IKE协商对象创建
ike proposal xx//创建ike协商
authentication-method xx//设置认证方式authentication-algorithm xx//设置认证算法,主要使用MAC进行认证
encryption-algorithm xx//设置加密算法
dh xx//设置DH算法 推荐使用DH14sa duration xx//设置IKE SA的生成周期
prf xxx//设置伪随机函数 sha2-512>sha2-384>sha2-256>aes-xcbc-128->md5
intergrity-algorithm xx//设置完整性算法 sha2-512 > sha2-384 > sha-256 > aes-xcbc-96 > hmac-sha1-96 > hmac-md5-96
IKE对等体创建
无论是版本1还是版本2都都指定对端和本段ID,并且要相互对应 ike peer xx v2|v1
ike-proposal xx//指定该对等体上使用的ike协商对象
pre-shared-key cipher xxx//设置预共享密钥
local-address xxx//当IPsec的出接口地址不固定需要强制指定
remote-address xxx//协商方需要显式地声明对端地IP地址
local-id-type xx//设置本端的ID类型,主要使用name或者fqdn,都是代表字符串的形式
remote-id-type xx//设置对端的ID类型,主要使用name或者fqdn,都是代表字符串的形式
local-id xx//设置本端ID
remote-id xx//设置对端ID
re-authentication interval xx//设置IPsec重协商的时延,表示周期进行IKEv2的重验证 (注意IKEv1的主模式不支持remote id或者local id)
user-table xx//在IKE对等体中引用user-table,主要引用在策略模板上,然后针对不同的支部可以使用不同的预共享密钥
nat traversal//设置NAT穿越
dpd msg [ seq-hash-notify | seq-notify-hash ]//设置载荷的内容的顺序,双方的顺序要一致dpd idle-time xx//设置多长时间没有数据传输发送dpd检测
dpd retransmit-interval xx//设置重传间隔dpd retry-limit xx//设置超时几次的最大限度
dpd type [ on-demand | periodic ]//设置dpd的发送类型,是按需还是周期
remote-name xxx //这种配置对端标识的是在低版本上才会使用的,只有在配置了remote-id-type之后才生效,默认的remote-id-type是IP,此时就不用显式地指定对端地IP,因为remote-address该命令已经指出了。
系统试图下:ike local-name xx //标识本端的标识,该命令只要在ike peer试图下配置了local-id-type name 之后才会生效,默认情况下local-id-type是IP,也就是IPsec出接口的IP地址
用户表的创建
ike user-table xx//其中xx代表了该用户表中的用户数量
user xxx//在用户表中创建用户pre-shared-key xxx//创建该针对该用户使用的预共享密钥
id-type xxx xxx// 表示该用户的标识 类型以及标识内容
IPsec协商对象创建
ipsec proposal xx
transform [ ah | esp ]//设置数据的封装模式是传输模式还是隧道模式
esp [ authentication-algorithm | encryption-algorithm ]//设置ESP安全协议下的认证算法和加密算法
ah authentication-algorithm//设置AH安全协议下的认证算法
encapsulation-mode [ transport | tunnel ]//设置数据的封装模式
IPsec策略创建
ipsec policy name seq-number isakmp
security acl xxx//设置感兴趣流
proposal xx//设置ipsec
ike-peer xx//调用ike对端
sa traigger-mode [ auto | traffic-based ]//表示IPsec SA协商出发的方式
pfs dh-groupx//表示设置PFS特性中的DH算法
route inject [ static | dynamic ] preference xx//设置感兴趣流相关路由信息的注入sa duration [ time-based xx | traffic-based xx ]//针对该IPsec策略进行sa生成周期的设置
anti-replay window xx//设置抗重放的窗口大小,默认1024
IPsec策略模板创建
ipsec policy-template name seq-number//创建ipsec策略模板
security-acl xx//设置acl的感兴趣流
proposal xx//调用ipsec的协商对象
ike-peer xx//调用ike对端对象
pfs dh-groupx//表示设置PFS特性中的DH算法
route inject [ static | dynamic ] preference xx//设置感兴趣流相关路由信息的注入
sa duration [ time-based xx | traffic-based xx ]//针对该IPsec策略进行sa生成周期的设置
anti-replay window xx//设置抗重放的窗口大小,默认1024
系统视图下的一些零碎配置
ipsec policy name seq-number isakmp template xx//创建一个安全策略组并引用安全策略模板
ipsec fragmentation before-encryption//设置加密后分片,默认是加密前分片
ipsec sa global-duration[ time-based xx | traffic-based xx ] //设置全局的sa生成周期
ipsec anti-replay enable//开启抗重放功能
ipsec anti-replay window xx//设置抗重放的窗口大小,默认1024
ipsec policy xx shared local-interface loopback xxx//表示该lookback接口可以被任意公网 接口进入的协商流量所响应
ipsec remote traffic-identical accept//表示即便有新的与当前SA保护内容相同的 协商请求也接受
ipsec nat-keep-alive-timer xxx//设置nat保活的间隔
ike local-name
