IP安全协议 虚拟专用网络
前言
传统的TCP/IP协议缺乏有效的安全认证和保密机制.IPsec作为一种开放标准的安全框架结构可以用来保证IP数据报文在网络上传输的机密性,完整性和防重放.
IPSec VPN应用场景
企业分支通过IPSec VPN接入到企业总部网络.
它是IETF定义的一个协议组.通信双方在IP层通过加密,完整性校验,数据源认证等方式.
机密性:对数据进行加密保护,密文的方式传输数据.
完整性:指接收到的数据进行认证,以判断报文是否被篡改.
防重放:防止用户恶意通过重复发送捕获到数据包所进行的攻击.即接收方会拒绝旧的或重复的数据包.
企业分支通过IPSEc VPN建立安全传输通告,接入企业总部.
IPSec架构
IPSec不是一个单独的协议,它是通过AH和ESP这两个安全协议来实现IP数据报文的安全传送.
IKE协议提供密钥协商,建立和维护安全联盟SA等服务.
IPSec VPN体系结构主要由AH,ESP和IKE协议套件组成.
AH协议:主要提供的功能有数据源的检测,数据完整性校验和防报文重放功能.然而AH并不加密所保护的数据报.
ESP协议:提供AH协议的所有功能外(但其数据完整性校验不包含IP头),还可以提供IP报文的加密.
IKE协议:自动协商AH和ESP所用的密码算法
安全联盟SA
IPSec传输方式
在传输模式下,AH或ESP把破头位于IP报头和传输层报头之间.
IPSec协议有两种封装模式传输模式和隧道模式.
传输模式中,在IP报文头和高层协议之间插入AH或ESP头.传输模式中的AH或ESP主要对上层协议数据提供保护.
传输模式中的AH:在IP头部之后插入AH头,对整个IP数据包进行完整性校验.
传输模式中的ESP:在IP头部之后插入ESP,在数据字段后插入尾部以及认证字段.对高层数据和ESP尾部进行加密,队IP数据包中的ESP报文头,高层数据和ESP尾部进行完整性校验.
传输模式中的AH+ESP:在IP头部之后插入AH+ESP,数据字段后插入尾部以及认证字段.
IPSec隧道模式
IPSec VPN配置步骤
IPSec VPN配置
本例中的IPSec VPN连接是通过配置静态路由建立的,下一跳指向RTB.选哟配置两个方向的静态路由确保双向通信可达.建立一条高级ACL,用于确定哪些感兴趣需要通过IPSec VPN隧道.高级ACL能够依据特定参数过滤流量,继而对流量执行丢弃,通过或保护操作.
执行ipsec proposal命令,可以创建IPSec提议并进入IPSec视图.配置IPSec策略是,必须引用IPSec隧道两端使用的安全协议,加密算法,认证算法和封装算法.缺省情况下采用ESP协议,MD5认证算法和隧道封装模式.
执行transform[ah|ah-esp|esp]命令,重新配置隧道采用的安全协议.
encapsulation-mode{transport|tunnel}封装模式.
esp authentication-algorithm[md5|sha1|sha2-256|sha2-384|sha2-512]认证算法.
esp encryption-algorithm[des|3des|aes-128|aes-192|aes-256]配置加密算法
ah authentication-algorithm[md5|sha1|sha2-256|sha2-384|sha2-512]配置AH协议使用的认证算法
配置验证
IPSec VPN对等体配置的安全认证提议参数必须一致.
disp ipsec proposal[name<proposal-name>]
NUMBER of proposals显示已创建的IPSec提议的个数.
IPSec proposal name............名称
Encapsulation mode ........显示的指定提议当前使用的封装模式,其值可以为传输模式和隧道模式.
Transform显示IPSec所采用的安全协议,其值由AH,ESP,ESP+AH.
ESP protocol显示所使用的加密和认证算法.
IPSec VPN配置
IPSec VPN配置
ipsec policy policy-name用来在接口上应用指定的安全策略.手工方式只能应用到一个接口上.
配置验证
配置验证
disp ipsec policy命令,还可以查看出方向和入方向SA相关的参数.
本章总结
1,SA安全联盟定义了IPSec通信对等体将使用的数据封装,认证和加密算法,密钥等参数.
2,经过IPSec过滤后的感兴趣数据流将会通过SA协商的各种参数进行处理并封装,之后通过IPSec隧道转发.
