第6章 路由器的安全管理

nullnull第6章 路由器安全管理6.1 路由器安全概述 6.2 AAA与RADIUS原理及配置6.3 访问控制列表配置6.4 IPSec与IKE技术与配置 null在目前的网络体系中，路由器是多种网络互联的重要设备，因为路由器一般位于防火墙之外，是边界网络的前沿，所以路由器的安全管理成为了第一道防线。在默认情况下，路由器访问密码存储在固定位置，用第一章讲到的sniffer嗅探器很容易获得登录名和密码，从而使路由器完全受到攻击者控制，从而入侵整个路由器管理的网络。目前的路由器种类繁多，优质的路由器都有自己丰富的安全机制，一般都内置了入侵检测系统，但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。在这一章中，针对路由器使用最多的AAA（验证、授权和审计）、访问控制技术和数据加密和防伪和数据加密技术（VPN技术）进行系统介绍，使管理员有章可循，路由器平台很多，国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台两大阵营，本章以华为的VRP的安全配置命令为例进行介绍。　null针对网络存在的各种安全隐患，路由器必须具有的安全特性包括：身份认证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。可靠性要求主要针对故障恢复、负载能力和主设备运行故障时，备份自动接替工作。负载分担主要指网络流量增大时，备份链路承担部分主用链路的工作，线路安全指的是线路本身的安全性，用于防止非法用户利用线路进行访问。网络安全身份认证包括：访问路由器时的身份认证、Console登陆配置、Telnet登陆配置 、SNMP登陆配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。null6.2 AAA与RADIUS协议原理及配置AAA是Authentication（认证）、Authorization（授权）和 Accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。具体如下： · 认证（Authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。 · 授权（Authorization）：授权用户可以使用哪些服务。 · 计费（Accounting）：记录用户使用网络资源的情况。 实现AAA功能可以在本地进行，也可以由AAA服务器在远程进行。记费功能由于占用系统资源大通常都使用AAA服务器实现。对于用户数量大的情况，验证和授权也应该使用AAA服务器。AAA服务器与网络设备的通信有标准的协议，日前比较流行的是RADIUS协议。 提供AAA支持的服务包括：PPP的PAP和CHAP（验证用)、通过telnet登陆到路由器、以及通过各种方式(如console口，aux口等)进入到路由器进行配置的操作和FTP即通过ftp登陆到路由器的用户。nullnull1、验证 用户名、口令验证：包括PPP的PAP验证、用户的CHAP验证、EXEC用户验证、FTP拥护验证和拨号的PPP用户可以进行号码验证。 2、授权 服务类型授权包括一个用户授权提供的服务。可以是PPP、EXEC、FTP中的一种或几种。回呼号码对PPP回呼用户可以设定回呼号码。隧道属性配置L2TP的隧道属性。验证、授权可以在本地进行，也可以在RADIUS服务器进行。但对一个应用服务的验证和授权应使用相同的方法，可以使验证、授权均在本地进行，也可以使用RADIUS服务器。 RADIUS是远程认证拨号用户服务（Remote Authentication Dial-In User Service）的简称，最初由 Livingston Enterprise公司开发，作为一种分布式的客户机/服务器系统，能提供 AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）nullRADIUS服务器对用户的认证过程通常需要利用 NAS等设备的代理认证功能，RADIUS客户端和 RADIUS服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。 RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。 RADIUS的基本消息交互流程如下： nullRADIUS实现AAA的流程如下：null6.2.2 AAA与RADIUS协议配置方法 首次使用AAA，经常发生配置了用户而验证不通过的情况。这实际上是由于没有学会灵活使用aaa accounting-scheme optional的原因。这种情况不是验证不通过，而是计费失败，切断了用户。 因为开始使用的时候启用AAA，这时缺省使用本地验证。而本地验证也是需要计费的，由于没有配置RADIUS服务器，造成计费失败，而因为没有配置aaaaccounting-scheme optional，在计费失败时就断开用户，因此用户不能成功上网。 aaa accounting-scheme optional的作用是在计费失败时允许用户继续使用网络。