《IPSEC-IKE-模式》由會(huì)員分享�,可在線閱讀,更多相關(guān)《IPSEC-IKE-模式(8頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索��。
1����、
華為 HCNAv2.0 進(jìn)階 ( PDF 247 頁(yè)筆記)
1.IPsec 可以用來(lái)保證 Ip 數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)傳輸?shù)臋C(jī)密性、完整性��、防重放等功能
2.機(jī)密性 ---數(shù)據(jù)包加密 完整性 --- 防止報(bào)文被篡改 防重放 ---- 防攻擊
3.IPSec 不是一單獨(dú)的協(xié)議��,是通過(guò) AH 和 ESP 兩個(gè)安全協(xié)議實(shí)現(xiàn) IP 數(shù)據(jù)報(bào)的安全傳送����。
4.IKE 協(xié)議提供密鑰協(xié)商,建立和維護(hù)安全聯(lián)盟 SA 等服務(wù)���。
5.IPSec 由 AH ESP IKE 三個(gè)協(xié)議套件組成
6,SA 安全聯(lián)盟定義對(duì)等體間數(shù)據(jù)封裝方式 認(rèn)證和加密算法 SA 是單向的兩個(gè)
2����、對(duì)等體通信
需要至少兩個(gè) SA, SA 由一個(gè)三元組來(lái)唯一的標(biāo)識(shí) 安全參數(shù)索引 SPI 目的 IP 安全協(xié)議
(AH 或 ESP)構(gòu)成
7.安全協(xié)議包括 AS 和 ESP,兩者可以單獨(dú)或是一起使用����。 ( AH 支持 MD5 和 SHA-1 認(rèn)證算
法),( ESP 支持兩種認(rèn)證算法 ( MD5 和 SHA-1 )還有其他三種加密算法 DES 3DES 和 AES )
8.IPsec proposal 創(chuàng)建 ipsec 提議 配置 ipsec 策略時(shí)必須引用 ipsec 提議來(lái)指定 ipsec 隧道兩端
使用的安全協(xié)議 加密算法 認(rèn)證算法和封裝方式
3����、缺少情況下 IPsec proposal 使用 ESP 協(xié)議 DES 加密算法 MD5 認(rèn)證和隧道封裝模式
9 執(zhí)行 transform ( ah ) (ah-esp ) (esp) 配置隧道使用的安全協(xié)議
執(zhí)行 esncapsulation-mode (transport ) (tunnel) 配置報(bào)文的封閉模式
執(zhí)行 esp authetication-algorithm ( MD5 Sha1 sha2-256 sha2-384 sha2-512 )配置 EPS 協(xié)
議使用的認(rèn)證算法
執(zhí)行
執(zhí)行
�
esp encryption-algori
4����、thm (des 3des aes-128 aes-192 aes-256 ) 配置 ESP 加密算法
ah authentication-algorithm (md5 sha1 sha2-256 sha2-384 sha2-512)配置 AH 使用的認(rèn)
證算法
Display ipsec proposal 查看 ipsec proposal 配置的參數(shù)
執(zhí)行 ipsec policy 創(chuàng)建策略
執(zhí)行 ipsec-policy-template 指定 SA 建立方式 可使用 IKE
執(zhí)行 security ACL 指定 IPSEC 策略所引用的訪問(wèn)控
5、制列表
執(zhí)行 proposal 指定 IPSEC 策略所引用的提議
執(zhí)行 tunnel local 用來(lái)指定安全隧道的本端地址
執(zhí)行 tunnel remote 指定隧道的對(duì)端地址
執(zhí)行 sa spi 指定安全索引參數(shù)
執(zhí)行 sa string-key 指定安全聯(lián)盟的認(rèn)證密鑰
�
或是手工建立
安全策略是由 policy-name 和 seq-number 共同來(lái)確定的�����,多個(gè)具有相同 policy-name 的安全
策略組成一個(gè)安全策略組����。 在一個(gè)安全策略組中最多可以設(shè)備 16 條安全策略,而 seq-mumber
6����、
越小的安全策略, 優(yōu)先級(jí)越高�����。 在一個(gè)接口上應(yīng)用了一個(gè)安全策略組, 實(shí)際上是同時(shí)應(yīng)用了
安全策略組中所有的安全策略�。
PCA--------------
RA---G0/0/1--------------
IP Network-------------
G0/0/1--
RB---------------
PCB
10.1.1.1/24
20.1.1.1/24
20.1.1.2/24
10.1.2.1/24
Router#ip route-static 10.1.2.0 255.255.255.0 20.1.1.2
7、
Router#acl number 3001
Router#rule 5 permit ip source 10.1.1.0
0.0.0.255 destination
10.1.2.0
0.0.0.255
Router#ipsec proposal tran1
//
創(chuàng)建 ipsec 提議
Router#esp authentication-algorithm sha1
//配置 EPS 協(xié)議使用的認(rèn)證算法
Router#ipsec policy P1 10 manual
//創(chuàng)建策略
Router#securi
8����、ty acl 3001
Router#proposal tran 1
Router#tunnel remote 20.1.1.2
Router#tunnel local 20.1.1.1
Router#sa spi outbound esp 54321
Router#sa spi inbound esp 12345
Router#sa string-key outbound esp simple huawei
Router#sa string-key inbound esp simple huawei
9、Router#interface g0/0/1
Router#ipsec policy P1
Router#quit
企業(yè)數(shù)通產(chǎn)品 特性描述 -VPN 06(PDF ipsec 部分 135 頁(yè) 筆記 )
VPN的類(lèi)型:
1����、 overlay 的 VPN,例如 IPsec-VPN
2�、 peer-to-peer 的 VPN,例如 MPLS-VPN
還可以分為二層 VPN和三層 VPN
IPsec-VPN 是三層的 VPN
IPsec-VPN 的分類(lèi) :
1����、 site-to-site VPN
2、 EASY-VPN 也叫
10����、
�
也叫 LAN-to-LAN VPN (要求兩個(gè)站點(diǎn)都要有固定的
remote VPN (通常用于連接沒(méi)有固定 IP 的站點(diǎn))
�
IP )
數(shù)據(jù)來(lái)源認(rèn)證:接收方認(rèn)證發(fā)送方身份是否合法。
數(shù)據(jù)加密:發(fā)送方對(duì)數(shù)據(jù)進(jìn)行加密�,以密文的形式在 Internet 上傳送,接收方對(duì)接收
的加密數(shù)據(jù)進(jìn)行解密后處理或直接轉(zhuǎn)發(fā)�����。
數(shù)據(jù)完整性:接收方對(duì)接收的數(shù)據(jù)進(jìn)行認(rèn)證,以判定報(bào)文是否被篡改�。
抗重放:接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包,防止惡意用戶通過(guò)重復(fù)發(fā)送捕獲到的
數(shù)據(jù)包所進(jìn)行的攻擊���。
IPSec 包括認(rèn)證頭協(xié)議 AH ( Au
11�、thentication Header )�����、封裝安全載荷協(xié)議 ESP
(Encapsulating Security Payload )��、因特網(wǎng)密鑰交換協(xié)議 IKE ( Internet Key Exchange
用于保護(hù)主機(jī)與主機(jī)之間����、主機(jī)與網(wǎng)關(guān)之間�����、網(wǎng)關(guān)與網(wǎng)關(guān)之間的一個(gè)或多個(gè)數(shù)據(jù)流��。其
中�, AH 和 ESP 這兩個(gè) 安全協(xié)議用于提供安全服務(wù)��, IKE 協(xié)議用于密鑰交換�。
�
)���,
IPSec 通過(guò)在 IPSec 對(duì)等體間建立雙向 安全聯(lián)盟�,形成一個(gè)安全互通的 IPSec 隧道�,來(lái)實(shí)現(xiàn) Internet 上數(shù)據(jù)的安全傳輸。
12�����、建立安全聯(lián)盟 SA (Security Association )����。 SA 是出于安全目的而創(chuàng)建的, 是通信的對(duì)等體間對(duì)某些要素的約定�����,所有經(jīng)過(guò)同一 SA 的數(shù)據(jù)流會(huì)得到相同的安全服務(wù)�,如 AH 或 ESP。如果對(duì)同一個(gè)數(shù)據(jù)流同時(shí)使用 AH 和 ESP 服務(wù)����,則針對(duì)每一種協(xié)議都會(huì)構(gòu)建一個(gè)單獨(dú)的 SA�����。
