ikev2 ikev1

顾名思义，Internet协议安全性（IPsec）在Internet协议（IP）层提供安全性。 本教程需要基本了解什么是IPsec，以及如何将其用于保护网络上的数据。 您可以参考知识中心或其他资源（如Wiki）来了解IPsec。

本教程讨论了在IBM®AIX®（6.1 / 7.1 / 7.2）和Microsoft Windows 2012系统之间建立IPsec隧道的两种不同方法。 这些方法涉及在AIX和Windows系统之间使用IKEv1的预共享密钥和证书。 表1简要描述了本教程中涉及的主要主题及其含义。

表1.涵盖的主要主题

内容 描述 术语和假设 本节提供有关本教程中使用的重要术语的注释，以及一些配置设置的假设。 使用预共享密钥的IKEv1隧道 本部分说明了要在AIX上更新的必需的Internet密钥交换（IKE）XML文件。 它还详细说明了如何在Windows 2012上针对IKEv1使用GUI。 使用证书的IKEv1隧道 本节说明了在AIX上更新所需的IKE XML文件。 Windows 2012上几乎所有要执行的步骤都与“ 使用预共享密钥的IKEv1隧道 ”部分中提到的步骤相同。 这两种方法在Windows上仅一步之遥。 本节仅突出显示此单个步骤。

术语和假设

本节说明了一些术语，例如发起方和响应方，并重点介绍了本教程所基于的一些假设。

在本教程中，出于说明目的，我们提到了AIX系统的IP为1.1.1.1，Windows系统的IP为2.2.2.2。 这些需要替换为您环境中的相应IP。 源和目标系统矩阵：

表2.源和目标IP

系统 包方向 资源 目的地 在AIX上 传入 2.2.2.2（Windows） 1.1.1.1（AIX） 在AIX上 外向 1.1.1.1（AIX） 2.2.2.2（Windows） 在Windows上 传入 1.1.1.1（AIX） 2.2.2.2（Windows） 在Windows上 外向 2.2.2.2（Windows） 1.1.1.1（AIX）

源始终是创建和发送数据包的系统。 目的地始终是接收目的地的系统。 该表（表2）需要从左到右读取。 例如，第一行的解释如下：

在“ AIX”系统上，当数据包“传入”时，数据包中提到的源是“ 2.2.2.2（Windows）”，此数据包中提到的目的地是“ 1.1.1.1（AIX）”

发起者是发起隧道连接的系统，响应者是响应发起者请求的系统。

Windows或AIX系统都可以作为启动器。 您可以通过ping通或与AIX通信从Windows激活隧道。 或者，您可以在AIX上运行ike cmd=activate命令，隧道将处于活动状态。 如果这些方法之一不起作用，请尝试其他方法。

对于此设置，您需要在AIX上配置IPsec设备。

在AIX上运行lsdev -Cc ipsec命令将显示ipsec_v4设备可用。 否则运行smitty ipsec4 。

在“ smitty”面板中：

选择“ 启动/停止IP安全” ，然后按Enter。 选择“ 启动IP安全性” ，然后按Enter。 在下一个屏幕上，保留默认设置，然后按Enter。 在“命令状态”屏幕上，消息ipsec_v4 Available表示设备已成功配置。

使用预共享密钥在AIX和Windows之间建立IKEv1隧道

需要在AIX系统上创建以下XML文件。 我们将其命名为AIX-Windows-PreShared-IKEv1.xml。 使用以下命令将此XML文件添加到AIX上的IKE数据库：