因此在只验证不了计费的情况下，一定要注意配置aaa accounting-scheme optional命令。 AAA的配置包含如下几个主要步骤： 1．首先应该能够使用AAA，因为在默认情况下是禁止使用AAA。在系统视图下进行下列配置，操作命令为： AAA aaa enable 禁止AAA undo aaa enable null2. 配置认证 ·如果配置通过 FTP、Telnet登录到路由器，以及通过各种终端服务方式（如 Console口、Aux口等）进入到路由器进行配置的操作的Login用户认证方案，在系统视图下操作命令如下： aaa authentication-scheme login { default | scheme-name } [ method1 | [ template server-template-name [ method2 ] ] 删除AAA的Login认证方案或恢复 undo aaa authentication-scheme login {default | scheme-name } 其中，method1为认证方法，可以有以下 5种情况： none ，local，radius，radius none，radius local。method2只能为 local或 none。 null6.2.3 AAA和RADIUS显示与调试 在完成上述配置后，在所有视图下执行 display命令可以显示配置后AAA和 RADIUS的运行情况，通过查看显示信息认证配置的效果。执行 debugging命令可对 AAA和 RADIUS进行调试。 显示在线用户情况 display aaa user 查看本地用户数据库 display local-user 打开 AAA事件调试开关 debugging aaa event 关闭 AAA事件调试开关 undo debugging aaa event 打开 AAA原语调试开关 debugging aaa primitive 关闭 AAA原语调试开关 undo debugging aaa primitive 打开 RADIUS报文调试开关 debugging radius packet 关闭 RADIUS报文调试开关 undo debugging radius packet null6.2.4 AAA和RADIUS典型配置举例1．.对PPP用户采用RADIUS服务器进行认证、计费 组网需求 RADIUS服务器 129.7.66.66作为主认证和计费服务器， RADIUS服务器 129.7.66.67作为备用认证服务器和计费服务器，认证端口号默认为 1812，计费端口号默认为 1813。 组网图 null配置步骤 配置 RouterA # 启动 AAA。 [Quidway] aaa enable # 配置 PPP用户的缺省认证方案。 [Quidway] aaa authentication-scheme ppp default radius # 配置 RADIUS服务器 IP地址和端口。 [Quidway] radius server 129.7.66.66 auth-primary acct-primary [Quidway] radius server 129.7.66.67 # 配置 RADIUS服务器密钥、重传次数、超时定时器时间长度及计费选项。 [Quidway] radius shared-key this-is-my-secret [Quidway] radius retry 2 [Quidway] aaa accounting-scheme ppp default radius [Quidway] radius timer response-timeout 5 # 配置 Serial0/0/0口应用认证方案。 [Router-Serial0/0/0] ppp authentication-mode chap scheme default null2．对FTP用户采用RADIUS服务器进行认证 组网需求对 FTP用户先用 RADIUS服务器进行认证，如果没有响应，则不认证。认证服务器使用129.7.66.66，无备用服务器，端口号为默认值1812。 组网图同上 配置步骤 # 启动 AAA。 [Quidway] aaa enable # 配置 Login用户的缺省认证方案。 [Quidway] aaa authentication-scheme login default radius none # 配置 RADIUS服务器 IP地址和端口，使用默认端口号。 [Quidway] radius server 129.7.66.66 # 配置RADIUS服务器密钥、重传次数、超时定时器时间长度及RADIUS服务器down掉后的恢复时间。 [Quidway] radius shared-key this-is-my-secret [Quidway] radius retry 4 [Quidway] radius timer response-timeout 2 [Quidway] radius timer quiet 1 # 启动 FTP服务器。 [Quidway] ftp-server enable null6.3访问控制列表配置访问控制列表(Access Control List，ACL)为网络设备提供基本的服务安全性。对某类服务而言，安全管理员首先应该考虑该服务是否有必要运行在当前环境中。如果有必要，又有哪些用户能够享用该服务。如果该服务不必要，则应当禁止该服务。因为运行这个不必要的服务，不仅会浪费网络等资源，而且会给当前的网络环境带来安全隐患。如果是部分用户需要，则应当为该服务权限，禁止无权限的用户使用该服务。如果某类服务仅仅在网络内部需要，则还需尽力避免该服务被网络外部访问。同样，如果某类服务仅在网络外部是必须的，则管理员还应将该服务限制在网络外部。对于某些服务来说，即使用户能使用该服务，安全管理员也应该能监管该服务的使用情况，比如控制某服务只能在某段时间内使用，对该服务的使用量进行统计等等。在使用访问控制列表之前，安全管理员必须非常清楚当前网络环境的安全规划，和潜在的安全问题。例如在企业网内部，管理员必须清楚部门A、部门B能够访问的服务器内容，部门A和部门B相互之间能够互通的服务，各部门能够访问的企业网络外部服务，能被企业网络外部访问的服务，以及服务器的访问权限等等。对到达端口的数据包进行分类，并打上不同的动作标记，访问列表作用于路由器的所有端口，访问列表的主要用途有： 包过滤、镜像、流限制、流统计、分配队列优先级等。 null当访问控制列表被创建后，既可以以用于拒绝某些数据包经过某个路由器接口，也可用于拒绝某些数据包经过路由器的所有接口。路由器的访问控制列表在创建后将应用路由器的端口上。默认情况下，路由器将允许所有的数据包经过所有接口，即不做任何转发限制。而采用访问控制列表，则路由器在转发某个数据包之前，将会参考访问控制列表中的内容以确定是否转发。最初，访问控制列表的作用仅限于决定是否转发数据包(如转发或去弃)。管理员只能对怀疑的数据包作出丢弃决定，但不能监控那些存在安全隐患的数据包。路由器提供给管理员更丰富的功能，如利用访问控制列表进行数据包分析、流量限制和流量统计。使用的技术如下：null包过滤（ Packet Filtering )技术指对每个数据包按照用户所定义的项日进行过滤，如比较数据包的源地址、口的地址是否符合规则等。包过滤不涉及会话的状态，也不分析数据，只分析数据包的包头信息。如果配置的规则合理，在这一层能够过滤掉很多有安全隐患的数据包。 报文监控(Packet Monitoring)技术：一般1台设备需要个监控端口就可以监控设备的所有端口。监控端口一般接报文/协议分析仪，用于报文/协议分析。管理员事先确定要监控的报文类型，如ICMP报文。这时进入或离开路由器的所有ICM P报文都会被拷贝到监控端，连接到该端口的网络分析仪能同时收到该报文进行分析。 流量限制(CAR)技术：管理员可以限制某一源与目的对之间的平均报文流量。既可以是IP地址对，也可以是MAC地址对。流量限制将在两个方向上同时进行。 报文统计(Packet Gathering)技术：管理员确定要统计的报文流向，即从何处而来(报文的源地址)，准备去和一哪里(报文的口的地址)。这里的地址既可以是MAC地址，也可以是IP地址。可以统计双向的报文流量，统计结果即可以是报文的字数，也可以是报文的包数。null6.3.2 访问控制列表的创建 一个访问控制列表是由 permit | deny语句组成的一系列的规则列表，若干个规则列表构成一个访问控制列表。在配置访问控制列表的规则之前，首先需要创建一个访问控制列表。 创建一个访问控制列表，先确定ACL是数字型的还是名字型的，需要指定如下参数： ACL如果是名字型的，ACL还需要指定 ACL的用途类型，指定该访问控制列表的匹配顺序，可以使用如下命令创建一个访问控制列表： acl { number acl-number | name acl-name [ basic | advanced | interface ] } [ match-order { config | auto } ] 使用如下的命令删除一个或所有的访问控制列表： undo acl { number acl-number | name acl-name | all } null6.3.3 访问控制列表配置举例： 某公司通过一台Quidway路由器的接口Serial1 /0/0访问Internet，路由器与内部网通过以太网接口Ethernet0/0/0连接。公司内部对外提供WWW. FTP和Telnet服务，公司内部子网为129.38.1.0其中，内部FTP服务器地址为129.38.1.1，内部Telnet服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，公司对外地址为202.38.160.1 0在路由器上配置了地址转换，这样内部PC机可以访问Internet，外部PC可以访问内部服务器。通过配置路由器的防火墙功能，希望实现以下要求： 外部网络只有特定用户地址可以访问内部服务器 内部网络只有特定主机可以访问外部网络。 假定外部特定用户的IP地址为202.39.2.30nullnull3．配置步骤： #在路由器Q上允许防火墙。 〔Q] firewall enable #设.占防火墙缺省过滤方式为允许包通过。 