-sha1| esp-aes128-md5|esp-aes128-null|esp-aes128-sha1|

第21页, 共34页

IPSEC VPN命令手册

命令名称使用模式功能

命令名称使用模式功能参数解释 Set (localspi|remotespi) <256-4294967295> (config-manual-set)# 设置安全索引参数 Localspi：本地安全索引 Remotespi：远端安全索引 <256-4294967295>：索引值

命令名称使用模式功能

第22页, 共34页

No set session-key esp (config-manual-set)# 取消设置第二阶段加密方式及关键字、认证密钥 No set spi (config-manual-set)# 取消设置SPI

IPSEC VPN命令手册

命令名称使用模式功能参数解释

命令名称使用模式功能

命令名称使用模式功能参数解释

命令名称 Set local A.B.C.D (config-manual-set)# 设置本端地址 A.B.C.D本地地址 No set local (config-manual-set)# 取消设置本端地址 vpn TUNNELNAME (config-policy)# 将策略对新的VPN生效 TUNNELNAME：IKE 第二阶段隧道名字 Clear crypto isakmp Clear crypto isakmp NAME 使用模式功能参数解释

命令名称 enable# 清IPSEC 第一阶段sa NAME：IKE 第一阶段SA的名字 Clear crypto sa Clear crypto sa NAME 使用模式功能

命令名称 enable# 清IPSEC SA Clear crypto manual sa Clear crypto manual sa NAME 使用模式

enable# 第23页, 共34页

IPSEC VPN命令手册

功能

清手动IPSEC全阶段SA

第24页, 共34页

IPSEC VPN命令手册

3 典型配置

两端设备要在IKE第一阶段配置认证方式，预共享密钥要求两端设备的密钥要一致，数字证书则要求每个设备要有一个证书，并且这两个证书可以互相信任，这样双方才可以互相PING通，实现互联和接入。

IPSEC VPN 在网络层对数据实施加密，通过安全隧道与客户端或对端网络安全互联,主要组网方式有SITE TO SITE和ACCESS。

3.1 SITE TO SITE VPN

AEth0:10.0.0.2Eth0:10.0.0.1BIPSec VPN tunnelVlan1:192.168.2.0/24Vlan1:192.168.4.0/24

1．SITE TO SITE预共享密钥配置如下： ICG-B: ！ interface eth0 ip address 10.0.0.1/24 access telnet access ping interface vlan1

ip address 192.168.4.1/24 access ping ！

第25页, 共34页

IPSEC VPN命令手册

address obj1 \\\\设置地址对象 net-address 192.168.2.0/24 address obj2

net-address 192.168.4.0/24 ！

vpn ipsec phase1

edit gateway gw2 \\\\设置IKE第一阶段名字 set mode main \\\\主模式【默认主模式】 set remotegw 10.0.0.2 \\\\对端地址（远端网关） authentication pre-share \\\\预共享密钥模式【默认】 set preshared-key secret XXXXXX

\\\\ 设置密钥

lifetime 86400 \\\\ISAKMP SA生存周期【默认10800】

group 2 \\\\DH组【默认】 set policy 1 \\\\ 选择ike的相对POLICY encrypt 3des \\\\3DES加密 hash md5 exit vpn ipsec phase2 edit tunnel tl2 set peer gw2 mode tunnel pfs 2

\\\\IKE第二阶段名字 \\\\本端IKE第一阶段的名字

\\\\隧道模式【默认】 \\\\前向保护

\\\\IPSEC SA生存周期【默认3600】 \\\\生存周期字节 \\\\设置加密方式

\\\\MD5校验

set lifetime seconds 86400 set lifetime kilobytes 100000

set proposal1 esp-3des-md5 ah-md5-hmac ！

policy 1 vlan1 eth0 obj2 obj1 any always ipsec enable vpn tl2

\\\\设置POLICY

\\\\IKE生效

第26页, 共34页

IPSEC VPN命令手册

！

ip route 192.168.2.0/24 10.0.0.2 ！ ICG-A: ！

interface eth0 ip address 10.0.0.2/24 access telnet access ping interface vlan1

ip address 192.168.2.1/24 access ping ！

address obj1 \\\\设置地址对象 net-address 192.168.2.0/24 address obj2

net-address 192.168.4.0/24 ！

vpn ipsec phase1

edit gateway gw1 \\\\设置IKE第一阶段名字 set mode main \\\\ 主模式\\【默认主模式】 set remotegw 10.0.0.1 \\\\对端地址（远端网关） authentication pre-share \\\\预共享密钥模式【默认】 set preshared-key secret XXXXXX

\\\\设置密钥

\\\\设置路由

lifetime 86400 \\\\ISAKMP SA生存周期【默认10800】

group 2 \\\\DH组【默认】 set policy 1 \\\\选择ike的相对POLICY encrypt 3des \\\\3DES加密 hash md5

\\\\MD5校验

第27页, 共34页

IPSEC VPN命令手册

exit vpn ipsec phase2 edit tunnel tl1 set peer gw1 mode tunnel pfs 2

\\\\IKE第二阶段名字 \\\\本端IKE第一阶段的名字 \\\\隧道模式【默认】 \\\\前向保护

\\\\IPSEC SA生存周期【默认3600】 \\\\生存周期字节 \\\\设置加密方式

set lifetime seconds 86400 set lifetime kilobytes 100000

set proposal1 esp-3des-md5 ah-md5-hmac ！

policy 1 vlan1 eth0 obj1 obj2 any always ipsec enable vpn tl1 ！

ip route 192.168.4.0/24 10.0.0.1 ！

\\\\设置POLICY

\\\\IKE生效

\\\\设置路由

2． SITE TO SITE X509证书认证配置如下： ICG-B: ！

interface eth0 ip address 10.0.0.1/24 access telnet access ping interface vlan1

ip address 192.168.4.1/24 access telnet access ping ！

address obj1

第28页, 共34页

IPSEC VPN命令手册

net-address 192.168.2.0/24 address obj2

net-address 192.168.4.0/24 ！

vpn certificate ca cert import tftp 1.1.1.1 ca.crt \\\\安装根CA证书 vpn certificate local cert_key import local tftp 1.1.1.1 abc.crt abc.key 111111

！

vpn ipsec phase1 edit gateway gw2 set mode main set remotegw 10.0.0.2 authentication rsa-sig

\\\\公钥认证

\\\\安装本地证书

set local-cert abc \\\\ 本地证书 lifetime 86400 group 2 set policy 1 encrypt 3des hash sha exit vpn ipsec phase2 edit tunnel tl2 set peer gw2 mode tunnel pfs 2

set lifetime seconds 86400 set lifetime kilobytes 100000

set proposal1 esp-3des-md5 ah-md5-hmac ！

第29页, 共34页

IPSEC VPN命令手册

policy 1 vlan1 eth0 obj2 obj1 any always ipsec enable vpn tl2 ！

ip route 192.168.2.0/24 10.0.0.2 ！ ICG-A: ！

interface eth0 ip address 10.0.0.1/2 access telnet access ping interface vlan1

ip address 192.168.2.1/24 access telnet access ping ！

address obj1

net-address 192.168.2.0/24 address obj2

net-address 192.168.4.0/24 ！

vpn certificate ca cert import tftp 2.2.2.2 ca.crt \\\\安装根CA证书 vpn certificate local cert_key import local tftp 2.2.2.2 cba.crt cba.key 000000