MSR3600 IKEV2

在MSR3600上完全可以通过引用自定义的IKEv2 Proposal，来替代默认设置。这主要是通过 proposal 这条命令来实现的。

具体的配置和引用思路如下：

 引用的核心：IKEv2 Profile与Policy

想使用自定义的IKEv2 proposal，需要在两个关键的地方引用它：

1. IKEv2 Profile (ikev2 profile)：这是最简单、最直接的方法。在Profile视图下，只需一条命令即可指定要使用的Proposal，这是替代默认配置的首选方式。

2. IKEv2 Policy (ikev2 policy)：如果你需要通过多个Policy来匹配不同的分支节点（例如一个对端用RSA认证，另一个用PSK认证），在Policy视图下引用Proposal能提供更高的灵活性。

注意：这两种引用方式是独立的，通常根据你的组网复杂度二选一即可，但两种方式都需要一个PKI域或IKEv2密钥链来配合使用。

 配置步骤

以下是两种方案的详细操作步骤，你可以根据自己的组网需求来选择。

方案A：通过IKEv2 Profile引用 (更常用，推荐)

1. 创建IKEv2 Proposal (ikev2 proposal)：
   首先，定义你的安全参数。

   <H3C> system-view

   [H3C] ikev2 proposal mypro [H3C-ikev2-proposal-mypro] encryption 3des-cbc [H3C-ikev2-proposal-mypro] integrity sha256 [H3C-ikev2-proposal-mypro] dh group14 [H3C-ikev2-proposal-mypro] quit注意：自定义proposal的优先级高于缺省的default proposal。如果IPsec隧道需要与友商设备对接，务必确保两端proposal中的加密、完整性校验、PRF和DH组算法完全一致。

2. 创建IKEv2 Profile并引用Proposal：

   [H3C] ikev2 profile myprof

   [H3C-ikev2-profile-myprof] proposal mypro # 核心命令：在此引用自定义proposal[reference:3] [H3C-ikev2-profile-myprof] keychain mykey # 配置预共享密钥 [H3C-ikev2-profile-myprof] quit这条命令是解决问题的关键。执行后，myprof 将使用你创建的 mypro 中的算法进行IKEv2协商。

3. 在IPsec策略中引用Profile：
   最后，在IPsec策略中应用配置好的IKEv2 Profile。

   [H3C] ipsec policy myipsec 10 isakmp

   [H3C-ipsec-policy-isakmp-myipsec-10] ikev2-profile myprof # 在IPsec策略中绑定profile [H3C-ipsec-policy-isakmp-myipsec-10] quit

方案B：通过IKEv2 Policy引用 (适合复杂场景)

1. 创建IKEv2 Policy并引用Proposal：

   [H3C] ikev2 policy mypolicy [H3C-ikev2-policy-mypolicy] proposal mypro [H3C-ikev2-policy-mypolicy] quit提示：当存在多个Policy时，可以通过设置不同的优先级来精确控制匹配顺。

2. 在IKEv2 Profile中引用Policy：

   [H3C] ikev2 profile myprof

   [H3C-ikev2-profile-myprof] policy mypolicy # 在profile中绑定policy [H3C-ikev2-profile-myprof] keychain mykey [H3C-ikev2-profile-myprof] quit

3. 在IPsec策略中引用Profile：
   此步骤与方案A的第3步完全相同。

   [H3C] ipsec policy myipsec 10 isakmp

   [H3C-ipsec-policy-isakmp-myipsec-10] ikev2-profile myprof [H3C-ipsec-policy-isakmp-myipsec-10] quit

 验证配置

配置完成后，请使用以下命令检查自定义Proposal是否生效：

• display ikev2 proposal：查看所有proposal的详细信息和优先级。

• display ikev2 profile [name myprof]：确认profile中是否已成功绑定自定义的proposal或policy。

• display ikev2 policy：查看policy的配置和引用状态。

• display ikev2 sa：在IPsec隧道建立后，查看协商出的SA信息，确认其使用的算法是否与你的自定义proposal相符。