H3C IPSec基本原理及配置指导
- 格式:pdf
- 大小:114.85 KB
- 文档页数:11
IPSec基本原理及配置指导一、IPSec描述:1、IPSec在RFC2401中描述了IP得安全体系结构IPSec,以便保证在IP网络数据传输的安全性。
2、IPSec在IP层对IP报文提供安全服务。
3、IPSec并非单一协议,而是由一系列的安全开放标准构成。
4、IPSec实现于OSI参考模型的网络层,因此,上层的协议都可以得到IPSec 的保护。
5、IPSec是一个可扩展的体系,不受任何一种算法的局限,可以引入多种开放的验证算法。
6、IPSec的缺点是难部署,协议体系复杂,不支持组播,只能对点对点的数据进行保护,不利于语音视频实时性高的应用。
二、IPSec体系结构1、IPSec使用两种安全协议来提供通信安全服务:i.AH(验证头):AH提供完整性保护和数据源验证以及可选的抗重播服务,但是不能提供机密性保护。
ii.ESP(封装安全载荷):ESP可以提供AH的所有功能,而且还可以提供加密功能。
2、AH和ESP可以单独使用,也可以一起使用,从而提供额外的安全性。
3、安全协议AH和ESP都具有两种工作模式:i.传输模式:用于保护端到端的安全性。
ii.隧道模式:用于保护点到点的安全性。
4、IPSec通过两种途径获得密钥:i.手工配置:管理员预先手工配置,这种方法不便于随时更改,安全性较低,不易维护。
ii.通过IKE协商,通信双方可以通过IKE动态生成并交换密钥,获得更高的安全性。
5、IPSec SA(安全联盟)i.SA提供IPSec数据流安全服务的基础概念。
ii.SA是通信双方就如何保证通信安全达成的一个协定。
具体确定了对IP报文进行处理。
iii.SA是单向的,入站数据流和出站数据流分别由入站SA和出站SA 处理。
iv.一个SA由(SPI,IP目的地址,安全参数索引)构成。
v.SA可以手工配置,也可以通过IKE自动协商生成。
vi.SA的生存时间有“以时间进行限制”和“以流量进行限制”。
vii.IPSec把类似“对哪些数据提供哪些服务”这样的信息储存在SPD (安全策略数据库)中,而SPD中的项指向SAD(安全联盟数据库),如果,一个需要加密的出站数据包,系统会将他与SPD进行比较,如果匹配一项,系统会使用该项对应的SA以及算法进行对数据包的加密。
否则,需要新建一个SA。
6、IKEi.无论是AH还是ESP,在对一个IP包进行操作之前,首先必须要建立一个IPSec SA,IPSec SA可以手工建立,也可以通过IKE协商建立。
ii.IKE可以为IPSec提供自动协商交换密钥,建立SA服务,能够简化IPSec的使用和管理,大大的简化了IPSec的配置和管理。
iii.IKE不在网上直接传送密钥,而是通过DH交换,最终计算出双方的共享密钥。
iv.IKE可以定时更新SA,也可以定时更新密钥,而且各个SA之间没有关系。
v.IKE采用了ISAKMP所定义的密钥交换框架体系。
7、IKE与IPSec的关系i.IPSec利用SPD来判断一个数据包是否需要安全服务,当需要安全服务时,就会去SAD去查找相应的IPSec SA,IPSecSA有两种生成方式,一种是通过管理员手工配置,另外一种是通过IKE协商完成。
ii.IKE为IPSec提供PFS特性。
iii.IKE不仅用于IPSec,他是一个通用的交换协议,可以用于交换任何的共享密钥。
例如RIP、OSPF的安全协商服务。
8、IKE的协商阶段i.IKE也使用SA(IKE-SA),与IPSec SA不同,IKE SA是用于保护一对节点之间通信的密钥和策略的一个集合。
ii.IKE的两个协商阶段:1.阶段1:IKE使用DH交换建立共享密钥,在网络上建立一个IKESA,为阶段2协商提供保护。
其交换模式分为主模式和野蛮模式。
2.阶段2:在阶段1的保护下完成IPSec SA的协商。
其交换模式为快速模式。
3.IKE的主模式:主模式是强制实现阶段1交换模式。
主模式总计3个步骤,策略协商、DH交换、ID交换及验证。
这种模式主要应用在通信双方预先知道对方的IP地址,对于点对点的应用比较适宜。
4.IKE的野蛮模式:对于远程拨号访问,由于拨号用户的IP地址无法确认,就不能使用这种方法。
9、配置IPSeci.配置前的准备1.确定需要保护的数据:可以通过扩展的ACL来定义需要验证和加密的数据。
2.确定使用的安全保护路径:确定是要保护端到端的数据还是点到点的数据。
3.确定对数据流采用哪种方式进行安全保护:对于只验证不加密推荐使用AH,对于即验证又加密推荐使用ESP。
同时使用AH和ESP可以过多的损耗系统资源。
ii.配置IPSec VPN顺序1.配置安全ACL2.配置安全提议i.创建安全提议命令:【router】ipsec proposalii.选择安全协议:【router-ipsec-proposal-tran1】transform{ah|ah-esp|esp},默认选择esp。
iii.选择工作模式:【router-ipsec-proposal-tran1】encapsulation-mode{transport|tunnel}。
iv.选择安全算法(加密算法)【router-ipsec-proposal-tran1】espencryption-algorithm{3des|des|aes}。
v.选择安全算法(验证算法)【router-ipsec-proposal-tran1】espauthentication-algorithm{md5|sha1}。
【router-ipsec-proposal-tran1】ahauthentication-algorithm{md5|sha1}。
3.配置安全策略(配置安全策略有两种方式,手工配置参数的安全策略和通过IKE自动协商参数的安全策略)。
i.手工配置安全策略(手工配置安全策略详见H3C配置文档手册)ii.IKE自动协商安全配置1.创建一条安全策略,并进入安全策略视图。
2.配置安全策略引用的ACL3.配置安全策略引用的安全提议4.在安全策略中引用IKE对等体5.配置使用次安全策略发起协商时使用的PFS特性6.配置安全策略的SA生存周期7.配置全局SA生命周期4.在接口上应用安全策略10、配置案例指导RTA外网口地址:202.38.160.1/24RTB外网口地址:202.38.160.2/24RTA内网口地址:10.1.1.1/24RTB内网口地址:10.1.2.1/24RTA配置如下:[RTA]acl number3001#配置安全的ACL,意义在于那些数据流需要保护[RTA-ACL-ADV-3001]rule permit ip source10.1.1.00.0.0.255 destination10.1.2.00.0.0.255#允许源地址10.1.1.0的网络可以访问目标地址10.1.2.0的网络,也就是说如果引用这条ACL,那么符合这条ACL的数据流就取得了保护。
