0106IKE配置.docx

0106IKE配置.docx

《0106IKE配置.docx》由会员分享，可在线阅读，更多相关《0106IKE配置.docx（28页珍藏版）》请在冰豆网上搜索。

0106IKE配置

插图目录

6IKE配置

关于本章

本章描述内容如下表所示。

标题

内容

6.1IKE概述

了解IKE的基本原理和概念

6.2配置IKE协商时的本地ID

配置IKE协商时的本地ID

6.3配置IKE安全提议

配置IKE安全提议

6.4配置IKE对端属性

配置IKE对端属性

6.5配置IKE的微调

配置IKE的微调

6.6维护

显示配置信息、清除统计信息、调试IKE

6.7采用IKE协商方式建立安全联盟举例

介绍IKE的组网举例。

6.1

IKE概述

本节介绍配置IKE所需要理解的知识，具体包括：

●IKE协议简介

●IPSec的NAT穿越

●IKE在VRP上的实现

6.1.1IKE协议简介

IKE协议

IPSec的安全联盟可以通过手工配置的方式建立，但是当网络中节点增多时，手工配置将非常困难，而且难以保证安全性。

这时就要使用因特网密钥交换协议IKE自动地进行安全联盟的建立与密钥的交换。

IKE协议是建立在由Internet安全联盟和密钥管理协议ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）定义的框架上。

它能够为IPSec提供自动协商交换密钥、建立安全联盟的服务，以简化IPSec的使用和管理。

IKE具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。

IKE的安全机制

●DH（Diffie-Hellman）交换及密钥分发。

Diffie-Hellman算法是一种公开密钥算法。

通信双方在不传送密钥的情况下通过交换一些数据，计算出共享的密钥。

加密的前提是交换加密数据的双方必须要有共享的密钥。

IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥。

即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。

●完善的前向安全性PFS。

指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。

此特性是通过在IKE阶段2的协商中增加密钥交换来实现的。

PFS是由DH算法保障的。

●身份验证。

身份验证确认通信双方的身份。

对于pre-sharedkey验证方法，验证字用来作为一个输入产生密钥，验证字不同是不可能在双方产生相同的密钥的。

验证字是验证双方身份的关键。

●身份保护。

身份数据在密钥产生之后加密传送，实现了对身份数据的保护。

IKE的交换阶段

IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟，如下。

1.通信各方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个ISAKMP安全联盟，即ISAKMPSA（也可称IKESA）；2.用已经建立的安全联盟（IKESA）为IPSec协商安全服务，即为IPSec协商具体的安全联盟，建立IPSecSA，IPSecSA用于最终的IP数据安全传送。

具体安全联盟的建立过程如下图所示。

图6-1安全联盟建立过程

当一个报文从某接口外出时，如果此接口应用了IPSec，会进行安全策略的匹配。

3.如果找到匹配的安全策略，会查找相应的安全联盟。

如果安全联盟还没有建立，则触发IKE进行协商。

IKE首先建立阶段1的安全联盟，即IKESA。

4.在阶段1安全联盟的保护下协商阶段2的安全联盟，即IPSecSA。

5.使用IPSecSA保护通讯数据。

IKE的协商模式

在RFC2409（TheInternetKeyExchange）中规定，IKE第一阶段的协商可以采用两种模式：

主模式（MainMode）和野蛮模式（AggressiveMode）。

●主模式被设计成将密钥交换信息与身份、验证信息相分离。

这种分离保护了身份信息；交换的身份信息受已生成的Diffie-Hellman共享密钥的保护。

但这增加了3条消息的开销。

●野蛮模式则允许同时传送与SA、密钥交换和验证相关的载荷。

将这些载荷组合到一条消息中减少了消息的往返次数，但是就无法提供身份保护了。

虽然野蛮模式存在一些功能限制，但可以满足某些特定的网络环境需求。

例如：

远程访问时，如果响应者（服务器端）无法预先知道发起者（终端用户）的地址、或者发起者的地址总在变化，而双方都希望采用预共享密钥验证方法来创建IKESA，那么，不进行身份保护的野蛮模式就是唯一可行的交换方法；另外，如果发起者已知响应者的策略，或者对响应者的策略有全面的了解，采用野蛮模式能够更快地创建IKESA。

6.1.2IPSec的NAT穿越

NAT穿越（NATTraversal）

IPSec的一个主要应用是建立VPN，但在实际组网应用中，有一种情况会对部署IPSecVPN网络造成障碍：

如果发起者位于一个私网内部，而它希望在自己与远端响应者之间直接建立一条IPSec隧道；这就涉及到IPSec与NAT的配合，主要问题在于，IKE在协商过程中如何发现两个端点之间存在NAT网关，以及如何使ESP报文正常穿越NAT网关。

