虚拟专网(二)

五、IPsec ×××

IPsec技术是目前使用最广泛的×××技术。目前企业构架×××时大多数都在使用IPsec技术。虽然目前随着技术的不断创新，出现了很多新的×××技术，如：MPLS ×××、SSL ×××等，但IPsec 在市场上还占有很大的市场。

 

1、IPsec的概述

IPsec（IP security）是IETF为保证在internet上传输数据的安全保密性，而制定的框架

协议。IPsec协议不是yoga单独的协议，它给出了应用于IP层上网络数据的安全的一整套体系结构，包括网络认证协议（authentication header，AH）、封装安全载荷协议（encapsulation security payload，ESP）、密钥管理协议（Internet key exchange IKE）和用于网络认证及加密的一些算法。IPsec规定了如何在对等层之间的安全协议，即确定安全算法和密钥交换，向上提供来访问控制，数据源的认证，数据加密等网络服务管理。

IPsec提供的安全服务：

1)        私有性：IPsec在传送数据之前将其加密，保证数据的私密性。

2)        完整性：Ipsec在目的地要检验数据包以保证数据在传送的过程中不被修改。

3)        真实性：IPsec段要验证所有受IPsec保护的数据包。

4)        防重性：IPsec防止了数据包被普抓并重新放到网络上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。

Ipsec的隧道模式和传输模式

n 隧道模式

q IPsec对整个IP数据包进行封装和加密，隐蔽了源和目的IP地址

q 从外部看不到数据包的路由过程

n 传输模式

q IPsec只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送

q 安全程度相对较低

2、  IPsec的组成

1)      IPSec 提供两个安全协议

AH (Authentication Header) 认证头协议

ESP (Encapsulation Security Payload)封装安全载荷协议

2)      密钥管理协议

IKE（Internet Key Exchange）因特网密钥交换协议

AH (Authentication Header) 认证头协议

q 隧道中报文的数据源鉴别

q 数据的完整性保护

q 对每组IP包进行认证，防止黑客利用IP进行攻击

 

 

ESP (Encapsulation Security Payload)封装安全载荷协议

n 保证数据的保密性

n 提供报文的认证性、完整性保护

 

 

AH和ESP的比较

n ESP基本提供所有的安全服务

n 如果仅使用ESP，消耗相对较少

n 为什么使用AH

q AH的认证强度比ESP强

q AH没有出口限制

IKE（Internet Key Exchange）因特网密钥交换协议

n 在IPsec网络中用于密钥管理

n 为IPSec提供了自动协商交换密钥、建立安全联盟的服务

n 通过数据交换来计算密钥

 

3、      安全联盟SA

1)      使用安全联盟（SA）是为了解决以下问题

如何保护通信数据

保护什么通信数据

由谁实行保护

2)      建立SA是其他IPsec服务的前提

3)      SA定义了通信双方保护一定数据流量的策略

SA的内容包括以下：

n 一个SA通常包含以下的安全参数

q 认证/加密算法，密钥长度及其他的参数

q 认证和加密所需要的密钥

q  哪些数据要使用到该SA

q IPsec的封装协议和模式

 

六、IPsec ×××的配置步骤

1.       配置IKE的协商。

2.       配置IPsec的协商。

3.       配置端口的应用。

4.       IKE的调试和排错。

 

1)        配置IKE的协商。

启用IKE

Router(config)#crypto isakmp enable

建立IKE协商策略

Router(config)#crypto isakmp policy priority

Priority是IKE的编号，可取1——10000，其值越低，优先级越高。

配置IKE的协商参数

Router(config-isakmp)#hash {mad5|sha1}

2)        配置IPsec的协商。

Router(config-isakmp)# authentication pre-share

Router(config-isakmp)# encryption ｛ des | 3des ｝

Router(config-isakmp)# hash ｛ md5 | sha1 ｝

Router(config-isakmp)# lifetime seconds

 

 

3)        配置端口的应用。

创建Crypto Maps

Router(config)# crypto map map-name seq-num ipsec-isakmp

 

配置Crypto Maps

Router(config-crypto-map)# match address access-list-number

Router(config-crypto-map)# set peer ip_address

Router(config-crypto-map)# set transform-set name

 

Router(config)# interface interface_name interface_num

Router(config-if)# crypto map map-name

 

4)        IKE的调试和排错。

查看IKE策略

Router# show crypto isakmp policy

查看IPsce策略

Router# show crypto ipsec transform-set

查看SA信息

Router# show crypto ipsec sa

查看加密映射

Router# show crypto map