8.4、IPSec原理与配置

• 前言
  • 企业与企业之间，为了保证数据的保密性。以前使用的是专用网络，专门拿一根通道来进行传输通信，这样就保证了高速率和高安全性。
  • 随着网络的发展，用户越来越多，我们要是用专用网络时，从可实用性和价格上进行对比，显然现在是不可能的，所以在以太网上实现专用网络的技术。
    • 企业和企业之间这里面的数据依然是没有进行加密的，我们难免在传输过程中会传输一些比较私密的信息，如果私密的信息被其他人获取到，安全性很低，对企业会造成很大的危害。
  • 我们要想在通道过程中传输数据，能不能进行加密呢？
    • 使用的就是IPSec。IPSec可以保证IP数据报文在网络上传输的机密性、完整性和防重放
  • 企业对网络安全性的需求日益提升，而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec（Internet Protocol Security）作为一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放
• IPSec应用场景
  • 
  • 企业分支可以通过IPSec接入到企业总部网络
  • IPSec常用场景
    • 企业分支和企业总部要建立一个专用的网络，通常采用的是隧道技术，来进行一对一的传输。但是在传输数据时难免会传输一些比较重要的数据，比较私密的数据如果被其他人获取到，会对公司产生很大的影响。
    • 要想为公司传输数据做一个加密，需要使用IPSec建立一个安全的传输隧道接入到企业的总部网络当中
• IPSec架构
  • 
  • IPSec不是一个单独的协议，它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送
  • IKE协议提供**协商，建立和维护安全联盟SA等服务
  • IPSec架构
    • IPSec不是一个协议，而是一个架构，包括了很多的协议
    • 通过三个协议来实现IP报文安全传送
      • AH
        • 提供数据的认证，保证数据的完整性
      • ESP
        • 提供对IP报文的加密功能
      • IKE
        • 提供秘钥进行协商数据，建立和维护安全联盟SA等服务
• 安全联盟SA
  • 
  • 安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数
  • 安全联盟是单向的，两个对等体之间的双向通信，至少需要两个SA
    • 建立SA的方式有两种
      • 手动方式
        • SA联盟所有的信息必须手工配置，适用于小型网络
      • IKE动态协商方式
        • 需要通信对等体之间配置好IKE协商参数，由IKE来进行自动协商参数和维护SA即可
• IPSec传输模式
  • 
  • 在传输模式下，AH或ESP报头位于IP报头和传输层之间
  • IPSec封装方式
    • 传输模式
    • 隧道模式
  • IPSec传输模式
    • 对于IPSec传输模式，在IP报文和高层协议之间，需要插入AH或ESP的头部
    • AH协议
      • 将AH报头封装在IP报头和高层协议（TCP报头）之间，然后通过AH协议对整个报头进行认证
    • ESP协议
      • 在IP报头和TCP报文之间加入一个ESP报头
      • 在尾部加入ESP尾部和认证方式
        • ESP主要可以包含一部分ESP认证功能，还包含了加密功能，所以可以对TCP报头和ESP尾部进行加密，可以对ESP头部到尾部之间进行认证
    • AH-ESP
      • 对于AH协议只进行认证，但不能对数据加密
      • ESP可以对数据进行加密，但是只能对ESP到ESP尾部进行认证，通常我们会把这两个协议结合进行使用
        • 两者协议进行使用过之后，可以看到分别在IP头部和TCP头部之间分别加入了AH报头和ESP报头
        • 然后再尾部加入一个ESP尾部和ESP认证方式
      • 整个数据既可以认证，又可以加密。这种方法对于数据来讲是比较安全的
        • 1、针对ESP头部和尾部进行加密
        • 2、对AH头部和ESP尾部之间进行认证
        • 3、对整个数据帧进行认证
• IPSec隧道模式
  • 
  • 在隧道模式下，IPSec会另外生产一个新的IP报头，并封装在AH或ESP之前
  • 隧道模式中，因为IPSec主要运用在公网之间，以Site-to-Site的方式。
    • 隧道模式会在封装在原始的IP报文头部之前，而且还会生产一个新的IP报头，封装AH或ESP。新的IP报头使用的是公网地址，其他的协议封装过程是一样的
  • IPSec隧道模式
    • AH协议
      • 封装在IP报头之前，然后生产一个新的IP报头。对整个部分进行认证
    • ESP协议
      • 封装在IP报头之前，生成一个新的IP报头。分别进行加密和认证
    • AH-ESP协议
      • 在IP头部之前加AH头部和ESP头部，在尾部添加ESP尾部和认证方式。然后生成新的IP报头来进行加密和认证
• IPSec配置步骤
  • 
  • 配置步骤
    • 配置网络可达
      • 保证底层能够通信
    • 配置ACL识别兴趣流
      • 通过ACL可以限制、筛选，通过要求去控制哪些流量可以通过，哪些流量不可以通过
    • 创建安全提议
    • 创建安全策略
    • 应用安全策略
• IPSec配置
  • 
  • 配置
    • RTA和RTB之间是一个公网，建立一个IPSec Tunnel隧道
    • RTA
      • 配置静态路由指向RTB
      • 配置ACL
        • 允许源地址是10.1.1.0网段，目的地址是10.1.2.0的网段
      • 创建IPSec提议
        • 配置IPSec认证算法
• 配置验证
  • 
  • 通过命令查看安全协议参数
    • 名称
    • 个数
    • 认证的秘钥
    • 安全认证和加密的方法
  • IPSec对等体配置的安全提议参数必须一致
• IPSec配置
  • 
  • 安全策略将要保护的数据流和安全提议进行绑定
  • RTA
    • 配置安全策略
      • 策略为P1 10
      • 采用手动的方式
        • 对符合ACL 3001的流量使用安全策略
        • 指定IPSec策略引用的提议
        • 配置tunnel
          • 对等体地址是20.1.1.2
          • 本地地址是20.1.1.1
        • 配置安全联盟安全参数索引
          • 出方向
            • 54321
            • 注意
              • 对等体在入方向是54321，相对一致
          • 入方向
            • 12345
        • 配置安全联盟IKE的秘钥
          • 出方向
            • 配置为huawei
          • 入方向
            • 配置为huawei
  • 
  • 策略配置完成后，进入物理端口
    • 将策略应用到物理端口上
• 配置验证
  • 
  • 查看信息
    • 策略名称
      • P1
    • 策略序号
      • 10
    • 符合的安全数据流
      • ACL 3001
    • Tunnel
      • 本地地址
        • 20.1.1.1
      • 对等体地址
        • 20.1.1.2
    • 采用提议的名字
      • Tran1
  • 
  • 查看信息
    • ESP认证信息
      • 入方向
        • 认证信息
          • 12345
        • 秘钥
          • huawei
      • 出方向
        • 认证信息
          • 54321
        • 秘钥
          • huawei
• 总结
  • 安全联盟的作用是什么？
    • 安全联盟
      • 定义了IPSec通信对等体之间使用的数据封装模式是什么、认证、加密算法、秘钥等参数
  • IPSec将会对过滤后的感兴趣数据流如何操作？
    • 对过滤后的感兴趣数据流通过SA协商的各种参数进行处理和封装，之后通过IPSec隧道进行转发