×××!--特殊的传送门
IPSec原理说明:
IPSec是IP Security的简称,它的目的是为IP提供高安全性特性,×××则是在实现这种安全特性的方式下产生的解决方案。
IPSec是一个框架性架构,具体由两类协议组成:
1、AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
2、ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
IPSec ×××的应用场景分为3种:
1、Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立×××隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
2、End-to-End(端到端或者PC到PC): 两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
3、End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
×××协议分类:
二层隧道协议:pptp l2tp l2f ;属于用户vpn【单机----网络】
三层隧道协议:gre ipsec;属于企业网vpn【网络----网络】
×××的优势:
1、费用低,能够节省30%到70%的开销;
2、安全性高,能实现加密通信;
3、简化网络设计;
4、容易扩展;
5、支持新兴应用
×××的缺点:
1、转发延迟比较大;
2、硬件vpn成本高
配置访问控制列表的目的:
1、用于挑选符合某一特征的数据流;
2、来确定什么样的ip用户来通过隧道;
3、需要使用扩展的ACL ;
报文封装形式有什么?
1、传输方式;无隧道服务器,单机----单机;
2、隧道方式;至少有一个隧道服务器;
本端与对端是什么?
安全隧道是建立在本端和对端网关之间,所以必须正确设置本端地址和对端地址才能成功地建立起一条安全隧道。手工创建的安全策略只能具备一个对端地址,若已经指定了对端地址,必须要先删除原先的地址后才能指定新的对端地址。双方只有在正确指定了本端与对端地址后,才能够创建安全隧道。
案例说明:
在总部路由器R1和分支结构1路由器R2之间和总部路由器R1和分支结构2路由器R3之间各建立一个安全隧道;
实现 PC1代表的子网(192.168.1.x)与PC2代表的子网(192.168.2.x)之间×××通信;
实现 PC1代表的子网(192.168.1.x)与PC3代表的子网(192.168.3.x)之间×××通信;
安全协议采用 ESP 协议,加密算法采用 DES,认证算法采用 sha1-hmac-96,协商方式采用自动方式;
华为:
1.第一步:对Router A和Router B做基本配置并定义需保护的数据流。
Router A:
<Quidway>system-view
[Quidway]sysname RouterA
[RouterA] interface Ethernet0/0
[RouterA-Ethernet0/0]ip address 2.2.2.1 255.255.255.0
[RouterA-Ethernet0/0]interface serial 0/0
[RouterA-serial 0/0]ip address 1.1.1.1 255.255.255.0
[RouterA-serial 0/0]quit
[RouterA] ip route-static 3.3.3.0 255.255.255.0 1.1.1.2
[RouterA]acl number 3101
[RouterA -acl-adv-3101] rule permit ip source 2.2.2.0 0.0.0.255 destination
3.3.3.0 0.0.0.255
[RouterA -acl-adv-3101] rule deny ip source any destination an
[RouterA -acl-adv-3101]quit
Router B:
<Quidway>system-view
[Quidway]sysname RouterB
[RouterB] interface Ethernet0/0
[RouterB-Ethernet0/0]ip address 3.3.3.1 255.255.255.0
[RouterB-Ethernet0/0]interface serial 0/0
[RouterB-serial 0/0]ip address 1.1.1.2 255.255.255.0
[RouterB-serial 0/0]quit
[RouterB] ip route-static 2.2.2.0 255.255.255.0 1.1.1.1
[RouterA]acl number 3101
[RouterA -acl-adv-3101] rule permit ip source 3.3.3.0 0.0.0.255 destination
2.2.2.0 0.0.0.255
[RouterA -acl-adv-3101] rule deny ip source any destination an
[RouterA -acl-adv-3101]quit
在定义数据流的时候大家一定要将两边的ACL配置互为镜像
2、第二步:创建安全提议
Router A:
[Router A] ipsec proposal hello
[Router A-ipsec-proposal-hello] encapsulation-mode tunnel
[Router A-ipsec-proposal-hello] transform esp
[Router A -ipsec-proposal-hello] esp encryption-algorithm des
[Router A-ipsec-proposal-hello] esp authentication-algorithm sha1
[Router A-ipsec-proposal-hello] quit
Router B:
[Router B] ipsec proposal hello
[Router B-ipsec-proposal-hello] encapsulation-mode tunnel
[Router B-ipsec-proposal-hello] transform esp
[Router B -ipsec-proposal-hello] esp encryption-algorithm des
