网络安全-IPSec(互联网安全协议)

已于 2023-07-11 18:05:37 修改
阅读量2.6k 收藏 2
点赞数 3
分类专栏: 路由交换配置 网络规划设计师 信息安全 文章标签: 网络安全 IPSec IPSec配置
于 2022-09-07 17:05:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WannaHaha/article/details/126730387
版权

互联网安全协议(Internet Protocol Security,IPSec)是一个应用在OSI网络层保护基于TCP或UDP的协议簇(主要有AH、ESP、SA、IKE),通过对IP协议的分组进行加密和认证来保护IP协议的网络传输安全。

 一、IPSec体系结构

 1、安全协议

(1)AH协议

Authentication Header

认证头,保证被传输分组的完整性和可靠性。此外,AH还保护不受重放攻击。

在服务两端根据算法独立交换秘钥,根据秘钥和数据包产生一个校验项,收据在对端被接收后进行校验。从而保证数据包来源的确认以及数据包不被非法修改。

(2)ESP协议

Encapsulating Security Payload

封装安全载荷,保证分组源可靠性、完整性和保密性,与AH不同的是,ESP不对IP分组的头部进行安全保护,只保护Payload,即负载数据。

同时,AH虽然可以保护通信免受篡改,但并不进行加密,数据对于黑客而言是可见的,为了进一步保证数据传输安全,ESP,提供了加密。

2、安全联盟SA

安全联盟(Security Association)SA,也叫安全关联,是IPSec的基础。记录每条IP安全通路的策略和策略参数,是通信双方建立的一种协议,决定了用来保护数据包的协议、转码方式、秘钥以及秘钥有效期等。AH和ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟SA。

SA可以定义两种模式

(1)传输模式

传输模式保护IP包内的数据载荷

(2)隧道模式

隧道模式保护整个IP数据包,只要安全联盟的任意一端是安全网关,SA就必须是隧道模式

3、秘钥管理协议

秘钥管理协议ISAKMP(Internet Security Association and Key Management Protocol),提供共享安全信息,实现IPSec的秘钥管理,为身份认证的SA设置以及秘钥交换技术。

二、IPSec应用实验设计

1、网络拓扑

配置总部与分支之间通过IKE动态协商方式建立IPSec隧道

 2、配置项

配置项

Headquarters

Branch

IPSec安全提议

封装模式

隧道模式

隧道模式

安全协议

ESP

ESP

ESP协议验证算法

SHA2-256

SHA2-256

ESP协议加密算法

AES-128

AES-128

IKE对等体

协商模式

主模式

主模式

加密算法

AES-cbc-128

AES-cbc-128

认证算法

SHA1

SHA1

DH Group

GROUP2

GROUP2

预共享密钥

Key123

Key123

身份类型

IP地址

IP地址

版本

V1

V1

3、组网需求

(1)Headquarters和Branch之间建立IPSec安全隧道,对PC 1与PC 2之间的数据流进行安全保护。

(2)Headquarters和Branch建立IPSec连接,Headquarters和Branch都配置DPD。通过配置DPD技术来监测Headquarters与Branch间IPSec对等体的存活情况。

4、实验步骤

(1)连通性

(2)ACL识别兴趣流

(3)安全协议

(4)安全策略

(5)应用安全策略

(6)测试及抓包分析

三、IPSec实验配置

1、连通性

(1)接口配置

Headquarters

Headquarters
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sysn Headquarters
[Headquarters]int gi 0/0/0
[Headquarters-GigabitEthernet0/0/0]ip add 1.1.1.1 30
[Headquarters-GigabitEthernet0/0/0]q
[Headquarters]int gi 0/0/1
[Headquarters-GigabitEthernet0/0/1]ip add 192.168.0.1 24
[Headquarters-GigabitEthernet0/0/1]q

Branch 

Branch
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sysn Branch
[Branch]int gi 0/0/0
[Branch-GigabitEthernet0/0/0]ip add 2.2.2.2 30
[Branch-GigabitEthernet0/0/0]q
[Branch]int gi 0/0/1
[Branch-GigabitEthernet0/0/1]ip add 192.168.1.1 24
[Branch-GigabitEthernet0/0/1]q

