第四十五-VPN章节-IPsec
- 资料下载:
- 链接:点击这里
提取码:d80u
IPsec介绍
mIPSec(Internet Protocol Security)是一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。
mIPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。
mIKE协议提供密钥协商,建立和维护安全联盟SA等服务。
mIPSec VPN体系结构主要由AH( Authentication Header)、ESP ( Encapsulating Security Payload)和IKE ( Internet Key Exchange)协议套件组成。
mAH协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报。
mESP协议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
mIKE协议:用于自动协商AH和ESP所使用的密码算法。
m安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。
m安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA。
SA(Security Association)安联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数。SA是单向的,两个对等体之间的双向通信,至少需要两个SA。如果两个对等体希望同时使用AH和ESP安全协议来进行通信,则对等体针对每一种安全协议都需要协商一对SA。
SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址、安全协议(AH或ESP)。
建立SA的方式有以下两种:
手工方式:安全联盟所需的全部信息都必须手工配置。手工方式建立安全联盟比较复杂,
m但优点是可以不依赖IKE而单独实现IPSec功能。当对等体设备数量较少时,或是在小型静态环境中,手工配置SA是可行的。
IKE动态协商方式:只需要通信对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA。动态协商方式建立安全联盟相对简单些。对于中、大型的动态网络环境中,推荐使用
IKE协商建立SA。
IPSec传输模式
在传输模式下,AH或ESP报头位于IP报头和传输层报头之间。
在隧道模式下,IPSec会另外生成一个新的IP报头,并封装在AH或ESP之前
IPSec VPN置步骤
IPSec VPN配置
IPSec VPN对等体配置的安全提议参数必须一致。
安全策略将要保护的数据流和安全提议进行绑定。
ipsec policy policy-name seq-number命令用来创建一条IPSec策略,并进入IPSec策略视图。安全策略是由policy-name和seq-number共同来确定的,多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略,而seq-number越小的安全策略,优先级越高。在一个接口上应用了一个安全策略组,实际上是同时应用了安全策略组中所有的安全策略,这样能够对不同的数据流采用不同的安全策略进行保护。
IPSec策略除了指定策略的名称和序号外,还需要指定SA的建立方式。如果使用的是IKE协商,需要执行ipsec-policy-template命令配置指定参数。如果使用的是手工建立方式,所有参数都需要手工配置。本示例采用的是手工建立方式。
security acl acl-number命令用来指定IPSec策略所引用的访问控制列表。
proposal proposal-name命令用来指定IPSec策略所引用的提议。
tunnel local { ip-address | binding-interface }命令用来配置安全隧道的本端地址。
tunnel remote ip-address命令用来设置安全隧道的对端地址。
sa spi { inbound | outbound } { ah | esp } spi-number命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。
sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;同时,本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。
mipsec policy policy-name命令用来在接口上应用指定的安全策略组。手工方式配置的安全策略只能应用到一个接口。
IPSec VPN Ike 动态协商配置
m默认封装方式:
m默认采用esp模式的隧道封装
m相应esp认证算法:MD5-HMAC-96
mesp加密算法:DES
ipsec proposal aa 创建安全提议aa
#
ike proposal 5
#
ike peer ShangHai v2
pre-shared-key cipher huawei
ike-proposal 5
ipsec profile TO_ShangHai
ike-peer ShangHai
proposal aa
interface Tunnel0/0/0
ip address 192.168.13.3 255.255.255.0
tunnel-protocol gre
source GigabitEthernet0/0/0
destination 12.1.1.1
ipsec profile TO_ShangHai
