浅谈 ipsec
1.ipsec协议的简介
1. IPSec 协议
IPSec 是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task
Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整
性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
IPSec 是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有
实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对 ×××
(Virtual Private Network,虚拟专用网络)安全性的顾虑,使得 ×××得以广泛应
用。
2. 加密卡
IPSec 对报文的处理包括进行 ESP 协议处理、加密后给报文添加认
证头、对报文完成认证后删除认证头。加密解密过程复杂,路由器软件ipsec会占用大量
Cpu资源,影响整体机能。模块化路由器还可以使用加密卡(模块化硬件插卡)
以硬件方式完成数据的加/ 解密运算,消除了路由器VRP主体软件处理IPSec 对性
能的影响,提高了路由器的工作效率。
(1) 加密卡进行加密/ 解密的工作过程是:路由器主机将需要加密/ 解密的数据发送
给加密卡,加密卡对数据进行加密/ 解密运算并给数据添加/ 删除加密帧头,然
后加密卡将完成加密/ 解密的数据发送回主机,由主机转发处理后的数据。
(2) 多块加密卡分流处理用户数据:模块化路由器支持多块加密卡,主机软件通过
轮循方式将用户数据发送给多块状态正常的加密卡进行分流处理,实现多块加
密卡对用户数据的同步处理,从而提高了数据加密/ 解密的处理速度。
(3) 对于应用于加密卡侧的IPSec ,当该路由器所有加密卡都状态异常则加密卡将
无法进行IPSec 处理,此时若已经打开主机备份处理开关,并且 VRP主体软
件IPSec 模块支持该加密卡使用的加密/ 认证算法,则VRP主体软件IPSec
模块将替代加密卡进行IPSec 处理,实现对加密卡的备份。
注意:加密卡与VRP主体软件IPSec 模块对数据的处理机制完全相同,区别仅仅在于是
通过硬件还是通过VRP主体软件实现加/解密处理。
3. IPSec 对报文的处理过程
IPSec 对报文的处理过程如下(以 AH协议为例):
(1) 对报文添加认证头:从 IPSec 队列中读出 IP 模块送来的 IP 报文,根据配置选
择的协议模式(传输或是隧道模式)对报文添加AH头,再由 IP 层转发。
(2) 对报文进行认证后解去认证头:IP 层收到IP 报文经解析是本机地址,并且协
议号为51,则查找相应的协议开关表项,调用相应的输入处理函数。此处理
函数对报文进行认证和原来的认证值比较,若相等则去掉添加的 AH头,还原
出原始的IP 报文再调用IP 输入流程进行处理;否则此报文被丢弃。
2.ipsec的配置
IPSec 的配置包括:
创建加密访问控制列表
定义安全提议
选择加密算法与认证算法
创建安全策略
在接口上应用安全策略组
加密卡实现IPSec 的配置包括:
创建加密访问控制列表
配置加密卡
使能VRP主体软件备份
定义安全提议
选择加密算法与认证算法
创建安全策略
在接口上应用安全策略组
创建加密访问控制列表
作用:根据是否与加密访问控制列表匹配,可以确定那些IP 包加密后发送,那些 IP 包直接转发。需要保护的安全数据流使用扩展IP 访问控制列表进行定义。
定义安全提议
作用:安全提议保存IPSec 需要使用的特定安全性协议以及加密/ 验证算法,为IPSec 协商安全联盟提供各种安全参数。
配置:1.定义安全提议
2.设置安全协议对IP 报文的封装模式
3.选择安全协议
Ipsec中esp支持的安全加密算法:
3des des blowfish cast skipjack
Ah和esp支持的安全认证算法有MD5算法与sha算法 MD5 算法使用128位的密钥 sha1使用160位的密钥 md5算法的计算速度比sha1算法快,而sha1算法的安全强度比md5算法高。
注意:安全隧道的两端所选择的安全加密算法与认证算法必须一致
创建安全策略的方法:
1.手动创建
手动创建安全策略的配置包括:
配置安全策略引用的访问控制列表
指定安全隧道的起点与终点
配置安全策略中引用的安全提议
配置安全策略联盟的SPI 及使用的密钥
2.自动创建
用IKE创建安全策略的配置包括:
配置安全策略引用的访问控制列表
指定安全隧道的终点
配置安全策略中引用的安全提议
配置安全联盟的生存时间
3.在接口上应用安全策略组
一个接口上只能应用一个安全策略组;一个安全策略组只能应用在一个接口上。
4.ipsec的配置案例
配置需求:
总部分别与上海分支、广州分支建立安全隧道对 总部代表的子网192.168.1.x 与 上海 192.168.2.x 、广州 192.168.3.x 之间的数据流进行安全保护。使用手工方式建立安全联盟,安全协议使用ESP协议,加密算法采用DES,认证算法采用MD5 ,设备(一个3层交换机(华为3926) 3个防火墙)
2.组网图
3.配置步骤
中间的交换机配置:
创建3个vlan 将端口加入3个vlan
总部的防火墙:
基本配置略 (eth0/0 192.168.1.1 24 loopback
Eth0/4 1.1.1.1 24 将eth0/4 加入到untunst区域
Ip route-static 0.0.0.0 0.0.0.0 1.1.1.2)
配置访问列表 定义由192.168.1.0 去192.168.2.0 、192.168.3.0 的数据流
[H3C] acl 3000 match-out auto
[H3C-acl-3000] rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[H3C] acl 3001 match-out auto
[H3C-acl-3001] rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[H3C-acl-3001] rule 20 deny ip source any destination any
创建名为tran1的安全提议
[H3C] ipsec proposal tran1
[H3C-ipsec-proposal-tran1] encapsulation-mode tunnel
transform esp
Esp encryption-algorithm des
Esp authentication-algorithm md5
在系统视图下建立ike-peel
[h3c] Ike peel fw2
Remote-address 1.1.2.1
Pre-share-key 12345
在系统视图下创建一条安全策略 协商方式为ike
[h3c] ipsec policy policy1 10 isakmp
security acl 3000
proposal tran1
Ike-peel fw2
创建名为tran2的安全提议
[H3C] ipsec proposal tran2
[H3C-ipsec-proposal-tran1] encapsulation-mode tunnel
transform esp
Esp encryption-algorithm des
Esp authentication-algorithm md5
在系统视图下建立ike-peel
[h3c] Ike peel fw3
Remote-address 1.1.3.1
Pre-share-key 12345
在系统视图下创建一条安全策略 协商方式为ike
[h3c] ipsec policy policy1 20 isakmp
security acl 3001
proposal tran2
Ike-peel fw3
应用到接口
Int eth0/4
Ipsec policy policy1
上海分支的防火墙
具体配置如上 下面的配置用截图展示
配置静态默认路由
加入区域
配置策略
应用到接口
广州分支的防火墙配置:
如上海 此截图为整体配置
验证结果:
5.IPSec 常见故障的诊断与排除
故障之一:不能配置加密卡。
故障现象:配置与加密卡相关命令时,提示没有有效加密卡(No valid encrypt-card)。
故障排除:可以按照如下步骤进行:
查看加密卡插卡情况。查看加密卡是否正确插入插槽。正常情况加密卡“run ”
指示灯正常闪烁(一秒亮一秒灭)。
使用display encrypt-card version 命令查看加密卡状态。正常状态应能显示
加密卡单板及其版本情况。如果没有显示,则主机没有检测到加密卡。加密卡
可能处于启动状态(run 指示灯快闪)。如果5 秒之后,加密卡仍然处于此状
态,可以重新启动设备(注意先保存配置)。
故障之二:配置IPSec 之后,ping 不通。
故障排除:可以按照如下步骤进行:
检查接口是否应用安全策略组(policy)。使用display current-configuration
interface 命令查看接口上是否配置policy。正确情况下应该显示配置policy。
如果没有配置policy,则在接口视图下配置policy。
检查安全策略(policy )匹配性。如果是手工创建的安全策略组,那么安全策
略的本、对端地址要正确,安全联盟的参数一定要一致。安全联盟参数改变之
后,需要在接口上先删除安全策略组,然后再重新应用安全策略组。
检查安全协议一致性。对于手工建立的安全策略,两端路由器的安全提议所选
择的安全协议要相同。
检查Access Control List。如果以上检查没有发现问题或通过修改以上检查还
没有解决问题,可以查看一下访问控制列表。检查访问控制列表是否允许互通
双方都通过。
检查硬件链接。如果通过以上方法都不能解决,请确认硬件连接是否正常。