一、IPSEC原理
(一)IPSEC的基本功能
1����、 IPSEC的功能
IPSEC提供通過IP網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸?shù)臋C(jī)制。確保數(shù)據(jù)的機(jī)密性、完整性��、真實(shí)性�。
IPSEC是一套協(xié)議����,不一定特應(yīng)的機(jī)密�、認(rèn)證和算法����。
2、IPSEC的安全性
數(shù)據(jù)的機(jī)密性:IPSEC在傳輸時(shí)加密數(shù)據(jù)�,保證不被竊聽數(shù)據(jù),即使被攔截也不可讀�����。
數(shù)據(jù)完整性:以確保數(shù)據(jù)沒有被篡改����。
數(shù)據(jù)原始認(rèn)證:即確保數(shù)據(jù)是希望發(fā)送者發(fā)送的。
Anti-replay:確保每一個數(shù)據(jù)包是唯一的非復(fù)制的���。
(二)ipsec協(xié)議
1����、 IKE:提供一種安全參數(shù)協(xié)商和創(chuàng)建驗(yàn)證密鑰的框架�。提供安全密鑰交換能力����。
2��、 ESP:提供加密和認(rèn)證�。ESP主要用于IPSEC�。提供內(nèi)容加密,也提供認(rèn)證和完整性檢查���。提供DES,3DES��,AES加密��。
3�、 AH:是一種安全協(xié)議�����,提供數(shù)據(jù)認(rèn)證���。只提供認(rèn)證和完整性檢查�����,只能提供數(shù)據(jù)是合法者傳送�,且數(shù)據(jù)未被改。提供:HMAC-SHA1���、HMAC-MD5�、HMAC的認(rèn)證
(三)IPSEC的兩種模式
1�、隧道模式:加密和保護(hù)完整的IP數(shù)據(jù)包。隧道模式加密或隱藏?cái)?shù)據(jù)包的IP頭�。加密設(shè)備自身擁有IP地址用于新的報(bào)頭?����?梢员籈SP和AH或者兩者一起部署�����。因新的IP報(bào)頭導(dǎo)致增加了約20字節(jié)
2����、傳輸模式:因?yàn)樗淼滥J街袛?shù)據(jù)包擴(kuò)展約20字節(jié)。在轉(zhuǎn)發(fā)小的數(shù)據(jù)包會出現(xiàn)問題�。傳輸模式通過增加ESP和AH在IP頭和傳輸協(xié)議和數(shù)據(jù)間,而 不是增加新的IP報(bào)頭�����。所以會有更少的數(shù)據(jù)包擴(kuò)展���。這種模式和GRE合在一起用很好���。因?yàn)镚RE會增加自已的IP報(bào)頭。隱藏終端的IP地址�。
標(biāo)準(zhǔn)數(shù)據(jù):
|
L2
|
IP
|
TCP/UDP 4層以上數(shù)據(jù)
|
傳輸模式:
|
L2
|
IP
|
ESP頭或AH
|
TCP/UDP 4層以上數(shù)據(jù)
|
ESP尾
|
隧道模式:
|
L2
|
新的IP頭
|
ESP頭或AH
|
IP
|
TCP/UDP 4層以上數(shù)據(jù)
|
ESP尾
|
(四)IKE(互聯(lián)網(wǎng)密鑰交換)
IKE的兩個階段:
1、 IKE SA:
(1)IKE第一階段的作用:
建 立IKE SA ���。建立IKE兩端的SA�����。協(xié)商IKE策略集�����,認(rèn)證對端�,為第二階段IPSEC SA的傳輸����,在端點(diǎn)間建一個安全通信通道。 第一階段有兩種模式:主模式和侵占模式�����。
2、IKE 1 階段有三次協(xié)商過程及主要參數(shù):
(1) IKE SA交換: 協(xié)商砍認(rèn)有關(guān)安全策略的過程���。交換加密算法��、認(rèn)證算法����、認(rèn)證方法�。
加密算法:如:DES 3DES等
認(rèn)證算法:如:MD5 SHA等。
認(rèn)證方法:如:pre-share(預(yù)共享密鑰)�、rsa-sig(RSA簽名認(rèn)證)、rsa-ener(RSA加密nonces認(rèn)證)
(2)Diffie-heleman密鑰交換
一種公鑰交換模式�。交換diffie-heleman公共值和輔助信息。加密密鑰在這個時(shí)候產(chǎn)生��。有兩組:一組定義了768位算法;一組定義了1024位的MOPP算法�����。根據(jù)這些產(chǎn)生對稱密鑰��。即配IKE中的 group 參數(shù)的配置
(3)認(rèn)證對端身份
用于交換雙方的ID信息和驗(yàn)證數(shù)據(jù)����。進(jìn)行身份驗(yàn)證和對整個一階段的IKE SA交換進(jìn)行驗(yàn)證��。主要是配置這三種認(rèn)證方法(pre-share(預(yù)共享密鑰)、rsa-sig(RSA簽名認(rèn)證)�����、rsa-ener(RSA加密nonces認(rèn)證))的具體認(rèn)證參數(shù)����。前面只是指定了用哪種認(rèn)證方法,但沒有確定每種認(rèn)證方法的認(rèn)證參數(shù)和內(nèi)容���。這里就是指定選中的認(rèn)證方法的認(rèn)證參數(shù)和內(nèi)容��。
2�����、 IPSEC SA階段:第二階段:
在IKE SA第一階段創(chuàng)建 的IKE安全通道下����,生成IPSEC SA�。
主要是協(xié)商IPSEC 參數(shù)���,建立 IPSEC SA,及協(xié)商IPSEC 生命周期等����。
安全聯(lián)盟SA,也叫 ipsec sa ����,也叫轉(zhuǎn)換集。
SA: 由SPI安全索引����、目標(biāo)IP地址、IPSEC 協(xié)議( 包括加密算法����、認(rèn)證算法、傳輸模式���、生命周期)組成����。這三項(xiàng)組成唯一的SA����。
二�、配置步驟:
1�、 IKE第一階段的協(xié)商配置。ISAKMP的配置����。
加密算法
認(rèn)證算法
認(rèn)證方法:如:pre-share(預(yù)共享密鑰)�����、rsa-sig(RSA簽名認(rèn)證)����、rsa-ener(RSA加密nonces認(rèn)證)
Diffie-helemen密鑰交換
2、 配置IKE第二階段��。即ipsec sa的配置
配置: 加密算法
認(rèn)證算法
傳輸模式
生命周期
3�、 配置加密映射表,并把ipsec sa關(guān)聯(lián)于加密映射表