「Q]firewall default permit #创建访问控制列表1010 〔Q] acl number 101 #酉己置规则禁}入所有IP包通过。 〔Q-acl-adv-101〕工一adV-101] rule deny ip #配置规则允许特定主机访问外部网，允许内部服务器访问外部网。 〔Q-acl-adv-101] rule permi ip source 129.38.1.4 0 〔Q-acl-adv-101] rule permi ip source 129.38.1.1 0 〔Q-acl-adv-101] rule permi ip source 129.38.1.2 0 〔Q-acl-adv-101] rule permi ip source 129.38.1.3 0 #创建访问控制列表102 〔Q] acl number 102null#配置规则允许特定用户从外部网访问内部服务器。 [Q-acl-adv-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0 #酉己置规则允许特定用)、‘从外部网取得数据(只允许端口大十1024的包) [Q-acl-adv-102] rule permit tcp destination 202.38.160.10 0 destination-port gt 1024 #将规则101作用于从接口Ethernet0/0/0进入的包。 〔Q-Ethernet0/0/0]firewall packe七一fil七er 101 inbound #将规则102作用于从接口Serial1 /0/0进入的包。 「Q-Serial1/0/0 }]firewall packet一filter 102 inboundnull6.4 IPSec与IKE技术与配置IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。 私有性（ Confidentiality）指对用户数据进行加密保护，用密文的形式传送。 完整性（ Data integrity）指对接收的数据进行验证，以判定报文是否被篡改。 真实性（Data authentication）指验证数据源，以保证数据来自真实的发送者。 防重放（Anti-replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。 IPSec通过AH（Authentication Header，认证头）和 ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为 IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务，以简化IPSec的使用和管理。 nullAH（Authentication Header）是报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重放功能；然而，AH并不加密所保护的数据报。 ESP（Encapsulating Security Payload）是封装安全载荷协议，它除提供AH协议的所有功能之外（数据完整性校验不包括IP头），还可提供对IP报文的加密功能。 AH和 ESP可以单独使用，也可以同时使用。对于 AH和ESP，都有两种操作模式：传输模式和隧道模式。 IKE用于协商AH和ESP所使用的密码算法，并将算法所需的必备密钥放到恰当位置。IKE协商并不是必须的， IPSec所使用的策略和算法等也可以手工协商。null2. IPSec协议的操作模式 IPSec协议有两种操作模式：传输模式和隧道模式。SA中指定了协议的操作模式。 在传输模式下， AH或 ESP被插入到 IP头之后但在所有传输层协议之前，或所有其他 IPSec协议之前。在隧道模式下， AH或 ESP插在原始 IP头之前，另外生成一个新头放到 AH或 ESP之前。不同安全协议在传输模式和隧道模式下的数据封装形式（传输协议以 TCP为例）如图6-7所示：null3. 验证算法与加密算法 (1) 验证算法 AH和 ESP都能够对 IP报文的完整性进行验证，以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数，杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。 IPSec对等体计算摘要，如果两个摘要是相同的，则表示报文是完整未经篡改的。一般来说 IPSec使用两种验证算法： MD5：MD5通过输入任意长度的消息，产生 128bit的消息摘要。 SHA-1：SHA-1通过输入长度小于 2的 64次方比特的消息，产生 160bit的消息摘要。 SHA-1的摘要长于 MD5，因而是更安全的。 (2) 加密算法 ESP能够对 IP报文内容进行加密保护，防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。VRP中 IPSec实现三种加密算法： DES（Data Encryption Standard）：使用 56bit的密钥对一个 64bit的明文块进行加密。 