本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
如图-4所示,Host 1所在网络的出口处部署了一台Device,安全策略通过引用IPv6地址对象组实现Host 1访问Host 2。
图-1 IPv6地址对象组配置组网图
若指定的对端主机名由DNS服务器来解析,则本端按照DNS服务器通知的域名解析有效期,在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址;若指定的对端主机名由本地配置的静态域名解析来解析,则更改此主机名对应的IP地址之后,需要在IPsec策略中重新指定的对端主机名,才能使得本端解析到更新后的对端IP地址。
为保证IPsec对等体上能够成功建立SA,建议两端设备上用于IPsec的ACL配置为镜像对称,即保证两端定义的要保护的数据流范围的源和目的尽量对称。若IPsec对等体上的ACL配置非镜像,那么只有在一端的ACL规则定义的范围是另外一端的子集时,且仅当保护范围小(细粒度)的一端向保护范围大(粗粒度)的一端发起的协商才能成功。
如果IPsec策略下没有配置本端身份,则默认使用高级配置中的全局本端身份。
可对IPsec安全提议进行修改,但对已协商成功的IPsec SA,新修改的安全提议并不起作用,即仍然使用原来的安全提议,只有新协商的SA使用新的安全提议。若要使修改对已协商成功的IPsec SA生效,则需要首先清除掉已有的IPsec SA。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
当IKE协商IPsec SA时,如果接口上的IPsec策略下未配置IPsec SA的生存周期,将采用全局的IPsec SA生存周期与对端协商。如果IPsec策略下配置了IPsec SA的生存周期,则优先使用策略下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/2右侧的<编辑>按钮,配置如下:
安全域:Untrust
选择“IPv6地址”页签,配置IPv6地址/前缀长度:30:1:1::1/112
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/1,配置如下。
加入到安全域:Trust
IPv6地址/前缀长度:20:1:1::1/112
其他配置项使用缺省值
配置对象组
# 选择“对象 > 对象组 > IPv6地址对象组”,进入IPv6地址对象组页面。
# 单击<新建>按钮,进入新建IPv6地址对象组页面,配置对象组名称为test-6a。
图-2 新建IPv6地址对象组页面
# 单击<添加>按钮,进入添加对象页面,进行如下配置:
对象:网段
网段地址:20:1:1::/112
图-3 添加对象页面
# 在添加对象页面,单击<确定>按钮,完成对象的添加。
# 在新建IPv6地址对象组页面,单击<确定>按钮,完成IPv6地址对象组的创建。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:test-6a
源安全域:Trust
目的安全域:Untrust
类型:IPv6
动作:允许
源IP/MAC地址:test-6a
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
Host1主机可以Ping通Host2。
C:\Users\abc> ping 30:1:1::10
正在 Ping 30:1:1::10 具有 32 字节的数据:
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
30:1:1::10 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms