簡(jiǎn)介在TCP/IP協(xié)議的開(kāi)發(fā)早起�,并沒(méi)有考慮到安全的因素,也沒(méi)預(yù)料到該協(xié)議會(huì)成為以后互聯(lián)網(wǎng)應(yīng)用最廣的協(xié)議��。隨著網(wǎng)絡(luò)的開(kāi)放�、共享的信息帶來(lái)了便利的時(shí)候,也出現(xiàn)了病毒���、***等各種網(wǎng)絡(luò)***��,使得網(wǎng)絡(luò)存在大量不安全因素����、在這種情況下�����,各種網(wǎng)絡(luò)安全技術(shù)應(yīng)運(yùn)而生���。 安全的含義:1��、源認(rèn)證 2���、完整性 3����、機(jī)密性 4����、不可否認(rèn)性早在古埃及的時(shí)候,就有加密出現(xiàn)了 ����,在二戰(zhàn)期間也大量被應(yīng)用,只是原先的加密算法都是保密的��,沒(méi)有人知道原理是什么����,但是后來(lái)人們發(fā)現(xiàn)這種想法并不適應(yīng)現(xiàn)代的網(wǎng)絡(luò)�����,在你認(rèn)為這算法是安全的�����,可能早就被人破解了�,所以 基于這種情況�,后續(xù)的加密算法都處于公開(kāi)的�����,任何人都可以獲取源代碼��,一個(gè)密碼系統(tǒng)的成功與否的關(guān)鍵是密鑰的生成�����、分發(fā)�、管理。保證密鑰的安全����,現(xiàn)在hacker不再?gòu)乃惴ū旧碚胰觞c(diǎn),而是從密鑰中需找機(jī)會(huì)��。
加密的類型:1��、對(duì)稱加密:應(yīng)用最早�����,也是最成熟的算法��,同一個(gè)密鑰來(lái)加解密。
優(yōu)點(diǎn):加解密速度快 ����。 密文緊湊,加密前的數(shù)據(jù)與加密后的數(shù)據(jù)大小不會(huì)發(fā)生太大的改變
缺點(diǎn):主要體現(xiàn)在密鑰的分發(fā)�、存儲(chǔ)、管理對(duì)數(shù)字證書(shū)支持的缺點(diǎn) �����,每使用一次對(duì)稱加密就需要產(chǎn)生一個(gè)新的密鑰�����,
而且在網(wǎng)絡(luò)上傳輸是非常困難的����,如果使用者非常多,那么就會(huì)以指數(shù)增長(zhǎng)��。
算法:DES | 3DES | CAST | IDEA | AES 常用于IPsec中有DES 3DES AES
2�、非對(duì)稱加密:同時(shí)生成公/私鑰�,公鑰加密私鑰解,私鑰加密公鑰解�,A與B同時(shí)有公/私鑰��,把公鑰發(fā)到互聯(lián)網(wǎng)上這時(shí)
候���, A如果想發(fā)送數(shù)據(jù)給B,那么利用B的公鑰把數(shù)據(jù)進(jìn)行加密得到一個(gè)Y 發(fā)給B����,B同時(shí)可以用私鑰來(lái)進(jìn)
行解密,把數(shù)據(jù)還原成沒(méi)加密的狀態(tài)
優(yōu)點(diǎn):需要的密鑰數(shù)量小���、不存在密鑰分發(fā)問(wèn)題�����。 支持?jǐn)?shù)字證書(shū)簽名���。
缺點(diǎn):加解密數(shù)度非常慢,并且處理大量數(shù)據(jù)后比源數(shù)據(jù)大好幾倍��。
算法:Diffie-Hellman��、RSA ���、 ECC IPsec只應(yīng)用了DH算法
它們的共同任務(wù)就是保證數(shù)據(jù)在不安全的網(wǎng)絡(luò)情況下���,保證數(shù)據(jù)的安全�。對(duì)稱算法和非對(duì)稱算法都有各自的優(yōu)缺點(diǎn)����,后來(lái),人們把兩者的優(yōu)點(diǎn)結(jié)合起來(lái)���,利用對(duì)稱算法來(lái)加密數(shù)據(jù)量大的數(shù)據(jù)�,而非對(duì)稱密鑰由于加解密非常慢���,用于加密對(duì)稱算法的密鑰���。
例如:A有一個(gè)數(shù)據(jù)X發(fā)往B,首先用對(duì)稱算法隨即生成一個(gè)Key,加密數(shù)據(jù)后得到Y(jié)���,這時(shí)候在用B公布在互聯(lián)網(wǎng)上的公鑰對(duì)這個(gè)Key進(jìn)行非對(duì)稱加密����,得到一個(gè)H���,這時(shí)候A把Y與H打包一起發(fā)送給B��。B收到以后��,用自己的私鑰把H解開(kāi)得到之前的Key�����,然后對(duì)數(shù)據(jù)Y解開(kāi)得到A原始的數(shù)據(jù)X���,由于Key的大小是固定的,所以這樣處理的數(shù)度大大提高�����。 2�����、完整性2�����、完整性:在傳輸數(shù)據(jù)的過(guò)程中���,能確保數(shù)據(jù)信息沒(méi)有被修改過(guò)�,這種算法叫做HASH,通常HASH只是一個(gè)通常��,具體的算法有MD5與SHA1����, SHA在研發(fā)的時(shí)候由于存在漏洞一直沒(méi)有被公布過(guò)。
算法:包括MD5與SHA-1
它們都具有:一個(gè)不等長(zhǎng)的輸入�����,等到一個(gè)等長(zhǎng)的輸出����。MD5為128bit,SHA-1 160bit
雪崩效應(yīng):只改動(dòng)一點(diǎn)點(diǎn)數(shù)據(jù)��,輸出就會(huì)改變��。 過(guò)程是不可逆的����。
有些人習(xí)慣把MD5這些作為加密看待,但是它只是一個(gè)認(rèn)證的能力���,保證數(shù)據(jù)沒(méi)有被修改過(guò)����。 不可否認(rèn)性3��、不可否認(rèn)性:標(biāo)明發(fā)起者發(fā)送這個(gè)數(shù)據(jù)后��,不能否認(rèn)不是它發(fā)送的�。比如 現(xiàn)實(shí)中的指紋。
在我們常用的就是路由協(xié)議認(rèn)證了�,在使用MD5認(rèn)證的時(shí)候,并不單單使用MD5 而是會(huì)設(shè)置一個(gè)key���,這個(gè)Key只有建立路由協(xié)議之間的路由器才知道�,每次路由更新會(huì)把更新的內(nèi)容與這個(gè)Key做HASH�,然后把路由信息與這個(gè)HASH結(jié)果發(fā)送給對(duì)方,對(duì)方收到以后也用這路由信息加上共同的KEY做HASH����,然后與收到的HASH做比較,相同就通過(guò)����。 我們稱這個(gè)技術(shù)為HMAC�,具有一定的不可否認(rèn)性和源認(rèn)證的特點(diǎn)�����。另外一個(gè)就是數(shù)字簽名和CA數(shù)字證書(shū) 都具有源認(rèn)證與不可否認(rèn)性�。 IPsec協(xié)議它并不是一個(gè)具體的協(xié)議,而是一個(gè)框架����,由ESP(encapsulating security payload 封裝安全載荷) 、AH(Authentication Header 認(rèn)證頭協(xié)議)�����、IKE(Internet Key Exchange 因特網(wǎng)密鑰交換協(xié)議)組成�����。先說(shuō)說(shuō)幾個(gè)概念性的東西
SA:安全聯(lián)盟 �����、SA是兩個(gè)實(shí)體經(jīng)過(guò)協(xié)商建立起來(lái)一種協(xié)定����,它們決定用來(lái)保護(hù)數(shù)據(jù)包安全的IPsec協(xié)議����、連接模式���、HMAC功能與加密算法�����、密鑰以及密鑰的有效時(shí)間存在時(shí)間等等。任何IPsec實(shí)施方案會(huì)構(gòu)建一個(gè)SA數(shù)據(jù)庫(kù) (S A D B ) 由他們來(lái)維護(hù)IPsec協(xié)議 �,用來(lái)保障數(shù)據(jù)包安全的SA記錄
SA是單向的:如果兩個(gè)主機(jī)(A與B)正在通過(guò)ESP進(jìn)行安全通信,那么主機(jī)A就需要一個(gè)SA��,即SA(OUT) 用來(lái)處理出去的數(shù)據(jù)包(加密):另外還需要一個(gè)不同的SA���,即SA(IN)�,用來(lái)處理進(jìn)入的數(shù)據(jù)包(解密)����。主機(jī)A的SA(OUT) 和主機(jī)B的SA (in) 將共享相同的加密參數(shù)(比如密鑰)
SA還是“與協(xié)議相關(guān)”的。 每種協(xié)議都有一個(gè)SA ���。如果主機(jī)A和B同時(shí)通過(guò)AH和ESP進(jìn)行安全通信����,那么每個(gè)主機(jī)都會(huì)針對(duì)每一個(gè)協(xié)議來(lái)構(gòu)建一個(gè)獨(dú)立的SA。 SPD :安全策略數(shù)據(jù)庫(kù)SPD :安全策略數(shù)據(jù)庫(kù) (在cisco H3C上就是感興趣流量)