3DES（Triple DES）：使用三个56bit的DES密钥（共168bit密钥）对明文进行加密。 AES（Advanced Encryption Standard）：VRP实现了128bit密钥长度的 AES算法，这也是IETF标准要求实现的。 null4. 协商方式 有两种协商方式建立安全联盟，一种是手工方式（manual），一种是IKE自动协商（isakmp）方式。前者配置比较复杂，创建安全联盟所需的全部信息都必须手工配置，而且IPSec的一些高级特性（例如定时更新密钥）不被支持，但优点是可以不依赖IKE而单独实现IPSec功能。而后者则相对比较简单，只需要配置好IKE协商安全策略的信息，由 IKE自动协商来创建和维护安全联盟。当与之进行通信的对等体设备数量较少时，或是在不型静态环境中，手工配置安全联盟是可行的。对于中、大型的动态网络环境中，推荐使用 IKE协商建立安全联盟。 在实施IPSec的过程中，可以使用因特网密钥交换 IKE（Internet Key Exchange）协议来建立安全联盟，该协议建立在由Internet安全联盟和密钥管理协议ISAKMP（Internet Security Association and Key Management Protocol）定义的框架上。 IKE为IPSec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSec的使用和管理。null从图6-8我们可以看出 IKE和 IPSec的关系。null6.4.3 IPSec在VRP上的配置与实现方法IPSec实现方式是基于下列思路：通过IPSec，对等体之间（此处是指VRP所在路由器及其对端）能够对不同的数据流实施不同的安全保护（验证、加密或两者同时使用）。其中数据流的区分通过配置 ACL来进行；安全保护所用到的安全协议、验证算法和加密算法、操作模式等通过配置安全提议来进行；数据流和安全提议的关联（即定义对何种数据流实施何种保护）、SA的协商方式、对等体IP地址的设置（即保护路径的起/终点）、所需要的密钥和 SA的生存周期等通过配置安全策略来进行；最后在路由器接口上实施安全策略即完成了IPSec的配置。主要步骤如下： （1）定义被保护的数据流 数据流是一组流量（traffic）的集合，由源地址 /掩码、目的地址 /掩码、IP报文承载的协议号、源端口号、目的端口号等来。一个数据流用一个 ACL来定义，所有匹配一个访问控制列表规则的流量，在逻辑上作为一个数据流。一个数据流可以小到是两台主机之间单一的 TCP连接；也可以大到是两个子网之间所有的流量。IPSec能够对不同的数据流施加不同的安全保护，因此 IPSec配置的第一步就是定义数据流。 null (2) 定义安全提议 安全提议规定了对要保护的数据流所采用的安全协议、验证或加密算法、操作模式（即报文的封装方式）等。VRP支持的AH和ESP安全协议，两者既可单独使用，也可联合使用。其中， AH支持MD5和SHA-1验证算法； ESP协议支持MD5、SHA-1验证算法和DES、3DES加密算法。 VRP支持的操作模式包括传输模式和隧道模式。对同一数据流，对等体两端必须设置相同的协议、算法和操作模式。另外，对于两个安全网关（例如VRP路由器间）实施IPSec，建议采用隧道模式，以隐藏实际通信的源和目的IP地址。因此，请先根据需要配置好一个安全提议，以便下一步将数据流和安全提议相关联。 (3) 定义安全策略或安全策略组 安全策略规定了对什么样的数据流采用什么样的安全提议。一条安全策略由 “名字”和“顺序号”共同唯一确定。安全策略分为手工安全策略和IKE协商安全策略，前者需要用户手工配置密钥、SPI、SA的生存周期等参数，在隧道模式下还需要手工配置安全隧道两个端点的IP地址；后者则由IKE自动协商生成这些参数。安全策略组是所有具有相同名字、不同顺序号的安全策略的集合。在同一个安全策略组中，顺序号越小的安全策略，优先级越高。 null (4) 接口实施安全策略 在接口上应用安全策略组，安全策略组中的所有安全策略同时应用在这个接口上，从而实现对流经这个接口的不同的数据流进行不同的安全保护。 根据上面的介绍， IPSec主要配置包括： (1) 配置访问控制列表 (2) 定义安全提议，它包括创建安全提议、选择安全协议、选择安全算法和选择报文封装形式 。 (3) 创建安全策略包括手工创建安全策略和用IKE创建安全策略手工创建安全策略。其中手工创建安全策略包括在安全策略中引用安全提议、在安全策略中引用访问控制列表、配置隧道的起点和终点、配置安全联盟的SPI、配置安全联盟使用的密钥。用IKE创建安全策略包括在安全策略中引用安全提议、在安全策略中引用访问控制列表、在安全策略中引用 IKE对等体、配置安全联盟生存周期（可选）和配置协商时使用的PFS特性。 (4) 配置安全策略（可选） (5) 在接口上应用安全策略 null6.4.3 IPSec在VRP上的配置与实现方法IPSec实现方式是基于下列思路：通过IPSec，对等体之间（此处是指VRP所在路由器及其对端）能够对不同的数据流实施不同的安全保护（验证、加密或两者同时使用）。