ipsec  ×××

ipsec ***简介：

IPSec （IP Security ）协议族是 IETF 制定的一系列协议，它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

ipsec通过AH和ESP两种协议实现上述目标，当然为了简化IPSec 的使用和
管理，IPSec 还可以通过 IKE （Internet Key Exchange ，因特网**交换协议）进行自动协商交换**、建立和维护安全联盟的服务。

IPSEC 操作模式有两种：一是传输模式，一种是隧道模式。采用的验证。二者区别在于数据报中是否会生成新的ip报头。

IPSEC的验证算法：

  MD5：MD5通过输入任意长度的消息，产生128bit 的消息摘要。 
  SHA-1 ：SHA-1 通过输入长度小于2 的64次方比特的消息，产生 160bit 的消息摘要。
 SHA-1 的摘要长于MD5，因而是更安全的。

加密算法：

   DES：使用56bit的**对一个64bit的明文块进行加密。 
   3DES ：使用三个56bit的DES**（共 168bit **）对明文进行加密。
无疑，3DES 具有更高的安全性，但其加密数据的速度要比DES慢得多。

(1) AH 协议
AH是报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重
放功能；然而，AH并不加密所保护的数据报。
(2) ESP 协议ESP是封装安全载荷协议。它除提供 AH协议的所有功能外（但其数据完整性校验不包括IP 头），还可提供对 IP 报文的加密功能。  （AH和ESP 可以单独使用，也可以同时使用）

      IKE简介

  IPSec 的安全联盟可以通过手工配置的方式建立，但是当网络中节点增多时，手工
配置将非常困难，而且难以保证安全性。这时就要使用IKE（Internet Key Exchange ，
因特网**交换）自动地进行安全联盟建立与**交换的过程。 
   IKE 协议是建立在由 Internet 安全联盟和**管理协议 ISAKMP （Internet Security
Association and Key Management Protocol）定义的框架上。它能够为IPSec 提供
了自动协商交换**、建立安全联盟的服务，以简化IPSec 的使用和管理。
   IKE 具有一套自保护机制，可以在不安全的网络上安全地分发**、验证身份、建
立IPSec 安全联盟。

IKE的安全机制：

1、DH（Diffie-Hellman）交换及**分发。

2、完善的前向安全性（Perfect Forward Secrecy ，PFS ）。

3、身份验证。

4、身份保护。

IKE的交换阶段：

一：IKE SA的建立。

二：ipsec SA 的建立。

安全联盟的简介：

安全联盟是IPSec 的基础，也是IPSec 的本质。SA是通信对等体间对某些要素的
约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的操作模式（传
输模式和隧道模式）、加密算法（DES和3DES ）、特定流中保护数据的共享**
以及**的生存周期等。
安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟来分别
对两个方向的数据流进行安全保护。同时，如果希望同时使用 AH和ESP 来保护对
等体间的数据流，则分别需要两个SA，一个用于 AH，另一个用于ESP。
安全联盟由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter
ndex ，安全参数索引）、目的 IP 地址、安全协议号（AH或ESP）。SPI 是为唯一
标识SA而生成的一个 32比特的数值，它在AH和ESP 头中传输。

安全联盟具有生存周期。生存周期的计算包括两种方式： 
      以时间为限制，每隔指定长度的时间就进行更新； 
      以流量为限制，每传输指定的数据量（字节）就进行更新。 

安全联盟的协商方式：
      安全联盟的协商方式有两种，一种是手工方式（manual），一种是IKE 自动协商（isakmp ）方式。手工协商方式配置比较复杂，创建安全联盟所需的全部信息都必
须手工配置，并且不支持IPSec 的一些高级特性（例如定时更新**）；优点是可
以不依赖IKE 而单独实现 IPSec 功能。IKE 自动协商方式相对比较简单，只需要配
置好IKE 协商安全策略的信息，由 IKE 自动协商来创建和维护安全联盟。
当与 进行通信的对等体设备数量较少时，或是在小型静态环境中，手工
配置安全联盟是可行的。对于中、大型的动态网络环境中，推荐使用IKE 协商建立
安全联盟。

 

拓扑图：

实验环境说明：

本实验采用华为2600系列路由器三台，3526系列交换机（三层）一台。实现1.0网段的主机可以喝2.0,3.0网段的主机通过***互访。但是2.0和3.0之间不建立***。

 

 

R14的配置：

!

  ike pre-shared-key abcd remote 192.168.30.200   ike**的配置

  ike pre-shared-key 123456 remote 192.168.20.200

  !

