IPsec×××
ipsecvpn是解决站点到站点直接通信的问题,它将地理位置不同的站点连接在一
起。这点它类似于专线,但和专线不同的是它走的是Internet。所以碰到最大的问
题就是安全问题。
1 认证(预共享密钥,数字证书)
身份验证
2 数据的完整性靠hash(md5或sha)
任意长度输入得到固定长度输出
修改一点源数据,hash结果就会变(雪崩效应)
不可逆,只能做比较
3 机密性靠加密 (des,3des,aes)
ipsec模式:
ipsec通过以下两种模式在网络中传输数据
隧道模式:隧道模式主要用于站点到站点
传输模式:传输模式主要用于主机到主机或端到端
隧道模式比传输模式多加了一个新ip头部,这个ip头部是公网接口地址,传输模式主
要用于私网内部.
IKE: -------控制层面------
IKE(互联网密钥交换):IKE是个统称,它使用udp500端口,是由isakmp组成.
ISAKMP(互联网安全关联和密钥管理协议):isakmp协商用于ESP/AH的SA(安全管
理),周期性的生成,刷新,管理key.IKE使用的是UDP的500端口. isakmp只提供认证.
阶段1:isakmp sa
IKE在阶段1中确认对等体的身份,协商SA,设置模式(主模式和积极模式)
IKE阶段1主要就是协商SA,SA包括以下几点
(1).用来保护阶段1的技术(加密或散列算法).
(2).生成密钥的参数(diffie-hellman组).
(3).身份认证方法(预共享密钥,公钥加密或数字签名).
(4).在阶段2中使用的密钥材料
阶段2:ipsec sa
IKE阶段2保护用户数据并为ipsec建立SA
IKE阶段2协商以下参数:
(1).保护集(ESP和AH)
(2).保护集使用的算法(DES,3DES,AES,SHA)
(3).需要被保护的网络或ip流量(叫代理对等体或阶段2对等体)
(4).可供协商出的协议选择的密钥材料
ipsec头部: -------数据层面------
ipsec向所有的ip数据包添加一个新的ipsec包头,这个包头所含的信息可以对
原始ip包内的数据形成保护作用。ipsec头部有以下两种类型:
ESP(封装安全载荷):ESP是基于ip的协议号为50.既加密又认证
AH(认证包头):AH也是基于ip的协议号为51.只认证
实施:1.底层能通
2.感兴趣流(两边要对称)
3.isakmp SA(协商policy,使用预共享密钥通过DH算出SKYID,认证)
4.ipsec SA (ESP或AH Tunnel)
5.通道建立
ISAKMP profile
isakmp profile用来在一个设备有一个以上的ipsec对等体中使用,isakmp解决
需要多个IEK阶段1参数集对映不同对等体的情况.它使用match identity标识设备,
对不同的参数进行匹配.亦应用于easy vpn 和 vrf-aware ipsec的配置上
ipsec profile
ipsec profile是可以不适用命令crypto-map就把阶段2关联到一个隧道接口的
方法.没有crypto-map就没有set peer和match address. ios软件会从隧道参数和
NHRP(下一跳解析协议)缓存中获得set peer和match address的参数.主要应用于
DM×××(动态多点×××)和ipsec VTI(虚拟隧道接口)部署环境.
下面是一个典型的点到多点ipsecvpn配置
crypto keyring key
pre-shared-key address 23.1.1.2 key cisco123
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp profile profile
keyring key
match identity address 23.1.1.2 255.255.255.255
!
!
crypto ipsec transform-set ipsec esp-3des esp-md5-hmac
!
crypto map ipsecvpn 10 ipsec-isakmp
set peer 23.1.1.2
set transform-set ipsec
set isakmp-profile profile
match address 101
!
!
!
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
ip nat outside
ip virtual-reassembly
serial restart-delay 0
crypto map ipsecvpn
!
ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
!
ip nat inside source list 100 interface Serial1/0 overload
!
access-list 100 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
下面是拨号的EZ×××的做法
sername cisco password 0 cisco
access-list 100 permit ip 10.2.2.0 0.0.0.255 any /指定感兴趣流
ip local pool pool-xxx 10.2.2.10 10.2.2.20 /指定为Client ×××分配的IP
地址池
crypto isakmp policy 1
encr 3des /必须指为3des,因为只支持 3des的
hash md5 /此加密策略和转换集中的esp-md5-hmac对应
authentication pre-share
group 2 / DF同样也得改
!
crypto isakmp keepalive 20 10 /20为发送DPD的时间间隔,10失效重发时间
间隔
!
crypto isakmp client configuration group xxx /建立一个客户组,
client认证使用
key cisco /预共享的密钥
domain xxx.com.cn
pool pool-xxx /使用定义好的地址池给×××
Client分配地址
acl 101 /感兴趣的流量
crypto ipsec transform-set xxx-trans esp-3des esp-md5-hmac /设置转换集
crypto dynamic-map xxxdymap 1 /建立一个动态图
set transform-set xxx-trans
reverse-route /反向路由注入,可以让从公司内网到client的数据发
到对端
crypto map xxxstmap 1 ipsec-isakmp dynamic xxxdymap /把动态加密图映射
到静态加密图中
crypto map xxxstmap client configuration address respond /配置路由器响
应模式配置的请求
aaa new-model
aaa authentication login ezvpnuser local /启动AAA 登陆认证
aaa authorization network ezvpngroup local /启动组认证(此处名称必须和
客户组名称一致)
crypto map xxxstmap client authentication list ezvpnuser /为静态加密图
启动IKE Xauth功能
crypto map xxxstmap isakmp authorization list ezvpngroup(此名称必须和客
户组名称一致)
/启动IKE组策略查询
ipsecvpn是解决站点到站点直接通信的问题,它将地理位置不同的站点连接在一
起。这点它类似于专线,但和专线不同的是它走的是Internet。所以碰到最大的问
题就是安全问题。
1 认证(预共享密钥,数字证书)
身份验证
2 数据的完整性靠hash(md5或sha)
任意长度输入得到固定长度输出
修改一点源数据,hash结果就会变(雪崩效应)
不可逆,只能做比较
3 机密性靠加密 (des,3des,aes)
ipsec模式:
ipsec通过以下两种模式在网络中传输数据
隧道模式:隧道模式主要用于站点到站点
传输模式:传输模式主要用于主机到主机或端到端
隧道模式比传输模式多加了一个新ip头部,这个ip头部是公网接口地址,传输模式主
要用于私网内部.