1�����、丟棄這個(gè)包�。此時(shí)包不會(huì)得以處理,只是簡(jiǎn)單的丟掉 (PC支持����,思科上不支持)
2、繞過(guò)安全服務(wù): 在這種情況下����,IP層會(huì)在載荷內(nèi)增添IP頭,然后分發(fā)IP包���。 (相當(dāng)于感興趣流量����,不匹配的流量就正常走)
3�、應(yīng)用安全服務(wù):假如已經(jīng)建立了SA,就會(huì)指向SA的指針�; 假如未建立SA,就會(huì)調(diào)用I K E���,將這個(gè)SA建立起來(lái)。具體由策略來(lái)決定��,如果規(guī)定IPsec應(yīng)用于數(shù)據(jù)包�����,那么在SA建立之前����,數(shù)據(jù)包是不會(huì)被轉(zhuǎn)發(fā)的���。 (匹配了感興趣流量)
比如我們PC也能使用IPsec來(lái)保證數(shù)據(jù)的安全性��,比如 路由器syslog信息 發(fā)送到服務(wù)器上必須保證安全���,可以通過(guò)IPsec來(lái)建立安全通道。 cisco設(shè)備與微軟的兼容性最好��,因?yàn)槭褂玫腎KE由它們共同開(kāi)發(fā)的��。 
這里主要介紹ESP協(xié)議�,AH協(xié)議在IPv4的網(wǎng)絡(luò)并不適應(yīng)�,因?yàn)樗鼤?huì)把整個(gè)IP頭部和數(shù)據(jù)部分做認(rèn)證�����,只針對(duì)IP數(shù)據(jù)部分的服務(wù)類型字段�、標(biāo)志、分片偏移����、TTL、校驗(yàn)和這些不會(huì)被加入認(rèn)證中��,但是源目IP是被認(rèn)證的���,而在IPv4的網(wǎng)絡(luò)中�,存在大量的NAT與PAT設(shè)備存在���,源地址被改變很常見(jiàn)����,這樣很容易導(dǎo)致認(rèn)證的結(jié)果不匹配��。 IPsec的功能原本屬于IPv6中,后來(lái)挪移到IPv4中使用��,保證IPv4的網(wǎng)絡(luò)安全��。 
ESP只對(duì)Payload Data到Next Header做加密��,認(rèn)證是SPI到Next Header����,SPI、SEQ�����、IV也就是ESP的頭部信息��,它是不被加密的����。 1����、SPI : 由SA是單向發(fā)起的,會(huì)以明文HASH的方式把SPI發(fā)給對(duì)方���,對(duì)方查自己SA的數(shù)據(jù)庫(kù)�,匹配上的 就用SPI上下面的策略來(lái)解密 2、Sequence Number Field :每發(fā)一個(gè)數(shù)據(jù)包���,序列號(hào)會(huì)增加一�����,如果對(duì)方收到相同的序列號(hào)���,就會(huì)drop,防重放***
3��、IV : 跟“快大小相等: 作為CBC加密
4���、 payload Data:具體的數(shù)據(jù)部分
5����、Padding:當(dāng)快不夠的時(shí)候����,就需要這個(gè)來(lái)湊齊。(快大小不夠8字節(jié)的時(shí)候) Pad length :快大小的長(zhǎng)度
6���、Next Header:告知下一個(gè)頭部是什么類型(加密數(shù)據(jù)的頭部) 1 for ICMP 4 for IP-In-IP encapsulation 6 for TCP 17 for UDP (除了4是Tunnel�,其他都是傳輸模式)
7、Authentication Data:包含SPI到Next Header部分通過(guò)hash與HMAC算出來(lái)的值���,但是只取前96位 因?yàn)橹挥?2個(gè)字節(jié)����,也就是96位 ESP數(shù)據(jù)包的外出處理1����、傳輸模式:ESP跟進(jìn)在IP頭之后,插入一個(gè)外出的IP包中�����。IP頭的協(xié)議字段復(fù)制到ESP頭的”下一個(gè)頭“字段中(data的下一個(gè)字段)�,IP頭的協(xié)議字段置為ESP的值或者50。ESP的其余字段被填滿—SPI字段分配到的是來(lái)自S A D B的����、用來(lái)對(duì)這個(gè)包進(jìn)行處理的特定SA的SPI;填充序列號(hào)字段的是序列中的下一個(gè)值�。填充數(shù)據(jù)會(huì)被插入���,其值被分配(這個(gè)值根據(jù)算法決定����,比如DES必須滿足每個(gè)包8字節(jié));同時(shí)分配的還有填充長(zhǎng)度值(Pad自動(dòng)填充)��。
