ipsec配置步骤

手动/自动配置IPSec

IPSec 互联网 Protocol Security 作为开放标准的安全框架结构，可用于保证IP在网络上传输数据报文的机密性、完整性和防重放。

机密性：对数据进行加密保护，用密文性质传输数据

完整性：验证接收到的数据，以确定报纸是否被篡改。

防重放:防止恶意用户通过重复发送捕获的数据包进行攻击，拒绝接收重复的数据包

IPSec架构：

IPSec 包括AH和ESP实现这两个安全协议IP安全传输数据报文。一般使用ESP有加密功能

IKE协议：自动协商AH和ESP使用的加密算法协商建立和维护安全联盟SA等服务

安全联盟SA

定义了安全联盟IPSec对等体间使用的数据包装模式、认证加密算法、密钥等参数；

安全联盟是单向的，两个对等体之间的双向通信至少需要两个SA.

SA 有三元组唯一的标志：包括安全参数索引SPI，目的IP地址，安全协议(AH/ESP)

建立SA有两种方式：

手动方式

IKE动态协商

IPSec 协议有两种包装模式：传输模式和隧道模式

传输模式：AH或ESP报头位于IP报头与传输层报头之间

隧道模式：IPSec会产生另一个新的IP并封装在报头上AH或ESP之前。

IPSec配置步骤：

1.网络配置可达

2.配置ACL识别兴趣流

3.创建安全建议：定义保护数据流中使用的安全协议、认证算法、加密算法和包装模式

4.创建安全策略：手工建立SA策略和IKE协商建立SA的策略

5.应用安全策略