带你认识IPSec VPN

原创

王浩hh 2018-02-02 17:04:03 ©著作权

文章标签 达内网络运维 VPN 文章分类 运维

©著作权归作者所有：来自51CTO博客作者王浩hh的原创作品，请联系作者获取转载授权，否则将追究法律责任

在无处不在的互联网当中，危险随处可见，例如： 广域网存在各种安全隐患： 1.网上传输的数据有被窃听的风险 2.网上传输的数据有被篡改的危险 3.通信双方有被冒充的风险

那么，如何解决这些安全隐患呢？这是，我们就可以运用一种技术保障我们数据的安全，那就是×××，接下来，我们就来认识一下×××。

×××相关知识点概述：

×××定义： ×××（Virtual Private Network，虚拟专用网） ×××建立“保护”网络实体之间的通信使用加密技术防止数据被窃听数据完整性验证防止数据被破坏、篡改

×××的类型 1.站点到站点××× 2.远程访问×××

今天主要认识一下IPSec ×××，也就是站点到站点的××× IPSec ×××连接需要三个步骤： 流量触发IPSec
建立管理连接（阶段一）建立数据连接（阶段二）

IPSec ×××配置步骤：

阶段一：

a、配置ACL b、配置IPSec策略（转换集） c、将端口映射应用在接口那么上面提到的ISAKMP是什么，它和IKE又有什么关系呢？ 首先要知道他们是internet密钥交换协议，（IKE，internet key exchange），解决了在不安全的网络环境（如：internet）中安全的建立或更新共享密钥的问题。IKE是一个混合协议，由三个协议组成，其中ISAKMP是IKE的核心协议。 ISAKMP：（英文是Internet Security And Key Management Protocol ）因特网安全协议与密钥管理协议；网络技术人员通常认为IKE和ISAKMP是相同的概念，不做区分。

阶段一的配置（配置ISAKMP策略） 命令如下： Router(config)#crypto isakmp policy priority
Router(config-isakmp)#encryption { des | 3des | aes } 指定加密算法 Router(config-isakmp)#hash { sha | md5 } 指定hash算法 Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group { 1 | 2 | 5 }
Router(config-isakmp)#lifetime seconds

加密算法相关知识点： 对称加密算法：DES、3DES、AES 非对称加密算法 : RSA（使用三维数学家名字的首字母来命名） DSA（Didital Signature Algorithm,数字签名算法）非对称加密算法：公钥加密，私钥解密
私钥签名，公钥解密

算法的优、缺点 非对称加密算法最大的优势就在于其安全性，假如有两个数字分别为25 169和29 663，如果要求将两个数相乘，可以轻松地得出答案：746 588 047；但如果先给出的是746 588 047，要求猜出该数字是由哪两个数相乘得出的，就需要花费很长时间才可能得出答案，这就是非对称加密算法的安全性所在。更重要的是，私钥永远不可能被任何其他设备得到，非对称加密算法的缺点是计算过程复杂，它的计算效率要比对称加密算法低得多（大约要慢1 500倍）

**如何解决使用对称加密算法的不安全性？ ** 使用对称加密算法，密钥可能被窃听使用非对称加密算法，计算复杂，效率太低，影响传输速度解决方案：通过非对称加密算法加密对称加密算法的密钥然后再用对称加密算法加密实际要传输的数据

认证算法相关知识： 1、MD5（Message-digest Algorithm 5，信息-摘要算法）创建了一个128位的签名，之前讲解的RIPv2 、OSPF等很多路由选择协议都使用该算法做验证，MD5执行速度较快，但其安全性相对SHA稍差一点 2、SHA（Secure Hash Algorithm，安全散列算法）已成为美国国家标准，它可以产生160位的签名（20字节的长度） 3、目前，已有人证明不同的输入数值通过MD5计算可以得到相同的数字签名，说明MD5的签名可能具有一定程度的虚假性。SHA也出现类似的问题，并且有人宣称数字签名理论上是可以伪造的因为存在这种安全隐患，现在已经开发了SHA-256和SHA-512等

DH算法相关知识 DH（Diffie-Hellman，迪菲-赫尔曼）一般被用来实现IPSec中的Internet密钥交换（IKE）协议通信双方交换公钥后，会用自己的密钥和对方的公钥通过DH算法计算出一个共享密钥，然后双方会使用这个共享密钥加密传输数据从算法原理看，DH算法已经将对称加密算法和非对称加密算法综合在一起 DH算法 1.DH算法支持可变的密钥长度，其中DH组1的有效密钥长度为768，DH组2的有效密钥长度为1 024， DH组 5 的有效密钥长度为1 536 2.密钥的有效长度越长，安全性也就越强，同时CPU 的资源占用率也就越高因此，选择合适的DH组要从网络的安全需求和设备本身的性能两方面考虑

阶段二

定义对等体间需要保护何种流量定义用来保护数据的安全协议：AH、ESP 定义隧道模式 **阶段2的安全协议 ** AH（认证头协议）数据验证，对整个IP数据包 ESP（封装安全载荷协议） ESP对用户数据实现加密功能；ESP只对IP数据的有效载荷进行验证，不包括外部的IP包头

了解：IPSec ×××故障排查

查看阶段一管理连接的状态 show crypto isakmp sa 管理连接的五个状态状态说明 MM_NO_STATE ISAKMP SA建立的初始状态；管理连接建立失败也会处于该状态 MM_SA_SETUP 对等体之间ISAKMP策略协商成功后处于该状态
MM_KEY_EXCH 对等体通过DH算法成功建立共享密钥，此时还没有进行设备验证 MM_KEY_AUTH 对等体成功进行设备验证，之后会过渡到QM_IDLE状态 QM_IDLE 管理连接成功建立，即将过渡到阶段2的数据连接建立过程