简单又复杂的IPSec vpn配置_esp encryption-algorithm

   

定义：

IPSec是IETF（Internet Engineering Task Force ）制定的一组开放的网络安全协议。并不是一个单独的协议，是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议，密钥交换和用于验证及加密的一些算法等。

安全性：隧道模式优于传输模式。传输模式不改变原有的IP包头，在原数据包后面插入IPSec包头，将原来的数据封装成被保护的数据。对数据包加密，隐藏了数据包中的IP地址，有利于端到端通信中数据的安全性

AR1配置：

acl number 3000  配置acl允许192.168.1.0源IP地址，及192.168.2.0目的IP地址

 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

ipsec proposal 1 创建安全提议

华为中有默认封装模式（tunnel）和安全协议esp

 esp authentication-algorithm sha1   指定esp的认证算法为shal

 esp encryption-algorithm aes-256  设置加密算法

ie proposal 10     创建ike提议

 encryption-algorithm aes-cbc-256  设置ike认证算法

ike peer ike10 v1   创建ike对等体

 pre-shared-key cipher ******** 设置加密密码（cipher加密，simple明文）

 ike-proposal 10  应用ike安全提议

 remote-address 20.1.1.2  对端的IP地址

ipsec policy po 10 isakmp  配置IPsec策略

 security acl 3000  应用acl

 ike-peer ike10   应用ike对等体

 proposal 1  应用IPSec安全提议

interface GigabitEthernet0/0/0

 ip address 10.1.1.1 255.255.255.0

 ipsec policy po   在接口上应用ipsec策略  

查看命令display  ike  sa

一些默认配置不用配置

AR2配置：

acl number 3000  

 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

ipsec proposal 1

 esp authentication-algorithm sha1

 esp encryption-algorithm aes-256

ike proposal 10

 encryption-algorithm aes-cbc-256

ike peer ike10 v1

 pre-shared-key cipher %$%${"@cGFyLlVmL@4G,4=J.,.2n%$%$

 ike-proposal 10

 remote-address 10.1.1.1

ipsec policy po 10 isakmp

 security acl 3000

 ike-peer ike10

 proposal 1

interface GigabitEthernet0/0/0

 ip address 20.1.1.2 255.255.255.0

 ipsec policy po