其中数据流的区分通过配置 ACL来进行；安全保护所用到的安全协议、验证算法和加密算法、操作模式等通过配置安全提议来进行；数据流和安全提议的关联（即定义对何种数据流实施何种保护）、SA的协商方式、对等体IP地址的设置（即保护路径的起/终点）、所需要的密钥和 SA的生存周期等通过配置安全策略来进行；最后在路由器接口上实施安全策略即完成了IPSec的配置。主要步骤如下： （1）定义被保护的数据流 数据流是一组流量（traffic）的集合，由源地址 /掩码、目的地址 /掩码、IP报文承载的协议号、源端口号、目的端口号等来规定。一个数据流用一个 ACL来定义，所有匹配一个访问控制列表规则的流量，在逻辑上作为一个数据流。一个数据流可以小到是两台主机之间单一的 TCP连接；也可以大到是两个子网之间所有的流量。IPSec能够对不同的数据流施加不同的安全保护，因此 IPSec配置的第一步就是定义数据流。 null6.4.4 IPSec显示与调试IPSec提供以下命令显示安全联盟、安全联盟生存周期、安全提议、安全策略 的信息以及 IPSec处理的报文的统计信息。 display命令可在所有视图下进行操作， debugging命令只能在用户视图下操作。 显示安全联盟的相关信息 display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] 显示 IPSec处理报文的统计信息 display ipsec statistics 显示安全提议的信息 display ipsec proposal [ proposal-name ] 显示安全策略的信息 display ipsec policy [ brief | name policy-name [ seq-number ] ] 显示安全策略模板的信息 display ipsec policy-template [ brief | name policy-name [ seq-number ] ] 打开 IPSec的调试功能 debugging ipsec { sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc } 禁止 IPSec的调试功能 undo debugging ipsec { sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc } null清除 IPSec的报文统计信息，此配置任务清除 IPSec的报文统计信息，所有的统计信息都被设置成零。在用户视图下进行下列操作： 清除 IPSec的报文统计信息 reset ipsec statistics 删除安全联盟，此配置任务删除已经建立的安全联盟（无论是手工建立的还是通过 IKE协商建立的）。如果未指定参数，则删除所有的安全联盟。在用户视图下进行下列操作： 删除安全联盟 reset ipsec sa [ remote ip-address | policy policy-name [ seq-number ] | parameters dest-address protocol spi ] 对于通过 IKE协商建立的安全联盟，被删除后如果有报文重新触发 IKE协商， IKE将重新协商建立安全联盟。对于手工建立的安全联盟，被删除后系统会根据手工设置的参数立即创建新的安全联盟。如果指定参数 parameters，由于安全联盟是成对出现的，删除了一个方向安全联盟，另一个方向安全联盟也随之被删除。 null6.4.5 IPSec典型配置案例 1. 采用 isakmp方式建立安全联盟的配置组网需求 在 Router A和 Router B之间建立一个安全隧道，对 PC A代表的子网（10.1.1.x）与 PC B代表的子网（ 10.1.2.x）之间的数据流进行安全保护。安全协议采用 ESP协议，加密算法采用 DES，验证算法采用 SHA1-HMAC-96。 2. 组网图 null3. 配置步骤 (1) 配置 Router A # 配置一个访问控制列表，定义由子网10.1.1.x去子网 10.1.2.x的数据流。 [Quidway] acl number 101 [Quidway-acl-adv-101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [Quidway-acl-adv-101] rule deny ip source any destination any # 配置到PC B的静态路由。 [Quidway] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1 # 创建名为 tran1的安全提议。 [Quidway] ipsec proposal tran1 # 报文封装形式采用隧道模式。 [Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel # 安全协议采用 ESP协议。 [Quidway-ipsec-proposal-tran1] transform esp # 选择算法。 [Quidway-ipsec-proposal-tran1] esp encryption-algorithm des [Quidway-ipsec-proposal-tran1] esp authentication-algorithm sha1 # 退回到系统视图。 [Quidway-ipsec-proposal-tran1] quit null# 配置 IKE对等体。 [Quidway] ike peer peer [Quidway-ike-peer-peer] pre-share-key abcde [Quidway-ike-peer-peer] remote- address 202.38.162.1 # 创建一条安全策略，协商方式为 isakmp。 [Quidway] ipsec policy map1 10 isakmp # 引用安全提议。 [Quidway-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用访问控制列表。 [Quidway-ipsec-policy-isakmp-map1-10] security acl 101 # 引用 IKE对等体。 [Quidway-ipsec-policy-isakmp-map1-10] ike peer peer # 退回到系统视图。 [Quidway-ipsec-policy-isakmp-map1-10] quit # 进入串口配置视图。 [Quidway] interface serial 12/0/1 # 配置串口的 IP地址。 null [Quidway-Serial12/0/1] ip address 202.38.163.1 255.0.0.0 # 在串口上应用安全策略组。 [Quidway-Serial12/0/1] ipsec policy map1 # 退回到系统视图。 [Quidway-Serial12/0/1] quit (2) 配置 Router B # 配置一个访问控制列表，定义由子网 10.1.2.x去子网 10.1.1.x的数据流。 [Quidway] acl number 101 [Quidway-acl-adv-101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [Quidway-acl-adv-101] rule deny ip source any destination any # 配置到 PC A的静态路由。 [Quidway] ip route-static 10.1.1.0 255.255.255.0 202.38.163.1 # 创建名为 tran1的安全提议。 [Quidway] ipsec proposal tran1 # 报文封装形式采用隧道模式。 [Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel # 安全协议采用 ESP协议。 [Quidway-ipsec-proposal-tran1] transform esp null# 选择算法。 [Quidway-ipsec-proposal-tran1] esp encryption-algorithm des [Quidway-ipsec-proposal-tran1] esp authentication-algorithm sha1 # 退回到系统视图。 [Quidway-ipsec-proposal-tran1] quit # 配置 IKE对等体。 [Quidway] ike peer peer [Quidway-ike-peer-peer] pre-share-key abcde [Quidway-ike-peer-peer] remote-address 202.38.163.1 # 创建一条安全策略，协商方式为 isakmp。 [Quidway] ipsec policy use1 10 isakmp # 引用访问控制列表。 [Quidway-ipsec-policy-isakmp-use1-10] security acl 101 # 引用安全提议。 [Quidway-ipsec-policy-isakmp-use1-10] proposal tran1 # 引用 IKE对等体。 [Quidway-ipsec-policy-isakmp-map1-10] ike peer peer # 退回到系统视图。 [Quidway-ipsec-policy-isakmp-use1-10] quit null# 进入串口配置视图。 [Quidway] interface serial 4/1/2 # 配置串口的 IP地址。 [Quidway-Serial4/1/2] ip address 202.38.162.1 255.0.0.0 # 在串口上应用安全策略组。 [Quidway-Serial4/1/2] ipsec policy use1 # 退回到系统视图。 [Quidway-Serial4/1/2] quit 以上配置完成后，Router A和 Router B之间如果有子网 10.1.1.x与子网 10.1.2.x之间的报文通过，将触发IKE进行协商建立安全联盟。IKE协商成功并创建了安全联盟后，子网 10.1.1.x与子网 10.1.2.x之间的数据流将被加密传输。