[Router B-ipsec-proposal-hello] esp authentication-algorithm sha1
[Router B-ipsec-proposal-hello] quit
注意此部分配置两边必须一致
3、第三步:配置IKE对等体
Router A:
[Router A] ike peer peer
[Router A-ike-peer-peer] pre-shared-key h3c
[Router A-ike-peer-peer] remote- address 1.1.1.2
[Router A-ike-peer-peer]quit
Router B:
[Router B] ike peer peer
[Router B-ike-peer-peer] pre-shared-key h3c
[Router B-ike-peer-peer] remote- address 1.1.1.1
[Router B-ike-peer-peer]quit
注意PRE共享密钥两边也必须一致
4:第四步:定义安全策略,用IKE协商方式
Router A:
[Router A] ipsec policy shiyan 10 isakmp
[Router A-ipsec-policy-isakmp-shiyan-10] proposal hello
[Router A-ipsec-policy-isakmp-shiyan-10] security acl 3101
[Router A-ipsec-policy-isakmp-shiyan-10] ike-peer peer
[Router A-ipsec-policy-isakmp-shiyan-10] quit
Router B:
[Router B] ipsec policy shiyan 10 isakmp
[Router B-ipsec-policy-isakmp-shiyan-10] proposal hello
[Router B-ipsec-policy-isakmp-shiyan-10] security acl 3101
[Router B-ipsec-policy-isakmp-shiyan-10] ike-peer peer
[Router B-ipsec-policy-isakmp-shiyan-10] quit
将安全提议、需保护的数据流、IKE对等体全部引入安全策略
5:第五步:将IPSec策略应用到接口上,让其生效
Router A:
[RouterA]interface serial 0/0
[RouterA-serial 0/0]ipsec policy shiyan
[RouterA-serial 0/0]quit
Router B:
[Router B]interface serial 0/0
[Router B-serial 0/0]ipsec policy shiyan
[Router B-serial 0/0]quit
将IPSec策略应用到相应的接口上,让其生效。以上配置完成后,Router A 和Router B 之间如果有子网2.2.2.0 与子网3.3.3.0之间的报文通过,将触发IKE 进行协商建立安全联盟。IKE 协商成功并创建了安全联盟后,子网2.2.2.0与子网3.3.3.0 之间的数据流将被加密传输
思科:
crypto isakmp policy 1 //定义策略为1
hash md5 //定义md5算法,完整性验证方法
authentication pre-share //定义为pre-share密钥认证方式
crypto isakmp key xxxxxx address 202.202.202.1 //定义pre-share密钥为xxxxxx,总部IP为202.202.202.1
crypto ipsec transform-set xxxset esp-des esp-md5-hmac //创建变换集esp-des esp-md5-hmac,定义加密方式为des,完整性验证为md5
crypto map xxxmap 1 ipsec-isakmp //创建正规map
set peer 202.202.202.1 //定义总部IP
set transform-set xxxset //使用上面定义的变换集xxxset
match address 185 //援引访问列表定义的敏感流量,即进行×××转换的流量
int f0/0
ip ad 192.168.1.0 255.255.255.0
ip nat inside
int f0/1
ip ad 99.99.99.1 255.255.255.0 //这里很有可能是动态IP
ip nat outside
crypto map xxxmap
ip route 0.0.0.0 0.0.0.0 f0/1 //默认路由指向出口
access-list 185 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
// 指定需进行×××转换的数据流
access-list 190 deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 190 permit ip 192.168.1.0 0.0.0.255 any
// 指定需进行正常NAT转换的数据流,符合条件的直接从出口访问公网,不符合的不做NAT转换,直接进行×××加密并输送至公司总部端
route-map nonat permit 10
match ip address 190
vpdn enable //以下是ADSL拨号配置
int f0/1
pppoe enable
pppoe-client dialer-pool-number 1 //定义dialer-pool
int dialer1
mtu 1492 //×××连接中许多问题是MTU造成的
ip address negotiated //IP地址与对端协商,ISP随机提供动态IP
encapsulation ppp
dialer pool 1 //引用dialer pool
dialer-group 1 //引用敏感流量,符合条件的触发ADSL拨号
ppp authentication pap callin //定义pap明文密码传输
ppp pap sent-username xxxx2223030 password 7 ******
dialer-list 1 protocol ip permit //定义敏感流量,这里为所有流量