2��、tunnel模式:ESP頭是加在IP包前面���。IPV4包����,那么ESP頭的“下一個(gè)頭”字段分配為4.其他字段的填充方式在傳輸模式一樣����。然后在ESP頭前面新增一個(gè)ip頭,對(duì)相應(yīng)的字段進(jìn)行填充—-源地址對(duì)應(yīng)與ESP那個(gè)設(shè)備本身:目標(biāo)地址取自于用來(lái)應(yīng)用ESP的SA (peer中設(shè)置的地址):協(xié)議為50���,其他字段參照本地的IP處理加以填充����。
3���、從恰當(dāng)?shù)腟A中選擇加密方式(加密算法) ��,對(duì)包進(jìn)行加密(從載荷數(shù)據(jù)的開(kāi)頭��,一直到“下一個(gè)頭”字段)
4���、重新計(jì)算位于ESP前面的IP頭的校驗(yàn)和 (因?yàn)閰f(xié)議號(hào)改變了)
5���、把hash與IP頭的校驗(yàn)和字段放在尾部 ESP數(shù)據(jù)包的進(jìn)入處理1、檢查處理這個(gè)包的SA是否在本地?cái)?shù)據(jù)庫(kù)中存在 (本地的SPID)
2����、檢查序列號(hào)是否有效。
3���、對(duì)數(shù)據(jù)包進(jìn)行完整性和來(lái)源進(jìn)行驗(yàn)證 (hash校驗(yàn))
4���、對(duì)數(shù)據(jù)包解密 (根據(jù)SPID下的策略)
5、對(duì)數(shù)據(jù)包進(jìn)行初步的有效性檢驗(yàn)
驗(yàn)證模式匹配 (根據(jù)Next Header中攜帶的是4就是Tunnel����,其他的都為傳輸模式)
6、傳輸模式:就會(huì)轉(zhuǎn)送到一個(gè)高一級(jí)的協(xié)議—比如TCP或UDP—由它們對(duì)這個(gè)包進(jìn)行處理
隧道模式: 對(duì)解密后的IP���,進(jìn)行路由查找�����,進(jìn)行轉(zhuǎn)發(fā)到它的目的 (也可能在同一個(gè)主機(jī)上)
mode:分為tunnel mode 與transport mode �,兩者的區(qū)別在于 前者會(huì)生成一個(gè)新的頭部�����,通常用于互聯(lián)網(wǎng)兩個(gè)私網(wǎng)之間連接����,而transport mode用于局域網(wǎng)之類。 
關(guān)于這些SA ESP mode����,兩者建立安全隧道的時(shí)候 到底怎么去生成跟決定呢,那么就需要用到IPsec中IKE�����。
IKE負(fù)責(zé)建立和維護(hù)IKE SA和IPsec SA 主要包含1�、對(duì)雙方進(jìn)行驗(yàn)證
2、交換公共密鑰����,產(chǎn)生密鑰資源�����,管理密鑰
3 ���、協(xié)商協(xié)議參數(shù)(封裝,加密���,認(rèn)證) IKE的三個(gè)組成部分1��、SKEME:提供為認(rèn)證目的的使用公開(kāi)的加密機(jī)制 (定義一種密鑰交換方式)
2����、Oakley:提供在兩個(gè)IPsec對(duì)等體達(dá)成相同的加密密鑰的基本模式的機(jī)制(對(duì)多模式的支持�����,例如對(duì)新的加密技術(shù)��,并沒(méi)有具體定義交換什么樣的信息��。)
3����、ISAKMP:定義了消息交換的體系結(jié)構(gòu)����,包括兩個(gè)IPsec對(duì)等體分組形式和狀態(tài)改變 (定義封裝格式和協(xié)商包交換的方式)
IKE的建立會(huì)經(jīng)歷兩個(gè)階段���,有三種模式。 通常使用的是主模式�����,積極模式只在EZ***或者遠(yuǎn)程***的情況下才被使用�。
第一階段分 主模式:六個(gè)包交換。一去一回做3次交換�,提供一個(gè)安全管理的連接,兩個(gè)對(duì)等體用于共享IPsec的信息�����。