/usr/sbin/ikedb -x /usr/sbin/ikedb -p AIX-Windows-PreShared-IKEv1.xml <?xml version="1.0"?> <AIX_VPN Version="2.1"> <IKEProtection IKE_Role="Both" IKE_Version="1" IKE_XCHGMode="Main" IKE_KeyOverlap="10" IKE_Flags_UseCRL="No" IKE_ProtectionName="P1Pol" IKE_ResponderKeyRefreshMaxKB="200" IKE_ResponderKeyRefreshMinKB="1" IKE_ResponderKeyRefreshMaxMinutes="1440" IKE_ResponderKeyRefreshMinMinutes="60"> <IKETransform IKE_Encryption="3DES-CBC" IKE_Hash="SHA" IKE_DHGroup="1" IKE_AuthenticationMethod="Preshared_key" IKE_KeyRefreshMinutes="240"/> </IKEProtection> <IKETunnel IKE_TunnelName="P1" IKE_ProtectionRef="P1Pol" IKE_Flags_AutoStart="Yes" IKE_Flags_MakeRuleWithOptionalIP="No"> <IKELocalIdentity> <IPV4_Address Value="1.1.1.1"/> </IKELocalIdentity> <IKERemoteIdentity> <IPV4_Address Value="2.2.2.2"/> </IKERemoteIdentity> </IKETunnel> <IKEPresharedKey Value="12345" Format="ASCII"> <IKEPresharedRemoteID> <PK_IPV4_Address Value="2.2.2.2"/> </IKEPresharedRemoteID> </IKEPresharedKey> <IPSecProposal IPSec_ProposalName="P2Prop"> <IPSecESPProtocol ESP_Encryption="ESP_3DES" ESP_KeyRefreshKB="0" ESP_Authentication="HMAC-SHA" ESP_ExtendedSeqNum="0" ESP_EncapsulationMode="Transport" ESP_KeyRefreshMinutes="30"/> </IPSecProposal> <IPSecProtection IPSec_Role="Both" IPSec_KeyOverlap="10" IPSec_ProposalRefs="P2Prop " IPSec_ProtectionName="P2Pol" IPSec_InitiatorDHGroup="0" IPSec_ResponderDHGroup="NO_PFS" IPSec_Flags_UseLifeSize="No" IPSec_Flags_UseCommitBit="No" IPSec_ResponderKeyRefreshMaxKB="200" IPSec_ResponderKeyRefreshMinKB="1" IPSec_ResponderKeyRefreshMaxMinutes="43200" IPSec_ResponderKeyRefreshMinMinutes="30"/> <IPSecTunnel IKE_TunnelName="P1" IPSec_TunnelName="P2" IPSec_ProtectionRef="P2Pol" IPSec_Flags_OnDemand="No" IPSec_Flags_AutoStart="Yes"> <IPSecLocalIdentity Port="0" EndPort="65535" Protocol="0"> <IPV4_Address_Range To_IPAddr="1.1.1.1" From_IPAddr="1.1.1.1"/> </IPSecLocalIdentity> <IPSecRemoteIdentity Port="0" EndPort="65535" Protocol="0"> <IPV4_Address_Range To_IPAddr="2.2.2.2" From_IPAddr="2.2.2.2"/> </IPSecRemoteIdentity> </IPSecTunnel> </AIX_VPN>

为简单起见，让我们使用以下命令仅启动IKEv1守护程序：

stopsrc -g ike startsrc -s tmd ; startsrc -s isakmpd

仅启动isakmpd （IKEv1守护程序）时，不需要启动ikev2d （IKEv2）或iked （代理）守护程序。 仅需要tmd守护程序（隧道管理器守护程序）。

您需要在Windows 2012系统上执行以下步骤来创建IKEv1 IPsec策略。 总体任务可以分为以下五个高级步骤：

将IPsec管理单元添加到Microsoft管理控制台（MMC） 创建IPsec策略。 创建IPsec过滤规则。 定义IP隧道属性。 定义身份验证方法。 定义过滤器动作。 指定其他与隧道相关的设置。 分配IPsec策略。