數(shù)據(jù)的封裝模式有(隧道模式)和(傳輸模式)兩種
隧道模式適于轉(zhuǎn)發(fā)設(shè)備對(duì)待保護(hù)流量進(jìn)行處理的場(chǎng)景�����,建議用于兩個(gè)安全網(wǎng)關(guān)之間的通訊���。
傳輸模式適于主機(jī)到主機(jī)、主機(jī)到網(wǎng)關(guān)對(duì)待保護(hù)流量進(jìn)行封裝處理的場(chǎng)景�。
IKE 協(xié)議建立在 Internet 安全聯(lián)盟和密鑰管理協(xié)議 ISAKMP
13、 ( Internet Security Association and Key Management Protocol )定義的框架上��,是基于 UDP 的應(yīng)用層協(xié)議��。它為 IPSec 提供
了自動(dòng)協(xié)商交換密鑰�、建立
SA 的服務(wù)�����,能夠簡(jiǎn)化
IPSec 的使用和管理�。 IPSec 對(duì)等體之間
建立一個(gè) IKE SA 完成身份驗(yàn)證和密鑰信息交換后,
在 IKE SA 的保護(hù)下�,根據(jù)配置的 AH/ESP
安全協(xié)議等參數(shù)協(xié)商出一對(duì)
IPSec SA �。此后�����,對(duì)等體間的數(shù)據(jù)將在IPSec 隧道中加密傳輸��。
IKE 協(xié)議分 IKEv1 和 IKEv2
兩個(gè)版本�����。 IKEv1
14���、 使用兩個(gè)階段為 IPSec 進(jìn)行密鑰協(xié)商并建立
IPSec SA �����。IKEv2 則簡(jiǎn)化了協(xié)商過(guò)程�, 在一次協(xié)商中可直接 產(chǎn)生 IPSec 的密鑰����,生成 IPSec SA 。
IKE 具有一套自保護(hù)機(jī)制��,可以在不安全的網(wǎng)絡(luò)上安全地認(rèn)證身份����、分發(fā)密鑰��。
身份認(rèn)證:確認(rèn)通信雙方的身份(對(duì)等體的 IP 地址或名稱)��,包括預(yù)共享密鑰 PSK
( pre-shared key)認(rèn)證�、數(shù)字證書(shū) RSA ( rsa-signature)認(rèn)證和數(shù)字信封認(rèn)證�。
IKE 支持的認(rèn)證算法有 : MD5 、 SHA-1 ��、 AES-XCBC-MAC-96 ��、 SM3���。 MD5
15�����、 算法使
用 128 位的密鑰, SHA-1 算法使用 160 位的密鑰�����。 MD5 算法的計(jì)算速度比 SHA-1 算法
快����,而 SHA-1 算法的安全強(qiáng)度比 MD5 算法高��。 AES-XCBC-MAC-96 使用 128 位的密
鑰����。 SM3 密碼雜湊算法是中國(guó)國(guó)家密碼管理局規(guī)定的 IPSec 協(xié)議規(guī)范��。
IKE 支持的加密算法有: DES�����、3DES ��、 AES-128 ��、 AES-192 和 AES-256 ��。其中高級(jí)加
密標(biāo)準(zhǔn) AES 的密鑰長(zhǎng)度分別有 128���、 192 和 256 位密鑰�����。以上加密算法的安全性由低到高依次排列����,其計(jì)算速度隨安全性的提高
16、而減慢�。
加密機(jī)制 -- 密碼學(xué)分為兩類(lèi):
對(duì)稱加密算法 --- 使用一把密匙來(lái)對(duì)信息提供安全的保護(hù)。只有一個(gè)密匙����,即用來(lái)加密,也
用來(lái)解密
非對(duì)稱加密代表 RSA-- 有一對(duì)密匙��,一個(gè)公匙��,一個(gè)私匙����,私匙加密,公匙解密
加密�,私匙解密
對(duì)稱加密代表: DES、 3DES����、AES
�
, 或者公匙
3DES-- 有三個(gè)密匙,用第一個(gè)密匙加密�����,用第二個(gè)密匙解密��,再用第三個(gè)密匙加密
非對(duì)稱加密 --- 有一對(duì)密匙�,一個(gè)叫公匙,一個(gè)叫私匙�����,如果用其中一個(gè)加密��,必須用另一
個(gè)解密���。
非對(duì)稱加密的代表:
17��、 RSA����、 ECC
非對(duì)稱加密代表 RSA--有一對(duì)密匙����,一個(gè)公匙,一個(gè)私匙�,私匙加密,公匙解密
加密,私匙解密