第二階段協(xié)商IPsec SA對(duì)具體的流量進(jìn)行加密的方式 ����,利用安全的通道建立具體數(shù)據(jù)加密的通道 我們可以把***看成一個(gè)業(yè)務(wù),首先公司的老總需要見(jiàn)面��、吃吃飯 認(rèn)識(shí)認(rèn)識(shí) (相當(dāng)于認(rèn)證,為第一階段) �。當(dāng)業(yè)務(wù)談妥了,定下了合同�,而這份合同規(guī)定了對(duì)這些業(yè)務(wù)的具體操作(對(duì)數(shù)據(jù)的具體加密)
1.第一二個(gè)包協(xié)商的內(nèi)容為 ip地址 和 策略:
{IP地址的內(nèi)容為對(duì)方所指定的peer,匹配了才進(jìn)行下去}
{策略的內(nèi)容 雙方定義的認(rèn)證方式 {pre-share | 證書(shū)} 加密策略 {des | 3des | aes| } 認(rèn)證{ hash { MD5 | sha-1 }
{DH的內(nèi)容定義了g和P的大小 {group 1 | 2 | 5 }
{key life-time {默認(rèn)為1天} 如果不匹配�����,就以雙方最小的為標(biāo)準(zhǔn)
協(xié)商過(guò)程:首先發(fā)送方把所有的策略都發(fā)給接收方 ���。 當(dāng)接收方與自己的策略做比較����,匹配上的���,就只發(fā)這個(gè)匹配上的給發(fā)送方�。
這里的策略決定了第一階段的第五六個(gè)包與第二階段的快速模式在什么樣的***通道中進(jìn)行協(xié)商 (這些過(guò)程都是進(jìn)行加密與驗(yàn)證的) 2��、第三四個(gè)包協(xié)商的內(nèi)容為:DH的交換 {把大A | B 和小 a | b 雙方進(jìn)行交換對(duì)比} 這個(gè)結(jié)果是共同協(xié)商的��,是相等的�,隨即的通過(guò)一系列算法得出三個(gè)SKEYID 產(chǎn)生密鑰
SKEYID_d =用于計(jì)算后續(xù)IPsec密鑰材料 (第二階段的密鑰都是通過(guò)這個(gè)來(lái)衍生的)
SKEYID_a=用于提供IKE消息的數(shù)據(jù)完整性和認(rèn)證
SKEYID_e=用于加密IKE消息 3、第五六個(gè)包協(xié)商的內(nèi)容為 :用SKEYID的信息對(duì)pre-shared key 和雙方已知的(策略信息)SA Payload,Proposals Transforms,ID 進(jìn)行hash,得到的 結(jié)果一致��,認(rèn)證就通過(guò)����,這個(gè)過(guò)程是在SKEYID_E加密的情況下完成認(rèn)證。 第二階段 主要協(xié)商IPsec sa 對(duì)具體數(shù)據(jù)的加密方式.{封裝策略 (ESP | AH )}
{加密策略 (des | 3des | aes ) }
{ hash策略 (md5 | sha-1 ) }
{ mode ( tunnel | transport_}
{ key lifetime ( 1小時(shí)) (這里的一個(gè)小時(shí)��,只是說(shuō)流量在一個(gè)小時(shí)內(nèi)沒(méi)有經(jīng)過(guò)�����,就斷開(kāi)
{流量 (ACL) 定義具體流量 }
這個(gè)模式為快速模式��,這個(gè)過(guò)程是也加密的�,也是根據(jù)IKE第一階段的第一次交換策略來(lái)決定
只有3個(gè)包��,第一個(gè)包發(fā)送方當(dāng)有多個(gè)策略的時(shí)候�����,發(fā)送給接收方�����。接收方通過(guò)查找有匹配的策略的時(shí)候、會(huì)通過(guò)快速包的第二個(gè)包發(fā)給對(duì)方(只發(fā)送匹配的�����,說(shuō)明雙方以這個(gè)策
略來(lái)進(jìn)行加密 ��。第三個(gè)包接收方會(huì)回復(fù)一個(gè)acknowledges information的信息�,表示這個(gè)IPsec隧道是可以建立的。當(dāng)隧道建立了��,會(huì)出現(xiàn)SPID(顯示為一堆阿拉伯?dāng)?shù)字)說(shuō)明Ipsec已經(jīng)成功建立����。 這個(gè)通道用于加密數(shù)據(jù)流量。 IPsec的框架: 1����、加密 DES 3DES AES ……
2、驗(yàn)證 MD5 SHA-1 …….
3�、封裝協(xié)議 ESP AH……..
4、模式 Transport tunnel ……….