将IPsec管理单元添加到MMC

执行以下步骤，将IPsec管理单元添加到MMC：

打开MMC。 单击文件 -> 添加/删除管理单元 。

图1. MMC File菜单选项

从“可用的管理单元”列表中，选择“ IP安全策略管理器” ，然后单击“ 添加” 。 然后，单击确定 。

图2.添加“ IP安全策略管理”管理单元

在“选择计算机或域”对话框中，选择“ 本地计算机” ，然后单击“ 完成” 。

图3.选择计算机或域来管理管理单元

单击完成将带您返回到“添加或删除管理单元”对话框。 单击确定 。

创建安全策略

执行以下步骤来创建IPsec策略：

在主控制台中，右键单击“本地计算机上的IP安全策略” ，然后单击“ 创建IP安全策略” 。

图4. IPsecurity策略管理单元的右键菜单选项

图5. IP安全策略向导的欢迎页面

在“ IP安全策略向导”的欢迎页面上，单击“ 下一步” 。 在“ IP安全策略名称”页面上，单击“ 下一步”创建一个名为Policy1的策略。

图6. IP安全策略命名

在“请求安全通信”页面上，单击“ 下一步” 。

图7. IP安全策略向导

在向导完成页面上，选择编辑属性复选框，然后单击完成 。

图8. IP安全策略向导完成

创建IPsec过滤规则

执行以下步骤来创建IPsec过滤规则：

要设置策略属性，请选择右下角的“ 使用添加向导”复选框，然后单击“ 添加” 。

图9.将策略属性添加到新创建的策略

在“ 安全规则向导”的欢迎页面上，单击“ 下一步” 。

图10.安全规则向导欢迎页面

定义IP隧道属性。 选择“ 此规则不指定隧道”选项，然后单击“ 下一步” 。

图11.隧道端点页面

在“网络类型”页面上，选择“ 所有网络连接” ，然后单击“ 下一步” 。

图12.选择网络类型

在“ IP筛选器列表”页面上，单击添加 。

图13.添加IP过滤器

您可以为过滤器列表指定一个有意义的名称。 在此示例中，我们输入了Policy 1 IP Filter List 1 。 请注意，已选中“ 使用添加向导”复选框，然后单击“ 添加” 。

图14.创建一个IP过滤器策略

在“ IP筛选器向导”的欢迎页面上，单击“ 下一步” 。

图15. IP筛选器向导欢迎页面

在“ IP筛选器说明和镜像”属性页上，选择“ 镜像”。 将数据包与源和目标选项完全相反，以对Windows上的传入和传出数据包应用相同的规则。 然后单击“ 下一步” 。

图16. IP过滤器描述和镜像属性页面

在“ IP流量源”页面上，从“源地址”下拉列表中，选择“特定的IP地址或子网” 。

图17. IP流量源选择

另外，在下拉列表下方提供源IP（伙伴系统的IP = AIX系统的IP），然后单击Next 。

在“ IP通信目标”页面上的“目标地址”下拉列表中，选择“特定IP地址或子网” ，添加所需的目标IP，然后单击“ 下一步” 。

图18. IP通信目的地选择

在此示例中，在“ IP协议类型”页面上，我们选择“ 任意”作为协议类型。 您可以根据需要选择所需的协议。 之后，点击下一步 。

图19. IP流量协议类型

在向导完成页面上，单击完成 。

图20. IP筛选器向导完成

请注意，您将被定向到“ IP筛选器列表”对话框。 在对话框中单击“ 确定 ”。

图21. IP过滤器列表对话框

定义IP过滤器操作。 在“ IP筛选器列表”页面上，选择“ 策略1 IP筛选器列表1” ，然后单击“ 下一步” 。

图22. IP过滤器列表页面

在“ 过滤器操作”页面上，如果看到现有的过滤器操作，则可以选择它并单击“ 编辑” 。 否则，如果您不想修改现有的过滤器操作，则可以添加一个新的过滤器操作。 在这个例子中，我们要添加一个新的。 请注意， 使用添加向导复选框已选中。 点击添加 。

图23. Filter Action页面

选择“ 使用添加向导”后 ，“ IP安全筛选器操作向导”将打开。 在欢迎页面上单击“ 下一步 ”。

图24. IP安全过滤器操作向导欢迎页面

我们将默认名称New filter action更改为Policy 1 filter action 1 。 然后，单击下一步 。

图25. Filter Action Name页面

在“筛选器操作的常规选项”页面上，选择“ 协商安全性” ，然后单击“ 下一步” 。

图26.过滤器操作的“常规选项”页面

在“与不支持IPsec的计算机进行通信”页面上，选择“不允许不安全的通信” ，然后单击“ 下一步” 。

图27. IP过滤器在与不识别IPsec的系统通信时的操作

在“ IP流量安全性”页面上，选择“ 完整性和加密” ，然后单击“ 下一步” 。

图28. IP Traffic Security页面

在向导完成页面上，单击完成 。

图29. IP过滤器操作完成页面

请注意，您将被定向到“过滤器操作”页面。 在此页面上，选择新的过滤器操作， 策略1过滤器操作1 。 请注意，已选中“ 使用添加向导”复选框，然后单击“ 下一步” 。

