IPSEC VPN 基础原理

     作为一个努力在IT一线奋斗的人，励志做到以下几点：

     搬的了机器，玩的了系统，精通了协议，敲得了代码。

                                                                                          ——谨以此让自己不断努力！

—————————————————————————————————————————————

一、IPSEC框架：

IPSEC封装：

     IP头部   传输层头部（TCP，UDP...） 应用层头部（HTTP，FTP，HTTPS） 应用层数据

     IP头部   IPSEC头部  传输层头部（TCP，UDP...） 应用层头部（HTTP，FTP，HTTPS） 应用层数据

由上可以看出IPSEC头部是插入到IP头部以及传输层头部中间。

1）散列函数：

主要算法包含MD5与SHA-1，主要任务是验证数据完整性。

介绍下HMAC（密钥化散列信息认证代码）

这项技术不仅能够实现完整性校验，还能完成源认证的任务，例如：ip ospf message-digest-key 1 md5 cisco 命令，配置预共享密钥cisco，这种加上与共享密钥一起进行散列计算的技术叫做HMAC。

2）加密算法：

对称加密：DES,3DES,AES,RC4

非对称加密：RSA,DH(IPSEC 产生密钥资源的主要协议)

3）封装协议：

IPSEC有ESP和AH两种封装协议，其中ESP是广泛使用的协议。

ESP协议的ip协议号是50

4)封装模式：

传输模式

隧道模式

两种模式ESP的位置并不相同如果需要了解得话可以找下两种模式下数据包格式看下。

5）密钥有效期：

长期使用相同的密钥是不明智的，应该周期性的更换密钥，cisco的IPSEC ×××用户加密实际数据的密钥，默认每一小时就要更换一次。

Cisco 的IPSEC ×××虽然默认每小时更换一次，但下一小时使用的密钥，是由当前这个小时使用的密钥通过一系列算法得出，这样的密钥更新不能叫做完美向前保密PFS。PFS要求每一次密钥更新，都需要重新产生全新的密钥，和以前的密钥没有任何关系。

二、互联网密钥交换协议IKE

IKE主要完成3个任务：

对建立IPSEC的双方进行认证（需要预先协商认证方式）

通过密钥交换，产生加密和HMAC的随机密钥

协商协议参数（加密协议，密钥有效期，封装协议，封装模式）

IKE的协商完成后叫做安全关联SA，可以说IKE建立了安全关联，SA一共分为两种类型，一种叫做IKESA，另外一种叫做IPSEC SA。

IKE SA：主要用于协商加密算法，密钥有效期，认证方式，散列函数等。

IPSEC SA：维护安全防护实际用户流量（通信点之间流量）的细节。

下面的内容比较重要：

IKE的2个阶段与三个模式

第一阶段：IKE SA

1）主模式IKE1-2包交换

第一通过核对收到ISAKMP数据包的源IP地址，确认收到的ISAKMP数据包是否源自于合法的对等体

第二协商IKE策略

IKE 1-2包交换过程中，IKE策略协商才是他主要的任务，策略包含五项内容：认证方式，加密协议，密钥有效期，DH组，散列函数。

2）主模式IKE3-4包交换

该阶段主要产生加密策略以及散列函数的密钥

3）主模式IKE5-6包交换

该阶段主要就是认证，认证的方式包含预共享密钥认证、证书认证、RSA加密随机数认证。

第一阶段小结：

这一阶段主要任务就是相互认证，第一阶段完成不仅表示收发双方认证通过，并且还会建立一个双向的ISAKMP（IKE）安全关联SA。这个SA维护了处理IKE流量相关的策略，但是不会处理实际感兴趣流，而对等体双方还会继续使用这个SA，来安全保护后续的IKE快速模式1-3包交换。

第二阶段：IPSEC SA

快速模式数据包1-3的交换：

IKE快速模式1-3包交换主要目的是在安全的环境下，基于感兴趣流协商处理这个感情需留的IPSEC策略，这些策略包含如下6项内容：

感兴趣流

加密策略

封装协议

封装模式

密钥有效期

散列函数

第二阶段小结：

主要基于感兴趣流来协商相应的IPSEC SA，IKE快速模式交换的三个数据包都得到了安全保护。另外两个指的注意的内容就是SPI和PFS。SPI用于唯一表示一个单项的IPSEC SA，SPI的值由目的的设备决定。PFS以上已经介绍，本次不再累述。

IPSEC ××× 基本配置：

第一阶段：

crypto isakmp enable 

激活isakmp

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key 0 cisco add X.X.X.X

第二阶段：

ip access-list extend ×××

permit 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

crypto ipsec transform-set Trans esp-des esp-md5-hmac

此处网上都说定义转换集，我理解的就是定义封装模式。

crypto map cisco 10 ipsec-isakmp

match address ×××

set transform-set Trans

set peer X.X.X.X

set pfs group2

启用PFS完美向前保密

set security-association lifetime seconds 1800

int f0/0

ip add 202.106.0.20 255.255.255.0

cryto map cisco