首先，建立IPSec隧道的两端需要进行NAT穿越能力协商，这是在IKE协商的前两个消息中进行的，通过VendorID载荷指明的一组数据来标识，该载荷数据的定义随所采用草案（draft）版本的不同而不同。

而NAT网关发现是通过NAT-D载荷来实现的，该载荷用于两个目的：

在IKEPeer之间发现NAT的存在；确定NAT设备在Peer的哪一侧。

NAT侧的Peer作为发起者，需要定期发送NATkeepalive报文，以使NAT网关确保安全隧道处于激活状态。

IPSec穿越NAT的处理

IPSec穿越NAT，简单来说就是在原报文的IP头和ESP头（不考虑AH方式）间增加一个标准的UDP报头。

这样，当ESP报文穿越NAT网关时，NAT对该报文的外层IP头和增加的UDP报头进行地址和端口号转换；转换后的报文到达IPSec隧道对端时，与普通IPSec处理方式相同，但在发送响应报文时也要在IP头和ESP头之间增加一个UDP报头。

6.1.3IKE在VRP上的实现

VRP支持IKE的主模式和野蛮模式，并基于RFC2408、RFC2409实现，能够与大多数主流设备厂商互通。

目前，如果VRP上的IPSec需要进行NAT穿越，则IKE第一阶段协商应采用野蛮模式，对端ID类型为对端名称，并在配置IPSec的安全提议时，安全协议采用ESP，还需要以隧道模式（tunnel）封装报文。

VRP上IKE的实现步骤如下：

1.设置IKE交换过程中所使用的本地ID；2.指定对端（IKEPeer）的一系列属性，包括：

IKE协商模式、预共享密钥值、对端的IP地址或对端的名称、是否需要进行NAT穿越等，以保证IKE协商阶段的正确性；3.创建IKE安全提议，以确定IKE交换过程中算法的强度，即安全保护的强度，包括：

身份验证方法、加密算法、验证算法、DH组等。

不同算法的强度不同，强度越高的算法，受保护数据越难被破解，但消耗的计算资源越多。

一般来说，密钥越长的算法强度越高；4.除以上基本步骤外，IKE还具有Keepalive机制，可以判断对端是否能够正常通讯，因此还可配置Keepalive的“interval”和“timeout”两个参数。

当配置了IPSec的NAT穿越时，还可配置发送NAT更新报文的时间间隔。

当上述IKE配置完毕后，需要在IPSec的安全策略视图下引用IKEPeer，以完成自动协商的IPSec的配置（IPSec引用IKEPeer已经在上一章中介绍）。

6.2配置IKE协商时的本地ID

6.2.1建立配置任务

应用环境

在采用野蛮模式进行IKE协商时，需要配置本地路由器ID。

采用主模式时不需要。

前置任务

无

数据准备

在配置IKE协商时的本地ID之前，需准备以下数据。

序号

数据

1

确定本地路由器ID

配置过程

要完成配置IKE协商时的本地ID的任务，需要执行如下的配置过程。

序号

过程

1

配置IKE协商时的本地ID

6.2.2配置IKE协商时的本地ID

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikelocal-namerouter-name，配置IKE协商时的本地ID。

----结束

6.3配置IKE安全提议

6.3.1建立配置任务

应用环境

在进行IKE协商时，需要配置IKE安全提议，此IKE安全提议将被用来建立安全通道。

用户可以按照优先级创建多条IKE安全提议，但是协商双方必须至少有一条匹配的IKE安全提议才能协商成功。

前置任务

无

数据准备

在配置IKE安全提议之前，需准备以下数据。

序号

数据

1

确定IKE安全提议优先级

2

在DES、AES以及3DES中选择一种加密算法

3

在pre-sharedkey和rsa-encr中选择一种验证方法

4

在MD5和SHA中选择一种验证算法

5

在group1和group2即768比特和1024比特中选择一种Diffie-Hellman组标识

6

确定ISAKMPSA生存周期，取值范围60～604800秒

配置过程

要完成配置IKE安全提议的任务，需要执行如下的配置过程。

序号

过程

1

创建IKE安全提议并进入IKE安全提议视图

2

选择加密算法

3

选择验证方法

4

选择验证算法

5

选择Diffie-Hellman组标识

6

配置ISAKMPSA生存周期

7

检查配置结果

6.3.2创建IKE安全提议并进入IKE安全提议视图

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikeproposalpriority-level，创建IKE安全提议并进入IKE安全提议视图。