IKE: -------控制层面------
IKE(互联网密钥交换):IKE是个统称,它使用udp500端口,是由isakmp组成.
ISAKMP(互联网安全关联和密钥管理协议):isakmp协商用于ESP/AH的SA(安全管
理),周期性的生成,刷新,管理key.IKE使用的是UDP的500端口. isakmp只提供认证.
阶段1:isakmp sa
IKE在阶段1中确认对等体的身份,协商SA,设置模式(主模式和积极模式)
IKE阶段1主要就是协商SA,SA包括以下几点
(1).用来保护阶段1的技术(加密或散列算法).
(2).生成密钥的参数(diffie-hellman组).
(3).身份认证方法(预共享密钥,公钥加密或数字签名).
(4).在阶段2中使用的密钥材料
阶段2:ipsec sa
IKE阶段2保护用户数据并为ipsec建立SA
IKE阶段2协商以下参数:
(1).保护集(ESP和AH)
(2).保护集使用的算法(DES,3DES,AES,SHA)
(3).需要被保护的网络或ip流量(叫代理对等体或阶段2对等体)
(4).可供协商出的协议选择的密钥材料
ipsec头部: -------数据层面------
ipsec向所有的ip数据包添加一个新的ipsec包头,这个包头所含的信息可以对
原始ip包内的数据形成保护作用。ipsec头部有以下两种类型:
ESP(封装安全载荷):ESP是基于ip的协议号为50.既加密又认证
AH(认证包头):AH也是基于ip的协议号为51.只认证
实施:1.底层能通
2.感兴趣流(两边要对称)
3.isakmp SA(协商policy,使用预共享密钥通过DH算出SKYID,认证)
4.ipsec SA (ESP或AH Tunnel)
5.通道建立
ISAKMP profile
isakmp profile用来在一个设备有一个以上的ipsec对等体中使用,isakmp解决
需要多个IEK阶段1参数集对映不同对等体的情况.它使用match identity标识设备,
对不同的参数进行匹配.亦应用于easy vpn 和 vrf-aware ipsec的配置上
ipsec profile
ipsec profile是可以不适用命令crypto-map就把阶段2关联到一个隧道接口的
方法.没有crypto-map就没有set peer和match address. ios软件会从隧道参数和
NHRP(下一跳解析协议)缓存中获得set peer和match address的参数.主要应用于
DM×××(动态多点×××)和ipsec VTI(虚拟隧道接口)部署环境.
下面是一个典型的点到多点ipsecvpn配置
crypto keyring key
pre-shared-key address 23.1.1.2 key cisco123
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp profile profile
keyring key
match identity address 23.1.1.2 255.255.255.255
!
!
crypto ipsec transform-set ipsec esp-3des esp-md5-hmac
!
crypto map ipsecvpn 10 ipsec-isakmp
set peer 23.1.1.2
set transform-set ipsec
set isakmp-profile profile
match address 101
!
!
!
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
ip nat outside
ip virtual-reassembly
serial restart-delay 0
crypto map ipsecvpn
!
ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
!
ip nat inside source list 100 interface Serial1/0 overload
!
access-list 100 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
下面是拨号的EZ×××的做法
sername cisco password 0 cisco
access-list 100 permit ip 10.2.2.0 0.0.0.255 any /指定感兴趣流
ip local pool pool-xxx 10.2.2.10 10.2.2.20 /指定为Client ×××分配的IP
地址池
crypto isakmp policy 1
encr 3des /必须指为3des,因为只支持 3des的
hash md5 /此加密策略和转换集中的esp-md5-hmac对应
authentication pre-share
group 2 / DF同样也得改
!
crypto isakmp keepalive 20 10 /20为发送DPD的时间间隔,10失效重发时间
间隔
!
crypto isakmp client configuration group xxx /建立一个客户组,
client认证使用
key cisco /预共享的密钥
domain xxx.com.cn
pool pool-xxx /使用定义好的地址池给×××
Client分配地址
acl 101 /感兴趣的流量
crypto ipsec transform-set xxx-trans esp-3des esp-md5-hmac /设置转换集
crypto dynamic-map xxxdymap 1 /建立一个动态图
set transform-set xxx-trans
reverse-route /反向路由注入,可以让从公司内网到client的数据发
到对端
crypto map xxxstmap 1 ipsec-isakmp dynamic xxxdymap /把动态加密图映射
到静态加密图中
crypto map xxxstmap client configuration address respond /配置路由器响
应模式配置的请求
aaa new-model
aaa authentication login ezvpnuser local /启动AAA 登陆认证
aaa authorization network ezvpngroup local /启动组认证(此处名称必须和
客户组名称一致)
crypto map xxxstmap client authentication list ezvpnuser /为静态加密图
启动IKE Xauth功能
crypto map xxxstmap isakmp authorization list ezvpngroup(此名称必须和客
户组名称一致)
/启动IKE组策略查询