[RTA-ACL-ADV3001]rule deny ip source any destination any#拒绝所有IP数据包通过[RTA]ip route-static10.1.2.0255.255.255.0202.38.160.2#静态路由指向目的地址和下一跳地址[RTA]ipsec proposal tranl#创建安全提议tranl[RTA-IPSEC-PROPOSAL-TRANL]encapsulation-mode tunnel#选择安全提议的工作模式为tunnel隧道模式[RTA-IPSEC-PROPOSAL-TRANL]transform esp#选择安全算法为esp[RTA-IPSEC-PROPOSAL-TRANL]esp encryprion-algorithm des#esp的加密算法采用des[RTA-IPSEC-PROPOSAL-TRANL]esp authentication-algorithm shal #esp的认证算法采用shal[RTA-IPSEC-PROPOSAL-TRANL]quit#退出[RTA]ike peer peer1#创建ike对等体peer1[RTA-IKE-PEER-PEER]pre-share-key abcde#配置预共享密钥验证时的所需要的密钥[RTA-IKE-PEER-PEER]remote-address202.38.160.2#对端安全网关的IP地址[RTA-IKE-PEER-PEER]quit#退出[RTA]ipsec policy map110isakmp#创建安全策略名称为map1安全序号10[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]porposal tranl#配置安全策略所引用的安全提议[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]security acl3001#配置安全策略所引用的ACL[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]ike-peer peer1#引用ike对等体peer1[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]quit#退出[RTA]int s0/0#进入S0/0接口[RTA-SERIAL0/0]ip address202.38.160.124#配置接口地址[RTA-SERIAL0/0]ipsec policy map1#在接口上引用安全策略[RTA-SERAL0/0]quit#退出[RTA]int e0/0#进入E0/0接口[RTA-Ethernet0/0]ip address10.1.1.124#配置接口IP地址RTB配置如下:[RTA]acl number3001#配置安全的ACL,意义在于那些数据流需要保护[RTA-ACL-ADV-3001]rule permit ip source10.1.2.00.0.0.255destination10.1.1.00.0.0.255#允许源地址10.1.1.0的网络可以访问目标地址10.1.2.0的网络,也就是说如果引用这条ACL,那么符合这条ACL的数据流就取得了保护。
[RTA-ACL-ADV3001]rule deny ip source any destination any#拒绝所有IP数据包通过[RTA]ip route-static10.1.1.0255.255.255.0202.38.160.1#静态路由指向目的地址和下一跳地址[RTA]ipsec proposal tranl#创建安全提议tranl[RTA-IPSEC-PROPOSAL-TRANL]encapsulation-mode tunnel#选择安全提议的工作模式为tunnel隧道模式[RTA-IPSEC-PROPOSAL-TRANL]transform esp#选择安全算法为esp[RTA-IPSEC-PROPOSAL-TRANL]esp encryprion-algorithm des#esp的加密算法采用des[RTA-IPSEC-PROPOSAL-TRANL]esp authentication-algorithm shal#esp的认证算法采用shal[RTA-IPSEC-PROPOSAL-TRANL]quit#退出[RTA]ike peer peer1#创建ike对等体peer1[RTA-IKE-PEER-PEER]pre-share-key abcde#配置预共享密钥验证时的所需要的密钥[RTA-IKE-PEER-PEER]remote-address202.38.160.1#对端安全网关的IP地址[RTA-IKE-PEER-PEER]quit#退出[RTA]ipsec policy map110isakmp#创建安全策略名称为map1安全序号10[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]porposal tranl #配置安全策略所引用的安全提议[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]security acl3001 #配置安全策略所引用的ACL[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]ike-peer peer1 #引用ike对等体peer1[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]quit#退出[RTA]int s0/0#进入S0/0接口[RTA-SERIAL0/0]ip address202.38.160.224#配置接口地址[RTA-SERIAL0/0]ipsec policy map1#在接口上引用安全策略[RTA-SERAL0/0]quit#退出[RTA]int e0/0#进入E0/0接口[RTA-Ethernet0/0]ip address10.1.2.124 #配置接口IP地址。