非對(duì)稱加密可以有兩種應(yīng)用:
1�、公鑰加密,私鑰解密�����,叫加密
�
, 或者公匙
2����、私鑰加密,公鑰解密�,叫數(shù)字簽名
AR1 上的配置: IP 地址配置省略
第一步: IP 地址配置省略,指缺省路由
[R1]ip route-static
18�、0.0.0.0 0.0.0.0 12.1.1.2
第二步:配置 IKE
[R1]ike peer dasheng1 v2
[R1-ike-peer-ikep1]pre-shared-key simple cctv
[R1-ike-peer-ikep1]remote-address 23.1.1.3
第三步:使用 ACL 抓感興趣流量
[R1]acl number 3001
[R1-acl-adv-3001]rule 5 permit ip source 192.168.1.0
0.0.0.255 destination 172.168.1.0 0
19、.0.0.255
第四步:配置安全提議
[R1]ipsec proposal dasheng1
[R1-ipsec-proposal-tran1]quit
第五步:配置安全策略
[R1]ipsec policy fanfan1 10 isakmp
[R1-ipsec-policy-isakmp-vpn1-10]security acl 3001
[R1-ipsec-policy-isakmp-vpn1-10]ike-peer dasheng1
[R1-ipsec-policy-isakmp-vpn1-10]proposal dasheng1
20��、
[R1-ipsec-policy-isakmp-vpn1-10]quit
第六步:將策略應(yīng)用到啟用 IPSEC VPN 的接口
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy fanfan1
[R1-GigabitEthernet0/0/0]quit
AR3
�
上的配置(
�
AR3
�
與
�
AR1
�
四處配置不同的地
21��、方)
[R3]ip route-static 0.0.0.0 0.0.0.0
�
23.1.1.2
[R3]acl number 3001
[R3-acl-adv-3001]rule 5 permit IP source 172.168.1.0
0.0.0.255 destination 192.168.1.0 0.0.0.255
[R3]ike peer dasheng1 v2
[R3-ike-peer-ikep1]pre-shared-key simple cctv
[R3-ike-peer-ikep1]re
22����、mote-address 12.1.1.1
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/0]ipsec policy fanfan1
[R3-GigabitEthernet0/0/0]quit
[AR1]dis ipsec sa
===============================
Interface: GigabitEthernet0/0/0 Path MTU
23、: 1500
===============================
-----------------------------
IPSec policy name: "fanfan1"
Sequence number : 10
Acl Group
: 3001
Acl rule
: 5
Mode
: ISAKMP
-----------------------------
Connection ID
: 9
Encapsulation mode: Tunnel
Tunnel local
: 12.1.1.1
Tunnel re
24�、mote
: 23.1.1.3
Flow source
: 192.168.1.0/255.255.255.0 0/0
Flow destination : 172.168.1.0/255.255.255.0 0/0
Qos pre-classify : Disable
[Outbound ESP SAs]
SPI: 559575 (0x889d7)
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 188743680
25、0/3122
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 2124138469 (0x7e9bc7e5)
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 1887436800/3122
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
IPSEC-IKE-模式
