ipsec手工配置sa，了解一下？

同學們好，大家都知道VPN技術在公司網路搭建中，是一種非常重要的技術，這其中ipsec VPN這種安全VPN技術應用還是比較廣泛的，大家在學習的過程中配置的大多是動態建立SA的技術，也就是我們熟悉的配置IKE，那麼大家配置過手工建立SA的方法嗎？今天就為大家介紹一下關於手工建立SA的配置方法。

一、需求分析

如圖所示，兩邊私網PCA和PCB需要通過ipsec vpn實現安全通信，通過手工配置sa的方式。

二、配置過程

PC及路由設備的IP地址如圖所示，基礎配置省略。

R1中：

[R1-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination

192.168.2.0 0.0.0.255 //配置安全數據流

[RT1]ipsec transform-set r1

[R1-ipsec-transform-set-r1]esp authentication-algorithm md5

[R1-ipsec-transform-set-r1]esp encryption-algorithm 3des-cbc

//配置安全提議驗證和加密，使用ESP協議

[R1]ipsec policy r1 10 manual //配置ipsec的策略模式為手工配置sa

[R1-ipsec-policy-manual-r1-10]transform-set r1

[R1-ipsec-policy-manual-r1-10]security acl 3000

[R1-ipsec-policy-manual-r1-10]remote-address 200.0.0.2

以下是手工設置SA的特殊配置，由於不是動態獲取，SA的部分信息需要手工指定，如下所示：

[R1-ipsec-policy-manual-r1-10]sa spi inbound esp 12345 //配置spi入方向

[R1-ipsec-policy-manual-r1-10]sa spi outbound esp 54321 //配置spi出方向

[R1-ipsec-policy-manual-r1-10]sa string-key inbound esp simple abc //配置ESP協議的入方向SA的密鑰為明文字元串abc

[R1-ipsec-policy-manual-r1-10]sa string-key outbound esp simple cba //配置ESP協議的出方向SA的密鑰為明文字元串cba

[R1-GigabitEthernet0/0]ipsec apply policy r1 //介面調用策略

R3的配置和R1類似，不多加介紹

三、結果

在PCA上ping PCB，如下圖所示：

觸發IPSEC封裝，因為已經手工配置了sa，所以ping的第一個包就是通的，可以通信。

Display ipsec sa：

其中No duration limitfor this SA代表手工配置的SA沒有老化時間。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！