   !

  acl 3000 match-order auto

    rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

    rule normal deny ip source any destination any

  !

  acl 3001 match-order auto

    rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

    rule normal deny ip source any destination any

  !                                     

  ipsec proposal tran2    配置安全提议  #安全提议 中采用的安全协议是esp，加密方式是des，认证方式是md5

 

  !                                      

  ipsec proposal tran1  #安全提议 中采用的安全协议是esp，加密方式是des，认证方式是md5

 

  !                                      

  ipsec policy policy1 10 isakmp    配置安全策略

    security acl 3000                    

    proposal tran1                       

    tunnel remote 192.168.20.200         

  !                                      

  ipsec policy policy1 20 isakmp

    security acl 3001                    

    proposal tran2                       

    tunnel remote 192.168.30.200   !

  interface Ethernet0

    ip address 192.168.1.1 255.255.255.0

  !

  interface Ethernet1

    ip address 192.168.10.200 255.255.255.0

    ipsec policy policy1

ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 preference 60

[R14]dis ipsec proposal   安全提议中所采用的安全协议以及加密和验证方式：

 

    proposal set name: tran1

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

 

    proposal set name: tran2

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

R5配置：

!

  ike pre-shared-key 123456 remote 192.168.10.200

  !

  acl 3000 match-order auto

    rule normal permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

    rule normal deny ip source any destination any

  !

  ipsec proposal tran1   #安全提议 中采用的安全协议是esp，加密方式是des，认证方式是md5

 

  !

  ipsec policy policy1 10 isakmp

    security acl 3000

    proposal tran1

    tunnel remote 192.168.10.200

  !

 

  interface Ethernet0

    ip address 192.168.2.1 255.255.255.0

  !

  interface Ethernet1

    ip address 192.168.20.200 255.255.255.0

    ipsec policy policy1

  !

ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 preference 60

 [R5]dis ipsec proposal

 proposal set name: tran1

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

 

 

  !

R9配置：

[R9]dis cu

 

  ike pre-shared-key abcd remote 192.168.10.200

  !

  acl 3000 match-order auto

    rule normal permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

    rule normal deny ip source any destination any

  !

  ipsec proposal tran2  #安全提议 中采用的安全协议是esp，加密方式是des，认证方式是md5

 

!

  ipsec policy policy1 20 isakmp

    security acl 3000

    proposal tran2

    tunnel remote 192.168.10.200

  !                                         !

  interface Ethernet0

    ip address 192.168.3.1 255.255.255.0

  !

  interface Ethernet1

    ip address 192.168.30.200 255.255.255.0

    ipsec policy policy1

  !

 

  quit

  ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 preference 60

  !

  Return

 

[R5]dis ipsec proposal

 proposal set name: tran2

    proposal set mode: tunnel

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption-algorithm des

 

SW10的配置：

#

vlan 10

#

vlan 20

#

vlan 30

#

interface Vlan-interface1

 ip address 192.168.100.10 255.255.255.0

#

interface Vlan-interface10

 ip address 192.168.10.1 255.255.255.0

#

interface Vlan-interface20

 ip address 192.168.20.1 255.255.255.0

#

interface Vlan-interface30

 ip address 192.168.30.1 255.255.255.0

测试：

1.10访问2.45：

 

 

1.10访问3.100：

 

 

2.45访问1.10

 

 

成功访问。

 

3.100访问1.10