●可以为进行IKE协商的每一端配置多条提议，在协商时将从优先级最高的提议开始匹配一条双方都相同的提议，匹配的原则是：

协商双方具有相同的加密算法、验证算法、验证方法和Diffie-Hellman组标识。

●系统提供一条缺省的IKE安全提议，具有最低的优先级，此缺省提议具有缺省的加密算法、验证算法、Diffie-Hellman组标识、ISAKMPSA生存周期和验证方法。

----结束

6.3.3选择加密算法

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikeproposalpriority-level，进入IKE安全提议视图。

步骤3执行命令encryption-algorithm{des-cbc|3des-cbc|aes-cbc}，选择加密算法。

目前可使用CBC模式的DES、AES以及3DES加密算法。

----结束

上述涉及AES的配置命令，只在NE16E、NE08E、NE05平台上提供，并由加密卡硬件提供相应功能。

6.3.4选择验证方法

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikeproposalpriority-level，进入IKE安全提议视图。

步骤3执行命令authentication-method{pre-share|rsa-encr}，选择验证方法。

●此配置任务指定一个IKE提议使用的验证方法。

使用pre-sharedkey的验证方法时必须配置验证字。

●目前可使用pre-sharedkey和rsa-encr的验证方法。

----结束

上述涉及rsa-encr的配置命令，只在NE16E、NE08E、NE05平台上提供，并由加密卡硬件提供相应功能。

6.3.5选择验证算法

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikeproposalpriority-level，进入IKE安全提议视图。

步骤3执行命令authentication-algorithm{md5|sha1}，选择验证算法。

缺省情况下使用SHA-1验证算法。

----结束

6.3.6选择Diffie-Hellman组标识

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikeproposalpriority-level，进入IKE安全提议视图。

步骤3执行命令dh{group1|group2}，选择Diffie-Hellman组标识。

缺省情况下指定为group1，即768-bit的Diffie-Hellman组。

----结束

6.3.7配置ISAKMPSA生存周期

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikeproposalpriority-level，进入IKE安全提议视图。

步骤3执行命令sadurationseconds，配置ISAKMPSA生存周期。

●如果duration时间超时，ISAKMPSA将自动更新。

生存周期可以设定为60到604800秒之间的一个值。

因为IKE协商需要进行DH计算，在低端路由器上需要经过较长的时间，为使ISAKMPSA的更新不影响安全通信，建议设置duration大于10分钟。

●SA在设定的生存周期超时前会提前协商另一个SA来替换旧的SA。

在新的SA还没有协商完之前，依然使用旧的SA；在新的SA建立后，将立即使用新的SA，而旧的SA在生存周期超时时被自动清除。

●缺省情况下，ISAKMPSA生存周期为86400秒（一天）。

----结束

6.3.8检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。

操作

命令

显示每个IKE提议配置的参数

displayikeproposal[secp[slot/card/port]]

6.4配置IKE对端属性

6.4.1建立配置任务

应用环境

在进行IKE协商时，需要配置IKE对端属性。

前置任务

在配置IKE对端属性之前，需完成以下任务。

●已经配置IKE安全提议。

●在采用野蛮模式时，已经配置IKE协商时的本地ID。

●在VPN实例与安全联盟关联之前，需要配置VPN实例、配置VPN实例的路由相关属性、配置VPN实例的隧道策略、配置PE-CE间的路由、配置PE-PE间的路由交换。

数据准备

在配置IKE对端属性之前，需准备以下数据。

序号

数据

1

确定IKE对端的名称

2

确定IKE协商模式是主模式还是野蛮模式

3

确定IKE安全提议的编号，是1到100之间的任意一个整数

4

确定本地ID类型是IP地址形式还是名称

5

确定是否有NAT设备需要IPSec穿越

6

确定作为验证字的字符串，长度为1～127

7

确定对端IP地址，点分十进制格式

8

确定对端所属的VPN实例名称

9

确定对端名称，字符串形式，长度为1～15

配置过程

要完成配置IKE对端属性的任务，需要执行如下的配置过程。

序号

过程

1

创建IKEPeer并进入IKEPeer视图

2

配置IKE协商模式

3

配置IKE安全提议

4

配置本地ID类型

5

配置IPSec的NAT穿越

6

配置身份验证字

7

配置对端IP地址或地址段

8

配置对端名称

9

配置VPN实例与安全联盟关联的MPLSVPN接入

10

检查配置结果

6.4.2创建IKEPeer并进入IKEPeer视图

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，创建IKEPeer并进入IKEPeer视图。

----结束

6.4.3配置IKE协商模式

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令exchange-mode{main|aggressive}，配置IKE协商模式。

