ikev2

1、配置拓扑图 2、 FW1配置（主动） 2.1、配置接口IP set int state GigabitEthernet2/1/0 up set int ip address GigabitEthernet2/1/0 20.20.20.1/24 set int state GigabitEthernet2/2/0 up set int ip address GigabitEthernet2/2/0 30.30.30.1/24 2.2、配置IPSec IKEv2 1、创建名为pr1的IKEV2配置 ikev2 profile add pr1 配置说明：ikev2 profile [add|del] <id> 2、设置共享密钥认证方法 ikev2 profile set pr1 auth shared-key-mic string Vpp123 配置说明：ikev2 profile set <id> auth [rsa-sig|shared-key-mic] [cert-file|string|hex] <data> 3、设置本地id ikev2 profile set pr1 id local fqdn vpp1.home 配置说明：ikev2 profile set <id> id <local|remote> <type> <data> 4、设置远端id ikev2

strongwan sa分析(二) Author： Cao Tong Date： 2018-12-29 Version： 1.2 文档历史 版本 日期 说明 修改人 1.0 20181229 初版 caotong 1.1 20190102 修改重要的概念阐述，IKE SA rekey caotong 1.2 20190103 修改IPsec SA的名称约定 caotong 名词约定 client / initiator: IKE连接的首先发起方。 server / responder: IKE连接首先发起方的对方，即响应方。 IKE SA: 用于对ISAKMP数据包进行加密的SA。 CHILD SA / IPsec SA: 用于对传输数据（用户数据）进行加密的SA，如加密ESP协议数据。 SA: 包括，IKE SA和CHILD SA。 rekey/reauth 机制分析 1 概述 reauth是指重新进行身份认证过程。rekey包含两个过程。IKESA rekey指协商IKE SA。 CHILD SA rekey是指重新协商CHILD SA。IKEv1与IKEv2在概念上同样适用。但是需要特别说明的是，IKEv1中没有实现 IKESA rekey机制。 详见，官网wiki中的一篇文档 ExpiryRekey 讲到 IKEv1不支持ikesa的rekey