ipsec  ×××

ipsec vpn简介:

IPSec IP Security )协议族是 IETF 制定的一系列协议,它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

ipsec通过AHESP两种协议实现上述目标,当然为了简化IPSec 的使用和
管理,IPSec 还可以通过 IKE Internet Key Exchange ,因特网密钥交换协议)进行自动协商交换密钥、建立和维护安全联盟的服务。

IPSEC 操作模式有两种:一是传输模式,一种是隧道模式。采用的验证。二者区别在于数据报中是否会生成新的ip报头。

IPSEC的验证算法:

  MD5MD5通过输入任意长度的消息,产生128bit 的消息摘要。 
  SHA-1 SHA-1 通过输入长度小于2 64次方比特的消息,产生 160bit 的消息摘要。
 SHA-1 的摘要长于MD5,因而是更安全的。

加密算法:

   DES:使用56bit的密钥对一个64bit的明文块进行加密。 
   3DES :使用三个56bitDES密钥(共 168bit 密钥)对明文进行加密。
无疑,3DES 具有更高的安全性,但其加密数据的速度要比DES慢得多。

(1) AH 协议
AH是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重
放功能;然而,AH并不加密所保护的数据报。
(2) ESP 协议ESP是封装安全载荷协议。它除提供 AH协议的所有功能外(但其数据完整性校验不包括IP 头),还可提供对 IP 报文的加密功能。  AHESP 可以单独使用,也可以同时使用)

      IKE简介

  IPSec 的安全联盟可以通过手工配置的方式建立,但是当网络中节点增多时,手工
配置将非常困难,而且难以保证安全性。这时就要使用IKEInternet Key Exchange
因特网密钥交换)自动地进行安全联盟建立与密钥交换的过程。 
   IKE 协议是建立在由 Internet 安全联盟和密钥管理协议 ISAKMP Internet Security
Association and Key Management Protocol)定义的框架上。它能够为IPSec 提供
了自动协商交换密钥、建立安全联盟的服务,以简化IPSec 的使用和管理。
   IKE 具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建
IPSec 安全联盟。

IKE的安全机制:

1DHDiffie-Hellman)交换及密钥分发。

2、完善的前向安全性(Perfect Forward Secrecy PFS )。

3、身份验证。

4、身份保护。

IKE的交换阶段:

一:IKE SA的建立。

二:ipsec SA 的建立。

安全联盟的简介:

安全联盟是IPSec 的基础,也是IPSec 的本质。SA是通信对等体间对某些要素的
约定,例如,使用哪种协议(AHESP还是两者结合使用)、协议的操作模式(传
输模式和隧道模式)、加密算法(DES3DES )、特定流中保护数据的共享密钥
以及密钥的生存周期等。
安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别
对两个方向的数据流进行安全保护。同时,如果希望同时使用 AHESP 来保护对
等体间的数据流,则分别需要两个SA,一个用于 AH,另一个用于ESP
安全联盟由一个三元组来唯一标识,这个三元组包括SPISecurity Parameter
ndex ,安全参数索引)、目的 IP 地址、安全协议号(AHESP)。SPI 是为唯一
标识SA而生成的一个 32比特的数值,它在AHESP 头中传输。

安全联盟具有生存周期。生存周期的计算包括两种方式: 
      以时间为限制,每隔指定长度的时间就进行更新; 
      以流量为限制,每传输指定的数据量(字节)就进行更新。 

安全联盟的协商方式:
      安全联盟的协商方式有两种,一种是手工方式(manual),一种是IKE 自动协商(isakmp )方式。手工协商方式配置比较复杂,创建安全联盟所需的全部信息都必
须手工配置,并且不支持IPSec 的一些高级特性(例如定时更新密钥);优点是可
以不依赖IKE 而单独实现 IPSec 功能。IKE 自动协商方式相对比较简单,只需要配
置好IKE 协商安全策略的信息,由 IKE 自动协商来创建和维护安全联盟。
当与 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工
配置安全联盟是可行的。对于中、大型的动态网络环境中,推荐使用IKE 协商建立
安全联盟。

 

拓扑图:

实验环境说明:

本实验采用华为2600系列路由器三台,3526系列交换机(三层)一台。实现1.0网段的主机可以喝2.0,3.0网段的主机通过vpn互访。但是2.03.0之间不建立vpn

 

 

R14的配置:

!

  ike pre-shared-key abcd remote 192.168.30.200   ike密钥的配置

  ike pre-shared-key 123456 remote 192.168.20.200

  !