并把訪問控制列表應(yīng)用于加密映射表�,設(shè)定對端IP地址
(還可以先配置一個動態(tài)加密映射表關(guān)聯(lián)IPSEC SA,再把動態(tài)加密映射表關(guān)聯(lián)到加密映射表)
4�����、 配置受保護(hù)的數(shù)據(jù)流的訪問列表
配置需要加密的數(shù)據(jù)流,即受保護(hù)的數(shù)據(jù)�。哪些數(shù)據(jù)可以通過VPN隧道傳輸?shù)搅硪环?/p>
用訪問控制表列來控制
5、 把映射表應(yīng)用于建立VPN隧道的接口
三�、配置實(shí)例:
(一) IKE策略的配置
(config)#crypto isakmp enable //啟用IKE
(config)#no crypto isakmp enable
(config)#crypto isakmp policy {policy_number} //定義策略,后面是策略號
(isakmap)#encryption {des |3des} //定義加密算法
(isakmp)#hash {sha|md5} //定義散列算法�,即認(rèn)證算法
(isakmp)#authentication {pre-share | rsa-sig | rsa-encr } //定義認(rèn)證方法
Pre-share: 通過手工配置預(yù)共享密鑰為認(rèn)證方法。
Rsa-sig: 要求使用CA并且提供防止抵賴功能����。默認(rèn)值
Rsa-encr: 不要CA,提供防止抵賴功能�。
(isakmp)#group {1 | 2} //定義diffie-heleman密鑰組
(isakmp)#lifetime {seconds} //定義IKE SA的生命周期
三種認(rèn)證方法的配置:
1、 pre-share
(config)#crypto isakmp key {key-string } {address | hostname} {peer-address | peer-hostname }
Key-sting:共享密鑰
例:
(config)#crypto isakmp key zj8s address 192.168.3.11 //指定對端路由器接口的IP地址或名稱�。
(二) IPSEC SA的配置,即IKE第二步的配置
(config)# crypto ipsec transform-set {name} {ah-md5-hmac | ah-sha-hmac } {esp-des |esp-3des |esp-rfc-1829} //name為變換集名��。 后面分別是認(rèn)證算法和加密算法定義
(crypto-transfom)#mode {tunnel |transport } //選擇模式����,是隧 道模式還是傳輸模式
(config)#crypto ipsec security-association liftmme seconds {seconds} //按時(shí)間定義IPSEC SA全局生命期,當(dāng)達(dá)到一定秒數(shù)則生命到期�����。
(config)#crypto ipsec security-association liftmme killobytes {killobytes} //按字節(jié)數(shù)定義IPSEC SA全局生命期。當(dāng)達(dá)到一定的秒數(shù)則生命到期�。
(三)定義訪問列表,以定義受保護(hù)的數(shù)據(jù)流
(config)#access-list 101 permit 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255
(confgi)#access-list 101 deny any any
(四)定義保密圖
可先定義動態(tài)保密圖����,與變換集相關(guān)聯(lián),再把動態(tài)保密圖應(yīng)用到保密圖中�����。
也可直接把變換集關(guān)聯(lián)到保密圖中�����。
2�����、 定義動態(tài)保密圖(也叫動態(tài)保密映射表)
(config)#crypto dynamic-map {dynamic-map-name} (dynamic-map-sn) //定義動態(tài)保密圖名和序號
(cryptomap)# set transform-set {transform-set-name} //引用定義的變換集�����,即ipsec SA
(cryptomap)# match address access-list {lsit-number} //引用受保護(hù)的數(shù)據(jù)流的訪問列表
(cryptomap)#set peer {hostmae |addrss } //設(shè)置對端IP地址或名稱
(config)#crypto map {map-name} {map-sequence} ipsec-isakmp dynamic {dyn-map-name}
//把動態(tài)保密圖加入到保密圖中��。
Ipsec-isakmp:指自動用IKE創(chuàng)建的策略�����。還可以手動創(chuàng)建IKE策略
Map-name 和map-sequence是保密圖的名和序號
Dyn-map-name:是上面定義過的動態(tài)保密圖的名稱�。
2、可以直接定義保密圖
config)#crypto map { map-name} {map-sequence} {ipsec-isakmp | ipsec-manual} //定義保密圖名和序號�。Ipsec-isakmp 是自動用IKE創(chuàng)建策略。 Ipsec-manual是手工創(chuàng)建
(cryptomap)# set transform-set {transform-set-name} //引用定義的變換集��,即ipsec SA
(cryptomap)# match address access-list {lsit-number} //引用受保護(hù)的數(shù)據(jù)流的訪問列表
(cryptomap)#set peer {hostmae |addrss } //設(shè)置對端IP地址或名稱
(五)把保密映射表應(yīng)用到接口
(config-if)# crypto map {map-name} // 把保密圖應(yīng)用到接口
希望我們成都華三網(wǎng)的相關(guān)分享可以幫助到您����!