5����、密鑰有效期 3600 1800 ………..
IPsec提供了一個(gè)框架,并沒(méi)有規(guī)定使用什么加密算法與驗(yàn)證 封裝(只提供了加密 驗(yàn)證封裝協(xié)議等的參數(shù)選擇)�����,它由兩個(gè)對(duì)等體之間的參數(shù)來(lái)協(xié)商,這種框架提供了靈活性與可擴(kuò)展性�����。 它提供了數(shù)據(jù)機(jī)密性��、數(shù)據(jù)完整性��、數(shù)據(jù)源認(rèn)證�、防重放***。 IPsec的連接:當(dāng)一個(gè)***沒(méi)建立的時(shí)候�,一個(gè)數(shù)據(jù)包觸發(fā)了IPsec過(guò)程,那么IPsec會(huì)使用ISAKMP/IKE階段1來(lái)構(gòu)建一個(gè)安全的管理連接�����,這個(gè)管理連接可以讓兩個(gè)對(duì)等體可以彼此安全的通信���,用于共享IPsec的信息(比如共享密鑰,驗(yàn)證信息的載荷)���。也把第一階段成為管理連接�����。 通過(guò)這個(gè)安全的管理連接���,兩個(gè)IPsec的對(duì)等體將協(xié)商用于構(gòu)建安全數(shù)據(jù)連接的參數(shù)�����,這個(gè)安全的數(shù)據(jù)連接用于傳輸用戶的數(shù)據(jù)��,通常這個(gè)ISAKMP/IKE 第二階段也稱為數(shù)據(jù)連接���。管理連接與數(shù)據(jù)連接都各自有一個(gè)生存期存在,確保在有人試圖破解你安全密鑰的情況下�����,密鑰信息在周期性的重新產(chǎn)生來(lái)保證安全性��。如果數(shù)據(jù)一直在發(fā)送�,那么會(huì)提前建立第二個(gè)通道,不會(huì)第一個(gè)生存期過(guò)了后����,需要重新建立 而斷開(kāi)了數(shù)據(jù)連接����。 ISAKMP/IKE 使用的是UDP 500端口來(lái)建立管理連接���, 數(shù)據(jù)加密是用ESP或者AH 來(lái)進(jìn)行����。 也許有些人覺(jué)得配置***是一件繁瑣的事情����,因?yàn)榕渲妹钐啵敲靼琢怂鼈兊膮f(xié)商過(guò)程和每個(gè)階段的任務(wù) ���,配置起來(lái)思路是很清晰 也很簡(jiǎn)單的�����。 cisco設(shè)備實(shí)現(xiàn)簡(jiǎn)單的site-to-site ***12.1.1.0/24 23.1.1.0/24
1.1.1.1 Center.1—————– .2 Internet .1 ——————–.2 Branch 3.3.3.3
在配置之前,首先要了解加密點(diǎn)與通訊點(diǎn)�。 這里的通訊點(diǎn)為1.1.1.1 和3.3.3.3 兩個(gè)私網(wǎng)網(wǎng)段,而加密點(diǎn)則是出口的公網(wǎng)地址����。
當(dāng)加密點(diǎn)不等于通訊點(diǎn)的時(shí)候��,必須使用tunnel mode來(lái)生成一個(gè)新的頭部�����。 當(dāng)加密點(diǎn)等于通訊點(diǎn)的時(shí)候����,可以使用transport mode�����,節(jié)省20個(gè)字節(jié)的IP頭部���,后續(xù)的GRE Over *** 或者IPsec SVIT等 1�、首先配置isakmp/ike 第一階段���,通過(guò)之前的協(xié)商的過(guò)程了解 需要配置ip和策略crypto isakmp policy 10
authentication pre-share | rsa-sig 基于什么的認(rèn)證���,通常情況下使用預(yù)共享密鑰
encryption des | 3des | aes 加密算法
hash md5 | sha-1
group
lifetime 86400 默認(rèn)為1天,根據(jù)雙方最小值定
在cisco路由器中IKE第一階段有默認(rèn)策略���,show crypto isakmp policy 查看 
默認(rèn)策略:加密為DES Hash 為SHA-1 DH為group 1 lifetime 為一天 認(rèn)證用證書(shū)