   !

  acl 3000 match-order auto

    rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

    rule normal deny ip source any destination any

  !

  acl 3001 match-order auto

    rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

    rule normal deny ip source any destination any

  !                                     

  ipsec proposal tran2    配置安全提议  #安全提议 中采用的安全协议是esp,加密方式是des,认证方式是md5

 

  !                                      

  ipsec proposal tran1  #安全提议 中采用的安全协议是esp,加密方式是des,认证方式是md5

 

  !                                      

  ipsec policy policy1 10 isakmp    配置安全策略

    security acl 3000                    

    proposal tran1                       

    tunnel remote 192.168.20.200         

  !                                      

  ipsec policy policy1 20 isakmp

    security acl 3001                    

    proposal tran2                       

    tunnel remote 192.168.30.200   !

  interface Ethernet0

    ip address 192.168.1.1 255.255.255.0

  !

  interface Ethernet1

    ip address 192.168.10.200 255.255.255.0

    ipsec policy policy1

ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 preference 60

[R14]dis ipsec proposal   安全提议中所采用的安全协议以及加密和验证方式:

 

    proposal set name: tran1

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

 

    proposal set name: tran2

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

R5配置:

!

  ike pre-shared-key 123456 remote 192.168.10.200

  !

  acl 3000 match-order auto

    rule normal permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

    rule normal deny ip source any destination any

  !

  ipsec proposal tran1   #安全提议 中采用的安全协议是esp,加密方式是des,认证方式是md5

 

  !

  ipsec policy policy1 10 isakmp

    security acl 3000

    proposal tran1

    tunnel remote 192.168.10.200

  !

 

  interface Ethernet0

    ip address 192.168.2.1 255.255.255.0

  !

  interface Ethernet1

    ip address 192.168.20.200 255.255.255.0

    ipsec policy policy1

  !

ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 preference 60

 [R5]dis ipsec proposal

 proposal set name: tran1

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

 

 

  !

R9配置:

[R9]dis cu

 

  ike pre-shared-key abcd remote 192.168.10.200

  !

  acl 3000 match-order auto

    rule normal permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

    rule normal deny ip source any destination any

  !

  ipsec proposal tran2  #安全提议 中采用的安全协议是esp,加密方式是des,认证方式是md5

 

!

  ipsec policy policy1 20 isakmp

    security acl 3000

    proposal tran2

    tunnel remote 192.168.10.200

  !                                         !

  interface Ethernet0

    ip address 192.168.3.1 255.255.255.0

  !

  interface Ethernet1

    ip address 192.168.30.200 255.255.255.0

    ipsec policy policy1

  !

 

  quit

  ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 preference 60

  !

  Return

 

[R5]dis ipsec proposal

 proposal set name: tran2

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

 

SW10的配置:

#

vlan 10

#

vlan 20

#

vlan 30

#

interface Vlan-interface1

 ip address 192.168.100.10 255.255.255.0

#

interface Vlan-interface10

 ip address 192.168.10.1 255.255.255.0

#

interface Vlan-interface20

 ip address 192.168.20.1 255.255.255.0

#

interface Vlan-interface30

 ip address 192.168.30.1 255.255.255.0

测试:

1.10访问2.45

 

ipsec vpn在企业中的应用_休闲

 

1.10访问3.100

 

ipsec vpn在企业中的应用_休闲_02

 

2.45访问1.10

 

 

ipsec vpn在企业中的应用_安全_03

成功访问。

 

3.100访问1.10

ipsec vpn在企业中的应用_职场_04