admin管理员组文章数量:1587775
顾名思义,Internet协议安全性(IPsec)在Internet协议(IP)层提供安全性。 本教程需要基本了解什么是IPsec,以及如何将其用于保护网络上的数据。 您可以参考知识中心或其他资源(如Wiki)来了解IPsec。
本教程讨论了在IBM®AIX®(6.1 / 7.1 / 7.2)和Microsoft Windows 2012系统之间建立IPsec隧道的两种不同方法。 这些方法涉及在AIX和Windows系统之间使用IKEv1的预共享密钥和证书。 表1简要描述了本教程中涉及的主要主题及其含义。
表1.涵盖的主要主题
内容 | 描述 |
---|---|
术语和假设 | 本节提供有关本教程中使用的重要术语的注释,以及一些配置设置的假设。 |
使用预共享密钥的IKEv1隧道 | 本部分说明了要在AIX上更新的必需的Internet密钥交换(IKE)XML文件。 它还详细说明了如何在Windows 2012上针对IKEv1使用GUI。 |
使用证书的IKEv1隧道 | 本节说明了在AIX上更新所需的IKE XML文件。 Windows 2012上几乎所有要执行的步骤都与“ 使用预共享密钥的IKEv1隧道 ”部分中提到的步骤相同。 这两种方法在Windows上仅一步之遥。 本节仅突出显示此单个步骤。 |
术语和假设
本节说明了一些术语,例如发起方和响应方,并重点介绍了本教程所基于的一些假设。
- 在本教程中,出于说明目的,我们提到了AIX系统的IP为1.1.1.1,Windows系统的IP为2.2.2.2。 这些需要替换为您环境中的相应IP。
- 源和目标系统矩阵:
表2.源和目标IP
系统 包方向 资源 目的地 在AIX上 传入 2.2.2.2(Windows) 1.1.1.1(AIX) 在AIX上 外向 1.1.1.1(AIX) 2.2.2.2(Windows) 在Windows上 传入 1.1.1.1(AIX) 2.2.2.2(Windows) 在Windows上 外向 2.2.2.2(Windows) 1.1.1.1(AIX) 源始终是创建和发送数据包的系统。 目的地始终是接收目的地的系统。 该表(表2)需要从左到右读取。 例如,第一行的解释如下:
在“ AIX”系统上,当数据包“传入”时,数据包中提到的源是“ 2.2.2.2(Windows)”,此数据包中提到的目的地是“ 1.1.1.1(AIX)”
- 发起者是发起隧道连接的系统,响应者是响应发起者请求的系统。
Windows或AIX系统都可以作为启动器。 您可以通过ping通或与AIX通信从Windows激活隧道。 或者,您可以在AIX上运行
ike cmd=activate
命令,隧道将处于活动状态。 如果这些方法之一不起作用,请尝试其他方法。 - 对于此设置,您需要在AIX上配置IPsec设备。
在AIX上运行
lsdev -Cc ipsec
命令将显示ipsec_v4
设备可用。 否则运行smitty ipsec4
。在“ smitty”面板中:
- 选择“ 启动/停止IP安全” ,然后按Enter。
- 选择“ 启动IP安全性” ,然后按Enter。
- 在下一个屏幕上,保留默认设置,然后按Enter。
- 在“命令状态”屏幕上,消息ipsec_v4 Available表示设备已成功配置。
使用预共享密钥在AIX和Windows之间建立IKEv1隧道
需要在AIX系统上创建以下XML文件。 我们将其命名为AIX-Windows-PreShared-IKEv1.xml。 使用以下命令将此XML文件添加到AIX上的IKE数据库:
/usr/sbin/ikedb -x
/usr/sbin/ikedb -p AIX-Windows-PreShared-IKEv1.xml
<?xml version="1.0"?>
<AIX_VPN
Version="2.1">
<IKEProtection
IKE_Role="Both"
IKE_Version="1"
IKE_XCHGMode="Main"
IKE_KeyOverlap="10"
IKE_Flags_UseCRL="No"
IKE_ProtectionName="P1Pol"
IKE_ResponderKeyRefreshMaxKB="200"
IKE_ResponderKeyRefreshMinKB="1"
IKE_ResponderKeyRefreshMaxMinutes="1440"
IKE_ResponderKeyRefreshMinMinutes="60">
<IKETransform
IKE_Encryption="3DES-CBC"
IKE_Hash="SHA"
IKE_DHGroup="1"
IKE_AuthenticationMethod="Preshared_key"
IKE_KeyRefreshMinutes="240"/>
</IKEProtection>
<IKETunnel
IKE_TunnelName="P1"
IKE_ProtectionRef="P1Pol"
IKE_Flags_AutoStart="Yes"
IKE_Flags_MakeRuleWithOptionalIP="No">
<IKELocalIdentity>
<IPV4_Address
Value="1.1.1.1"/>
</IKELocalIdentity>
<IKERemoteIdentity>
<IPV4_Address
Value="2.2.2.2"/>
</IKERemoteIdentity>
</IKETunnel>
<IKEPresharedKey
Value="12345"
Format="ASCII">
<IKEPresharedRemoteID>
<PK_IPV4_Address
Value="2.2.2.2"/>
</IKEPresharedRemoteID>
</IKEPresharedKey>
<IPSecProposal
IPSec_ProposalName="P2Prop">
<IPSecESPProtocol
ESP_Encryption="ESP_3DES"
ESP_KeyRefreshKB="0"
ESP_Authentication="HMAC-SHA"
ESP_ExtendedSeqNum="0"
ESP_EncapsulationMode="Transport"
ESP_KeyRefreshMinutes="30"/>
</IPSecProposal>
<IPSecProtection
IPSec_Role="Both"
IPSec_KeyOverlap="10"
IPSec_ProposalRefs="P2Prop "
IPSec_ProtectionName="P2Pol"
IPSec_InitiatorDHGroup="0"
IPSec_ResponderDHGroup="NO_PFS"
IPSec_Flags_UseLifeSize="No"
IPSec_Flags_UseCommitBit="No"
IPSec_ResponderKeyRefreshMaxKB="200"
IPSec_ResponderKeyRefreshMinKB="1"
IPSec_ResponderKeyRefreshMaxMinutes="43200"
IPSec_ResponderKeyRefreshMinMinutes="30"/>
<IPSecTunnel
IKE_TunnelName="P1"
IPSec_TunnelName="P2"
IPSec_ProtectionRef="P2Pol"
IPSec_Flags_OnDemand="No"
IPSec_Flags_AutoStart="Yes">
<IPSecLocalIdentity
Port="0"
EndPort="65535"
Protocol="0">
<IPV4_Address_
版权声明:本文标题:ikev2 ikev1_AIX 6.1或更高版本与Windows 2012之间的IKEv1 IPsec隧道 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1728007369a1141784.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论