配置采用ike方式建立sa示例.doc

配置采用IKE方式建立SA示例(预共享密钥)组网需求如图7-2所示,组网需求如下:?Host1与Host2之间进行安全通信,在SRGA与SRGB之间使用IKE自动协商建立安全通道。?IKE验证方式为预共享密钥。图7-2采用IKE方式建立SA配置示例组网图(预共享密钥)配置步骤步骤1配置SRGA#进入系统视图。<SRG>system-view#配置本端设备的名称。[SRG]sysnameSRGA#创建编号为2的VLAN。[SRGA]vlan2[SRGA-vlan2]quit#1/0/0的链路类型并加入VLAN。[SRGA]1/0/0[SRGA-1/0/0]portlink-ess[SRGA-1/0/0]essvlan2[SRGA-1/0/0]quit#配置VLAN接口。[SRGA]interfacevlanif2[SRGA-Vlanif2]#关闭VLAN接口的快速转发功能。[SRGA-Vlanif2]undoipfast-forwardingqff[SRGA-Vlanif2]quit#配置VLAN2加入Trust区域。[SRGA]rust[SRGA-zone-trust]addinterfaceVlanif2[SRGA-zone-trust]quit#0/0/0视图。[SRGA]0/0/0#0/0/0的IP地址。[SRGA-0/0/0]#关闭接口的快速转发功能。[SRGA-0/0/0]undoipfast-forwardingqff#退回系统视图。[SRGA-0/0/0]quit#进入Untrust区域视图。[SRGA]firewallzoneuntrust#0/0/0加入Untrust区域。[SRGA-zone-untrust]0/0/0#退回系统视图。[SRGA-zone-untrust]quit#配置到达Host2的静态路由。[SRGA]iproute-#配置ACL规则,允许Host1所在网段的主机访问Host2所在网段的主机。[SRGA]acl3000[SRGA-acl-adv-3000]#退回系统视图。[SRGA-acl-adv-3000]quit#配置ACL规则,允许Host2所在网段的主机访问。[SRGA]acl3001[SRGA-acl-adv-3001]#退回系统视图。[SRGA-acl-adv-3001]quit#进入Trust和Untrust域间视图。[SRGA]rustuntrust#配置域间包过滤规则。[SRGA-interzone-trust-untrust]packet-filter3000outbound[SRGA-interzone-trust-untrust]packet-filter3001inbound#退回系统视图。[SRGA-interzone-trust-untrust]quit#配置域间缺省包过滤规则。[SRGA]firewallpacket-filterdefaultpermitinterzonelocaluntrust配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。#配置名为tran1的IPSec提议。[SRGA]ipsecproposaltran1#配置安全协议。[SRGA-ipsec-proposal-tran1]transformesp#配置ESP协议的认证算法。[SRGA-ipsec-proposal-tran1]espauthentication-algorithmmd5#配置ESP协议的加密算法。[SRGA-ipsec-proposal-tran1]espencryption-algorithmdes#退回系统视图。[SRGA-ipsec-proposal-tran1]quit#创建IKE提议10。[SRGA]ikeproposal10#配置使用pre-shared-key验证方法。[SRGA-ike-proposal-10]authentication-methodpre-share#配置使用MD5验证算法。[SRGA-ike-proposal-10]authentication-algorithmmd5#配置ISAKMPSA的生存周期为5000秒。[SRGA-ike-proposal-10]saduration5000#退回系统视图。[SRGA-ike-p