IPSEC在企业网中的应用

 

IPSEC在企业网中的应用

 

一.原理介绍
IPSec 协议简介
1.IPSec 协议
IPSec 是一系列网络安全协议的总称，它是由IETF（Internet Engineering Task
Force，Internet 工程任务组）开发的，可为通讯双方提供访问控制、无连接的完整
性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
IPSec 是网络层的安全机制。通过对网络层包信息的保护，上层应用程序即使没有
实现安全性，也能够自动从网络层提供的安全性中获益。这打消了人们对 ×××
（Virtual Private Network，虚拟专用网络）安全性的顾虑，使得 ×××得以广泛应
用。
2. 加密卡
在实际应用中，IPSec 对报文的处理包括进行 ESP 协议处理、加密后给报文添加认
证头、对报文完成认证后删除认证头。为了确保信息的安全性，加密/ 解密、认证的
算法一般比较复杂，路由器IPSec 软件进行加密/ 解密运算将会占用了大量的CPU
资源，从而影响了整机性能。模块化路由器还可以使用加密卡（模块化硬件插卡）
以硬件方式完成数据的加/ 解密运算，消除了路由器VRP主体软件处理IPSec 对性
能的影响，提高了路由器的工作效率。
3. IPSec 对报文的处理过程
IPSec 对报文的处理过程如下（以 AH协议为例）：
(1)  对报文添加认证头：从 IPSec 队列中读出 IP 模块送来的 IP 报文，根据配置选
择的协议模式（传输或是隧道模式）对报文添加AH头，再由 IP 层转发。
(2)  对报文进行认证后解去认证头：IP 层收到IP 报文经解析是本机地址，并且协
议号为51，则查找相应的协议开关表项，调用相应的输入处理函数。此处理
函数对报文进行认证和原来的认证值比较，若相等则去掉添加的 AH头，还原
出原始的IP 报文再调用IP 输入流程进行处理；否则此报文被丢弃。
附带：
 

注：安全服务和保证
AH协议（头验证协议）有：
1.身份验证 2.完整性 3抗重播
ESP协议（安全封装载荷）有：
1.身份验证 2.完整性 3.抗重播 4.加密
4. 与IPSec 相关的几个术语
• 数据流：在IPSec 中，一组具有相同源地址/ 掩码、目的地址/ 掩码和上层协议
的数据集称为数据流。通常，一个数据流采用一个访问控制列表（acl）来定
义，所有为ACL 允许通过的报文在逻辑上作为一个数据流。为更容易理解，
数据流可以比作是主机之间一个的TCP 连接。IPSec 能够对不同的数据流施
加不同的安全保护，例如对不同的数据流使用不同的安全协议、算法或密钥。
• 安全策略：由用户手工配置，规定对什么样的数据流采用什么样的安全措施。
对数据流的定义是通过在一个访问控制列表中配置多条规则来实现，在安全策
略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由
“名字”和“顺序号”共同唯一确定。
• 安全策略组：所有具有相同名字的安全策略的集合。在一个接口上，可应用或
者取消一个安全策略组，使安全策略组中的多条安全策略同时应用在这个接口
上，从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中，
顺序号越小的安全策略，优先级越高。
• 安全联盟（Security Association，简称SA）：IPSec 对数据流提供的安全服
务通过安全联盟SA来实现，它包括协议、算法、密钥等内容，具体确定了如
何对IP 报文进行处理。一个 SA就是两个IPSec 系统之间的一个单向逻辑连
接，输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全
联盟由一个三元组（安全参数索引（SPI）、IP 目的地址、安全协议号（AH
或ESP））来唯一标识。安全联盟可通过手工配置和自动协商两种方式建立。
手工建立安全联盟的方式是指用户通过在两端手工设置一些参数，然后在接口
上应用安全策略建立安全联盟。自动协商方式由 IKE 生成和维护，通信双方基
于各自的安全策略库经过匹配和协商，最终建立安全联盟而不需要用户的干
预。
• 安全联盟超时处理：安全联盟更新时间有“计时间”（即每隔定长的时间进行
更新）和“计流量”（即每传输一定字节数量的信息就进行更新）两种方式。
• 安全参数索引（SPI）：是一个 32比特的数值，在每一个IPSec 报文中都携
带该值。SPI、IP 目的地址、安全协议号三者结合起来共同构成三元组，来唯
一标识一个特定的安全联盟。在手工配置安全联盟时，需要手工指定SPI 的取
值。为保证安全联盟的唯一性，每个安全联盟需要指定不同的SPI 值；使用IKE
协商产生安全联盟时，SPI 将随机生成。
• 安全提议：包括安全协议、安全协议使用的算法、安全协议对报文的封装形式，
规定了把普通的IP 报文转换成IPSec 报文的方式。在安全策略中，通过引用
一个安全提议来规定该安全策略采用的协议、算法等。

二.案例应用

实验环境：

某企业为了加强与分公司通讯时的安全，需对总部与两分公司之间各建立一安全隧道保护数据，使用动态方式建立安全联盟，安全协议采用ESP协议，加密算法采用DES。

网络拓扑结构：

 

实验步骤：
1.对总部路由器R1的配置

配置基本端口信息和默认路由

 

R1对左边分公司配置：

配置一个访问控制列表 

 

创建名为tran1的安全提议，报文封装形式采用隧道模式，安全协议采用ESP，并选择算法

 

协商方式为isakmp，引用访问列表，设置对端端口地址，设置密钥

 

R1对右边公司设置：

添加一新访问控制列表

 

创建名为tran2的安全提议，报文封装形式采用隧道模式，安全协议采用ESP，并选择算法

 

应用到控制列表，使用同一条策略，并且应用到接口上

2.分支路由器R2配置

配置端口和默认路由

 

 

 

配置访问控制列表

配置协商

 

选择协商方式，引用访问控制列表

 

共享密钥，运用到接口

3.分支路由器R3的配置

配置端口信息和默认路由

 

 

配置到R1的参数

配置acl

 

配置协商

 

引用到acl

 

应用到接口

 

 

4.三层交换机的配置

添加端口

 

配置地址

4.测试各主机的通讯情况

总部主机与分部主机通信状况

 

 

R2部主机与R1部通信状况及与R3部通信状况

 

R3部主机与R1部通信状况及与R2部通信状况