图30.返回到“过滤器操作”页面

定义身份验证方法。 在“身份验证方法”页面上，选择“ 使用此字符串来保护密钥交换 （ 预共享密钥）” ，然后单击“ 下一步” 。 注意，此密钥与在AIX上更新的XML文件中提到的密钥相同。

图31.选择身份验证方法

在“安全规则向导”完成页面上，单击“ 完成” 。

图32.安全规则完成页面

在“ Policy1属性”对话框中，单击“ 常规”选项卡。

图33. Policy1属性对话框

指定其他与隧道相关的设置。 在常规选项卡上，单击设置以指定其他设置。

图34. Policy1属性的General选项卡

在“密钥交换设置”对话框中，设置必须重新生成新密钥的时间。 然后单击“ 方法” 。

图35.策略属性：密钥交换设置

在“密钥交换安全方法”对话框中，选择显示的规则，然后单击“ 编辑” 。

您可以更改用于加密和完整性检查的算法，还可以在此处设置Diffie-Hellman组级别。 确保IKE安全算法与AIX上XML文件中提到的算法匹配。 我们使用的设置是以下屏幕截图中显示的设置。

选择所需的算法后，单击“ 确定” ，然后继续进行下一步。

图36.密钥交换设置：“密钥交换安全方法”对话框

图37.“密钥交换安全方法”对话框

在“密钥交换安全方法”对话框中，单击“ 确定” 。 另外，在“ Policy1属性”对话框中，单击“ 确定” 。

图38.返回到Policy1属性

分配IPsec策略。 创建策略后，请注意，它最初并未分配给系统。

图39.带有IP安全性管理单元的控制台根

右键单击Policy1 ，然后单击分配 。

图40.分配IP安全策略

请注意，“已分配策略”状态现在从“ 否”更改为“ 是 ” 。

图41.分配的IP安全策略

使用证书在AIX和Windows之间建立IKEv1隧道

遵循AIX系统上的证书生成步骤和Windows上的证书导入步骤，前面分别介绍了这些步骤。

在继续执行以下步骤之前，请参考教程在AIX中生成证书并将证书导入IKE IPsec隧道的Windows，以在AIX上创建证书并导入Windows操作系统。

您需要在AIX系统中创建以下XML文件。 让我们将其命名为AIX-Windows-Certificates-IKEv1.xml。 使用以下命令将此XML添加到AIX上的IKE数据库：

