温馨提示:欢迎对技术感兴趣的新手朋友们,希望这些知识点能对大家有帮助。如果有什么不解或疑惑或建议,可留言小编或邮件2355331040@qq.com,我将尽快给予解决。感谢大家的支持和关注,谢谢!!
IPSec概念
(1)**IPSec(Internet Protocol Security)是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放
(2)** 机密性:对数据进行加密保护,用密文的形式传送数据
(3)** 完整性:指对接收的数据进行认证,以判定报文是否被篡改
(4) 防重放:防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
(5) 应用场景:企业分支通过IPSec隧道接入企业总部
IPSec架构
(1) IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成
(2) AH协议:提供的功能有数据源验证、数据完整性校验和防报文重放功能。
(3) ESP协议:提供AH协议的所有功能外(ESP的数据完整性校验不包括IP头),还提供对IP报文的加密功能
(4) IKE协议:自动协商AH和ESP所使用的密码算法
安全联盟SA
(1) SA(Security Association)安全联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数
(2) 建立SA的两种方式:手工和IKE动态协商
a) 手工方式:安全联盟所需的全部信息都必须手工配置。优点不依赖IKE而单独实现IPSec功能。在小型静态环境中,可手工配置SA
b) IKE动态协商方式:通信对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA。中、大型的动态网络环境中,推荐使用IKE协商建立SA
IPSec协议的封装模式
传输模式和隧道模式
(1)** IPsec传输模式:在IP报文头和高层协议之间插入AH或ESP头。传输模式中的AH或ESP主要对上层协议数据提供保护
a) 传输模式中的AH:在IP头部之后插入AH头,对整个IP数据包进行完整性校验
b) 传输模式中的ESP:在IP头部之后插入ESP头,在数据字段后插入尾部以及认证字段。对高层数据和ESP尾部进行加密,对IP数据包中的ESP报文头,高层数据和ESP尾部进行完整性校验
c) 传输模式中的AH+ESP:在IP头部之后插入AH和ESP头,在数据字段后插入尾部以及认证字段
*(2)* IPSec隧道模式:AH或ESP头封装在原始IP报文头之前,并另外生成一个新的IP头封装到AH或ESP之前。隧道模式可以完全地对原始IP数据报进行认证和加密,而且可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。
a) 隧道模式中的AH:对整个原始IP报文提供完整性检查和认证,认证功能优于ESP
b) 隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验
c) 隧道模式中的AH+ESP:对整个原始IP报文和ESP尾部进行加密,AH、ESP分别会对不同部分进行完整性校验
IPSec VPN配置步骤
*(1)* 配置网络可达
*(2)* 配置ACL感兴趣流
*(3)* 创建安全提议
*(4)* 创建安全策略
*(5)* 应用安全策略
IPSec VPN实验如图
*(1) 配置网络可达*
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 10.1.1.254 24
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 12.1.1.1 24
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 23.1.1.2 24
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 23.1.1.3 24
[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 10.2.1.254 24
[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 12.1.1.1 0.0.0.0
[AR2]ospf 1
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 23.1.1.2 0.0.0.0
[AR2-ospf-1-area-0.0.0.0]network 12.1.1.2 0.0.0.0
[AR3]ospf 1
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 23.1.1.3 0.0.0.0
[AR1]ip route-static 10.2.1.0 255.255.255.0 23.1.1.3
[AR3]ip route-static 10.1.1.0 255.255.255.0 12.1.1.1
*(2) 配置ACL感兴趣流*
[AR1]acl number 3000
[AR1-acl-adv-3000]rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255
[AR3]acl number 3000
[AR3-acl-adv-3000]rule 5 permit ip source 10.2.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
*(3) 创建安全提议*
[AR1]ipsec proposal 1
[AR3]ipsec proposal 1
*(4) 创建安全策略*
[AR1]ipsec policy shida 1 manual
[AR1-ipsec-policy-manual-shida-1]security acl 3000
[AR1-ipsec-policy-manual-shida-1]proposal 1
[AR1-ipsec-policy-manual-shida-1]tunnel local 12.1.1.1
[AR1-ipsec-policy-manual-shida-1]tunnel remote 23.1.1.3
[AR1-ipsec-policy-manual-shida-1]sa spi inbound esp 12345
[AR1-ipsec-policy-manual-shida-1]sa string-key inbound esp simple 123
[AR1-ipsec-policy-manual-shida-1]sa spi outbound esp 54321
[AR1-ipsec-policy-manual-shida-1]sa string-key outbound esp simple 123
[AR3]ipsec policy shida 1 manual
[AR3-ipsec-policy-manual-shida-1]security acl 3000
[AR3-ipsec-policy-manual-shida-1]proposal 1
[AR3-ipsec-policy-manual-shida-1]tunnel local 23.1.1.3
[AR3-ipsec-policy-manual-shida-1]tunnel remote 12.1.1.1
[AR3-ipsec-policy-manual-shida-1]sa spi inbound esp 54321
[AR3-ipsec-policy-manual-shida-1]sa string-key inbound esp simple 123
[AR3-ipsec-policy-manual-shida-1]sa spi outbound esp 12345
[AR3-ipsec-policy-manual-shida-1]sa string-key outbound esp simple 123
*(5) 应用安全策略*
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ipsec policy shida
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy shida
原文来自:微思网络
原文地址:https://mp.weixin.qq.com/s/jJ...
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。