所以我們最簡(jiǎn)單的配置方法就是 authentication pre-share 只需要把認(rèn)證改為基于預(yù)共享密鑰 其余的都為默認(rèn)策略 crypto isakmp key 0 cisco address 23.1.1.2 這里定義的是IKE第一階段的共享密鑰���,并且指定與誰(shuí)建立 2�����、配置第二階段的策略���。這里協(xié)商具體數(shù)據(jù)加密的策略crypto ispec transform-set trans esp-des esp-md5-hmac 這里的trans是一個(gè)名字,可以設(shè)置多個(gè)名字調(diào)用與不同的IPsec中��,采用ESP協(xié)議 用des加密 md5做認(rèn)證�����,當(dāng)輸入后會(huì)進(jìn)入子模式設(shè)置mode
mode tunnel | transport 默認(rèn)情況下不設(shè)置為tunnel模式�,L2L是典型的tunnel模式 感興趣流量:access-list permit ip host 1.1.1.1 host 3.3.3.3 感興趣流量?jī)啥吮仨毰渲脼殓R像一樣,
比如 Branch就必須為 access-list permit ip host 3.3.3.3 host 1.1.1.1 3����、調(diào)用第一二階段的策略crypto map l2l 10 ipsec-isakmp :
這里用一個(gè)map調(diào)用,cisco中存在很多的map��。l2l是一個(gè)名字�����,后面跟的序列號(hào)�,因?yàn)榻涌谙轮辉试S存在一個(gè)map,所以可以根據(jù)序列號(hào)來(lái)調(diào)用多個(gè)不同的***���。 有些人很奇怪 在調(diào)用的時(shí)候并沒(méi)有調(diào)用第一階段的策略�����,其實(shí)ipsec-isakmp這關(guān)鍵字 已經(jīng)調(diào)用了第一階段的策略了�����,采用IKE來(lái)協(xié)商���。 還有個(gè)ipsec-maunal 手動(dòng)模式,幾乎不使用
match address 100 :調(diào)用感興趣流量
set peer 23.1.1.2 :設(shè)置與哪個(gè)場(chǎng)點(diǎn)建立
set transform-set trans :調(diào)用第二階段協(xié)商參數(shù) 4�����、接口下調(diào)用interface f0/0
crymap map l2l
當(dāng)調(diào)用后會(huì)提示 *Mar 1 00:25:05.291: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
這里主要的是 在路由器上配置IPsec *** 默認(rèn)情況下 IKE是啟用的���,而在ASA上配置默認(rèn)是關(guān)閉的�����,需要用crypto isakmp enable 開(kāi)啟 當(dāng)測(cè)試的時(shí)候 一定要用感興趣流量來(lái)測(cè)試�����,比如Center端發(fā)起 需要 ping 3.3.3.3 source 1.1.1.1 經(jīng)常用的幾個(gè)查看命令1���、show crypto isakmp sa 查看第一階段的情況 顯示QM_IDLE 表示第一階段正常建立 2�����、shiw crypto ipsec sa :顯示ipsec sa的詳細(xì)情況�����,包括SPI 感興趣流量 peer 
仔細(xì)看會(huì)發(fā)現(xiàn)Center端的SPI Outbound 與Branch的 SPI Inbound 是相同的����,反過(guò)來(lái) Center的SPI inbound與Branch的Outbound是相同的���。 當(dāng)一個(gè)數(shù)據(jù)包發(fā)送過(guò)來(lái) 通過(guò)SPI來(lái)匹配這個(gè)數(shù)據(jù)包用什么算法加解密 和認(rèn)證�����。 3��、show crypto engine connections active 最直接查看IPsec的加解密情況 