缺省情况下，采用主模式进行IKE协商。

----结束

6.4.4配置IKE安全提议

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令ike-proposalproposal-number，配置IKE安全提议。

缺省情况下，对于野蛮模式将采用第一个ike提议进行协商，对于主模式将采用本端已配置的所有提议进行协商。

----结束

6.4.5配置本地ID类型

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令local-id-type{ip|name}，配置本地ID类型。

当进行IKE交换时，可以使用IP地址作为ID，也可以使用名称作为ID。

缺省情况下，IKE采用的ID类型为IP地址形式。

当IKE协商模式为野蛮模式时，本地ID类型必须name；当IKE协商模式为主模式时，可以不配置本地ID，但是，本地类型不能为name。

----结束

6.4.6配置IPSec的NAT穿越

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令nattraversal，使能IPSec的NAT穿越。

缺省情况下，禁止NAT穿越功能。

----结束

6.4.7配置身份验证字

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令pre-shared-keykey，配置身份验证字。

目前VRP软件仅提供Pre-sharedkey验证方法，有关验证方法的配置请见后文。

如果选择了Pre-sharedkey验证方法，需要为每个对端配置预共享密钥。

建立安全连接的两个对端的预共享密钥必须一致。

----结束

6.4.8配置对端IP地址或地址段

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令remote-address[vpn-instancevpn-instance]low-ip-address[high-ip-address]，配置对端IP地址或地址段。

----结束

上述涉及配置地址段时，此IKEPeer只能被IPSec的策略模板引用。

6.4.9配置对端名称

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令remote-namename，配置对端名称。

----结束

6.4.10配置VPN实例与安全联盟关联的MPLSVPN接入

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikepeerpeer-name，进入IKEPeer视图。

步骤3执行命令sabindingvpn-instancevpn-instance，配置IPSec隧道绑定的VPN实例。

----结束

此命令也可运用于MPLSVPN网络中。

在MPLSVPN网络中，PE设备上连接CE的接口应与VPN实例进行关联，此时如果再在该接口上应用IPSec策略，就需要通过本命令指明关联的VPN实例。

6.4.11检查配置结果

完成上述配置后，请执行下面的命令检查配置结果。

操作

命令

查看IKEPeer的配置情况

displayikepeer[namepeer-name][secp[slot/card/port]]

6.5配置IKE的微调

6.5.1建立配置任务

应用环境

●IKE通过配置Keepalive报文发送时间间隔来维护ISAKMPSA的链路状态。

如果对端配置了超时时间，则必须在本端配置此Keepalive报文发送时间间隔。

当对端在配置的超时时间内未收到此Keepalive报文时，如果该ISAKMPSA带有TIMEOUT标记，则删除该ISAKMPSA以及由其协商的IPSecSA；否则，将其标记为TIMEOUT。

所以在配置时需使配置的超时时间比Keepalive报文发送时间长。

●在一台路由器上应该同时配置以上两个参数，并且参数要匹配。

●interval和timeout要成对出现，即在一个路由器上配置了timeout参数，那么在对端就要配置interval参数。

●interval的参数应该小于对端的timeout参数值，而不应该与本端进行比较。

●配置一个ISAKMPSA发送NAT更新报文的时间间隔。

NAT侧的Peer作为发起者定期发送NAT-Keepalive报文，以确保安全隧道处于激活状态。

前置任务

在配置IKE的微调之前，需完成以下任务。

●配置IKE协商时的本地ID

●配置IKE安全提议

●配置IKE对端属性

数据准备

在配置IKE的微调之前，需准备以下数据。

序号

数据

1

确定发送Keepalive报文的时间间隔

2

确定等待Keepalive报文的超时时间

3

确定发送NAT更新报文的时间间隔

配置过程

要完成配置IKE的微调的任务，需要执行如下的配置过程。

序号

过程

1

配置发送Keepalive报文的时间间隔

2

配置等待Keepalive报文的超时时间

3

配置发送NAT更新报文的时间间隔

6.5.2配置发送Keepalive报文的时间间隔

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikesakeepalive-timerintervalseconds，配置ISAKMPSA向对端发送Keepalive报文的时间间隔。

缺省情况下，此功能无效。

----结束

6.5.3配置等待Keepalive报文的超时时间

在路由器上进行如下配置。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ikesakeepalive-timertimeoutseconds，配置ISAKMPSA等待Keepalive报文的超时时间。

●在网络上一般不会出现超过连续三次的报文丢失，所以超时时间可以采用对端配置的Keepalive报文发送时间间隔的三倍。

●缺省情况下，此功能无效

----结束

6.