1、网络拓扑图
2、三元组
1)SPI安全参数索引
2)源、目的地址(对端可达)
3)采用封装协议
3、配置
1、创建提议
ipsec proposal 名称
注:安全提议名称为:sp1
封装模式:tunnel隧道模式
esp protocol:认证算法采用Authentication MD5-HMAC-96
加密算法:DES(56位)、3DES、AES(非对称)
2、创建感应兴趣流
acl number 3000//高级访问控制列表
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 30.1.1.0 0.0.0.255
对端
acl number 3000
rule 5 permit IP source 30.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
注:因感应兴趣流的ip网段为内部网段,无法实现联通,需要使用tunnel模式
3、配置IPSEC策略
ipsec policy policy1 10 manual //配置安全策略
security acl 3000 //通过感应兴趣流
proposal sp1 //调用提议
tunnel local 100.1.1.1 //近端出口ip,封装在数据最外层
tunnel remote 200.1.1.1//对端出口ip,封装在数据最外层
sa spi inbound esp 12345 //配置spi的认证、加密方式,并配置“The value of security parameter index(SPI)”
sa string-key inbound esp cipher %DpKu,YbTCR}W9AU%,_%$ //配置sa入方向的密钥与对端出方向的密钥key需要对应
sa spi outbound esp 54321
sa string-key outbound esp cipher %$%$DpKu,YbTCR}W9AU%,_$Y,.2n%$%$