一個(gè)是IKE的sa情況 另外兩個(gè)分別對(duì)應(yīng)Outbound 與Inbound 加解密 這里為加密4個(gè)數(shù)據(jù)包 解密4個(gè)數(shù)據(jù)包 這里注意的是���,有時(shí)候在做實(shí)驗(yàn)的時(shí)候,習(xí)慣用兩臺(tái)設(shè)備做***����,覺(jué)得直連設(shè)備不需要做路由,但是配置下來(lái)后死活不通�,檢查了半天配置也沒(méi)問(wèn)題,這里在安全實(shí)驗(yàn)中一定要明白路由的重要性�,這里做路由不是為了讓私網(wǎng)之間可達(dá),而是為了讓去往對(duì)方私網(wǎng)走這個(gè)有map的接口���,當(dāng)滿足了流量撞擊map的策略���,觸發(fā)了***的建立。 在***中 通常有多個(gè)IP頭部���,所以 最好的辦法是理解封裝結(jié)構(gòu) ���,這對(duì)以后流量的放行和路由的處理是很關(guān)鍵的。 Center的配置crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 23.1.1.2
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map l2l 10 ipsec-isakmp
set peer 23.1.1.2
set transform-set trans
match address 100
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map l2l
ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
access-list 100 permit ip host 1.1.1.1 host 3.3.3.3
! Branch配置crypto isakmp policy 10
authentication pre-share
crypto isakmp key ccieh3c.taobao.com address 12.1.1.1
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map l2l 10 ipsec-isakmp
set peer 12.1.1.1
set transform-set trans
match address 100
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/1
ip address 23.1.1.2 255.255.255.0
duplex auto
speed auto
crypto map l2l
!
ip route 0.0.0.0 0.0.0.0 23.1.1.1
access-list 100 permit ip host 3.3.3.3 host 1.1.1.1 H3C設(shè)備的site-to-site實(shí)現(xiàn)在H3C設(shè)備中,第一階段和第二階段都有默認(rèn)策略��,相對(duì)來(lái)說(shuō)配置很簡(jiǎn)單�。
基本配置:1、ike peer 10 建立一個(gè)peer�,設(shè)置預(yù)共享密鑰和地址
pre-shapre-key ccieh3c.taobao.com
remote-address 23.1.1.2
2、ike的策略采用default����,默認(rèn)策略跟cisco的相同,除了認(rèn)證不同
3����、ipsec proposal 10 創(chuàng)建一個(gè)IPSEC策略,采用默認(rèn)值封裝為esp 加密為des hash為MD5 mode為tunnel
4�、acl number 3000 創(chuàng)建感興趣流量
rule 0 permit ip source 1.1.1.1 0 destionation 3.3.3.3 0
5、ipsec policy l2l 10 iskamp 調(diào)用這些策略
security acl 3000
ike peer 10
proposal 10
6���、接口調(diào)用
ipsec policy l2l
幾個(gè)查看命令 display ike peer :查看peer的設(shè)置
display ike proposal :查看ike的default策略
display ipsec proposal :查看ipsec的default策略
dispaly ike sa :查看第一階段的情況
display ipsec sa:查看第二階段的情況 包括SPI 感興趣流量 peer
display ipsec statistics :查看加解密的情況 本文轉(zhuǎn)載于公眾號(hào):網(wǎng)絡(luò)之路博客 來(lái)源:https://www./content-4-886051.html
|