/usr/sbin/ikedb -x /usr/sbin/ikedb -p AIX-Windows-Certificates-IKEv1.xml <?xml version="1.0"?> <AIX_VPN Version="2.1"> <IKEProtection IKE_Role="Both" IKE_Version="1" IKE_XCHGMode="Main" IKE_KeyOverlap="10" IKE_Flags_UseCRL="No" IKE_ProtectionName="P1Pol" IKE_ResponderKeyRefreshMaxKB="200" IKE_ResponderKeyRefreshMinKB="1" IKE_ResponderKeyRefreshMaxMinutes="1440" IKE_ResponderKeyRefreshMinMinutes="60"> <IKETransform IKE_Encryption="3DES-CBC" IKE_Hash="SHA" IKE_DHGroup="1" IKE_AuthenticationMethod="RSA_signatures" IKE_KeyRefreshMinutes="240"/> </IKEProtection> <IKETunnel IKE_TunnelName="P1" IKE_ProtectionRef="P1Pol" IKE_Flags_AutoStart="Yes" IKE_Flags_MakeRuleWithOptionalIP="Yes"> <IKELocalIdentity> <ASN1_DN Value="/C=IN/ST=KA/L=BA/O=IBM/OU=ISL/CN=test2"> <IPV4_Address Value="1.1.1.1"/> </ASN1_DN> </IKELocalIdentity> <IKERemoteIdentity> <ASN1_DN Value="/C=IN/ST=KA/L=BA/O=IBM/OU=ISL/CN=test1"> <IPV4_Address Value="2.2.2.2"/> </ASN1_DN> </IKERemoteIdentity> </IKETunnel> <IPSecProposal IPSec_ProposalName="P2Prop"> <IPSecESPProtocol ESP_Encryption="ESP_3DES" ESP_KeyRefreshKB="0" ESP_Authentication="HMAC-SHA" ESP_ExtendedSeqNum="0" ESP_EncapsulationMode="Transport" ESP_KeyRefreshMinutes="30"/> </IPSecProposal> <IPSecProtection IPSec_Role="Both" IPSec_KeyOverlap="10" IPSec_ProposalRefs="P2Prop " IPSec_ProtectionName="P2Pol" IPSec_InitiatorDHGroup="0" IPSec_ResponderDHGroup="NO_PFS" IPSec_Flags_UseLifeSize="No" IPSec_Flags_UseCommitBit="No" IPSec_ResponderKeyRefreshMaxKB="200" IPSec_ResponderKeyRefreshMinKB="1" IPSec_ResponderKeyRefreshMaxMinutes="43200" IPSec_ResponderKeyRefreshMinMinutes="30"/> <IPSecTunnel IKE_TunnelName="P1" IPSec_TunnelName="P2" IPSec_ProtectionRef="P2Pol" IPSec_Flags_OnDemand="No" IPSec_Flags_AutoStart="Yes"> <IPSecLocalIdentity Port="0" EndPort="65535" Protocol="0"> <IPV4_Address_Range To_IPAddr="1.1.1.1" From_IPAddr="1.1.1.1"/> </IPSecLocalIdentity> <IPSecRemoteIdentity Port="0" EndPort="65535" Protocol="0"> <IPV4_Address_Range To_IPAddr="2.2.2.2" From_IPAddr="2.2.2.2"/> </IPSecRemoteIdentity> </IPSecTunnel> </AIX_VPN>

为简单起见，让我们使用以下命令仅启动IKEv1守护程序：

stopsrc -g ike startsrc -s tmd ; startsrc -s isakmpd ; startsrc -s cpsd

仅启动isakmpd （IKEv1守护程序）时，不需要启动ikev2d （IKEv2）或iked （代理）守护程序。 仅需要tmd守护程序。

执行本节中针对Windows系统提到的所有步骤， 使用图31所示的步骤使用预共享密钥在AIX和Windows之间建立IKEv1隧道 。不使用预共享，而是如图42所示为证书指定设置。

图42.“安全规则向导”中的“认证方法”页面

摘要

本教程说明了如何使用证书和预共享密钥在AIX 6.1 / 7.1 / 7.2与Windows 2012系统之间建立IKEv1隧道。 以下教程说明了如何在AIX和Windows操作系统之间使用IKEv2建立隧道：

AIX 6.1或更高版本与Windows 2012之间的IKEv2 IPsec隧道

本系列的第2部分和第3部分共同解释了在AIX 6.1 / 7.1 / 7.2与Windows 2012系统之间建立隧道的四种不同方法。 这四种方法是使用AIX和Windows之间的预共享密钥和证书来建立IKEv1和IKEv2隧道。

Windows的配置步骤（在本教程中进行了说明）在实验室中进行了尝试，并适用于测试团队。 这些步骤未得到Microsoft或IBM的认可。 您可以考虑将本教程中提到的步骤作为入门的指导。 隧道尽头总是有光。 因此，享受配置隧道的乐趣！

相关话题

有关在较旧版本的AIX和Windows系统之间使用IKEv1创建隧道的信息，请参阅AIX与Windows之间的异构IPSec解决方案 。 有关IKEv1，请参阅RFC 。

---

翻译自: https://www.ibm.com/developerworks/aix/library/au-aix-ipsec-tunnel-config-2/index.html

相关资源：Server2016内置CA证书实现IKEv2详细步骤180张截图1-57