在无处不在的互联网当中,危险随处可见,例如:
广域网存在各种安全隐患 :
1.网上传输的数据有被窃听的风险
2.网上传输的数据有被篡改的危险
3.通信双方有被冒充的风险


那么,如何解决这些安全隐患呢?这是,我们就可以运用一种技术保障我们数据的安全,那就是×××,接下来,我们就来认识一下×××。

×××相关知识点概述:

×××定义:
×××(Virtual Private Network,虚拟专用网)
×××建立“保护”网络实体之间的通信
使用加密技术防止数据被窃听
数据完整性验证防止数据被破坏、篡改


×××的类型
1.站点到站点×××
2.远程访问×××


今天主要认识一下IPSec ×××,也就是站点到站点的×××
IPSec ×××连接需要三个步骤:
流量触发IPSec
建立管理连接(阶段一)
建立数据连接(阶段二)


IPSec ×××配置步骤:

阶段一 :

a、配置ACL
b、配置IPSec策略(转换集)
c、将端口映射应用在接口
那么上面提到的ISAKMP是什么,它和IKE又有什么关系呢?
首先要知道他们是internet密钥交换协议,(IKE,internet key exchange),解决了在不安全的网络环境(如:internet)中安全的建立或更新共享密钥的问题。IKE是一个混合协议,由三个协议组成,其中ISAKMP是IKE的核心协议。
ISAKMP:(英文是Internet Security And Key Management Protocol ) 因特网安全协议与密钥管理协议;网络技术人员通常认为IKE和ISAKMP是相同的概念,不做区分。


阶段一的配置(配置ISAKMP策略)
命令如下:
Router(config)#crypto isakmp policy priority
Router(config-isakmp)#encryption { des | 3des | aes } 指定加密算法
Router(config-isakmp)#hash { sha | md5 } 指定hash算法
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group { 1 | 2 | 5 }
Router(config-isakmp)#lifetime seconds

加密算法相关知识点:
对称加密算法:DES、3DES、AES
非对称加密算法 :
RSA(使用三维数学家名字的首字母来命名)
DSA(Didital Signature Algorithm,数字签名算法)
非对称加密算法:
公钥加密,私钥解密
私钥签名,公钥解密


算法的优、缺点
非对称加密算法最大的优势就在于其安全性 ,假如有两个数字分别为25 169和29 663,如果要求将两个数相乘,可以轻松地得出答案:746 588 047;但如果先给出的是746 588 047,要求猜出该数字是由哪两个数相乘得出的,就需要花费很长时间才可能得出答案,这就是非对称加密算法的安全性所在。更重要的是,私钥永远不可能被任何其他设备得到 ,非对称加密算法的缺点是计算过程复杂,它的计算效率要比对称加密算法低得多(大约要慢1 500倍)


如何解决使用对称加密算法的不安全性?
使用对称加密算法,密钥可能被窃听 使用非对称加密算法,计算复杂,效率太低,影响传输速度
解决方案 :通过非对称加密算法加密对称加密算法的密钥 然后再用对称加密算法加密实际要传输的数据


认证算法相关知识:
1、MD5(Message-digest Algorithm 5,信息-摘要算法) 创建了一个128位的签名,之前讲解的RIPv2 、OSPF等很多路由选择协议都使用该算法做验证 ,MD5执行速度较快,但其安全性相对SHA稍差一点
2、SHA(Secure Hash Algorithm,安全散列算法) 已成为美国国家标准,它可以产生160位的签名(20字节的长度)
3、目前,已有人证明不同的输入数值通过MD5计算可以得到相同的数字签名,说明MD5的签名可能具有一定程度的虚假性。SHA也出现类似的问题,并且有人宣称数字签名理论上是可以伪造的 因为存在这种安全隐患,现在已经开发了SHA-256和SHA-512等


DH算法相关知识
DH(Diffie-Hellman,迪菲-赫尔曼) 一般被用来实现IPSec中的Internet密钥交换(IKE)协议
通信双方交换公钥后,会用自己的密钥和对方的公钥通过DH算法计算出一个共享密钥,然后双方会使用这个共享密钥加密传输数据 从算法原理看,DH算法已经将对称加密算法和非对称加密算法综合在一起
DH算法
1.DH算法支持可变的密钥长度,其中DH组1的有效密钥长度为768,DH组2的有效密钥长度为1 024, DH组 5 的有效密钥长度为1 536
2.密钥的有效长度越长,安全性也就越强,同时CPU 的资源占用率也就越高 因此,选择合适的DH组要从网络的安全需求和设备本身的性能两方面考虑


阶段二

定义对等体间需要保护何种流量 定义用来保护数据的安全协议:AH、ESP 定义隧道模式
阶段2的安全协议
AH(认证头协议) 数据验证,对整个IP数据包
ESP(封装安全载荷协议) ESP对用户数据实现加密功能 ;ESP只对IP数据的有效载荷进行验证,不包括外部的IP包头


了解:IPSec ×××故障排查

查看阶段一管理连接的状态 show crypto isakmp sa 管理连接的五个状态
状 态 说 明
MM_NO_STATE ISAKMP SA建立的初始状态;管理连接建立失败也会处于该状态
MM_SA_SETUP 对等体之间ISAKMP策略协商成功后处于该状态
MM_KEY_EXCH 对等体通过DH算法成功建立共享密钥,此时还没有进行设备验证
MM_KEY_AUTH 对等体成功进行设备验证,之后会过渡到QM_IDLE状态
QM_IDLE 管理连接成功建立,即将过渡到阶段2的数据连接建立过程


了解:安全关联(SA)

安全关联(SA)
IPSec需要在两个对等体之间建立一条逻辑连接,这就要使用一个被称为安全关联的信令协议 因为IPSec需要无连接的IP协议在安全运行之前要成为面向连接的协议