Internet 

Internet

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sysn Internet
[Internet]int gi 0/0/0
[Internet-GigabitEthernet0/0/0]ip add 1.1.1.2 30
[Internet-GigabitEthernet0/0/0]q
[Internet]int gi 0/0/1
[Internet-GigabitEthernet0/0/1]ip add 2.2.2.1 30
[Internet-GigabitEthernet0/0/1]q

(2)模拟互联网,通过ospf配置路由器之间外网互通

Headquarters

Headquarters

[Headquarters]ospf
[Headquarters-ospf-1]area 0
[Headquarters-ospf-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0
[Headquarters-ospf-1-area-0.0.0.0]q
[Headquarters-ospf-1]q

 Branch

Branch

[Branch]ospf
[Branch-ospf-1]area 0
[Branch-ospf-1-area-0.0.0.0]net 2.2.2.2 0.0.0.0
[Branch-ospf-1-area-0.0.0.0]q
[Branch-ospf-1]q

Internet 

Internet

[Internet]ospf
[Internet-ospf-1]area 0
[Internet-ospf-1-area-0.0.0.0]net 1.1.1.2 0.0.0.0
[Internet-ospf-1-area-0.0.0.0]net 2.2.2.1 0.0.0.0
[Internet-ospf-1-area-0.0.0.0]q
[Internet-ospf-1]q
[Internet]q

<Internet>dis ospf peer

	 OSPF Process 1 with Router ID 1.1.1.2
		 Neighbors 

 Area 0.0.0.0 interface 1.1.1.2(GigabitEthernet0/0/0)'s neighbors
 Router ID: 1.1.1.1          Address: 1.1.1.1         
   State: Full  Mode:Nbr is  Slave  Priority: 1
   DR: 1.1.1.2  BDR: 1.1.1.1  MTU: 0    
   Dead timer due in 34  sec 
   Retrans timer interval: 5 
   Neighbor is up for 00:00:52     
   Authentication Sequence: [ 0 ] 

		 Neighbors 

 Area 0.0.0.0 interface 2.2.2.1(GigabitEthernet0/0/1)'s neighbors
 Router ID: 2.2.2.2          Address: 2.2.2.2         
   State: Full  Mode:Nbr is  Master  Priority: 1
   DR: 2.2.2.1  BDR: 2.2.2.2  MTU: 0    
   Dead timer due in 39  sec 
   Retrans timer interval: 5 
   Neighbor is up for 00:00:05     
   Authentication Sequence: [ 0 ] 

<Internet>dis ospf rout	
<Internet>dis ospf routing 

	 OSPF Process 1 with Router ID 1.1.1.2
		  Routing Tables 

 Routing for Network 
 Destination        Cost  Type       NextHop         AdvRouter       Area
 1.1.1.0/30         1     Transit    1.1.1.2         1.1.1.2         0.0.0.0
 2.2.2.0/30         1     Transit    2.2.2.1         1.1.1.2         0.0.0.0

 Total Nets: 2  
 Intra Area: 2  Inter Area: 0  ASE: 0  NSSA: 0

这个时候完全模拟互联网环境,外网之间互联互通。 

(3)NAT配置,模拟内网访问互联网模式

Headquarters

Headquarters

[Headquarters]acl 2000
[Headquarters-acl-basic-2000]rule pe so 192.168.0.0 0.0.0.255  //配置允许进行NAT转换的内网地址段
[Headquarters-acl-basic-2000]q
[Headquarters]int gi 0/0/0
[Headquarters-GigabitEthernet0/0/0]nat ou        
[Headquarters-GigabitEthernet0/0/0]nat outbound 2000    //在出接口上配置Easy IP方式的NAT
[Headquarters-GigabitEthernet0/0/0]q
[Headquarters]ip rou        
[Headquarters]ip route
[Headquarters]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2  //配置默认路由,保证出接口到对端路由可达
[Headquarters]dis nat outbound
 NAT Outbound Information:
 --------------------------------------------------------------------------
 Interface                     Acl     Address-group/IP/Interface      Type
 --------------------------------------------------------------------------
 GigabitEthernet0/0/0         2000                        1.1.1.1    easyip  
 --------------------------------------------------------------------------
  Total : 1

 Branch

Branch

[Branch]acl 2000
[Branch-acl-basic-2000]ru per so 192.168.1.0 0.0.0.255
[Branch-acl-basic-2000]q
[Branch]int gi 0/0/0
[Branch-GigabitEthernet0/0/0]nat outbound 2000
[Branch-GigabitEthernet0/0/0]q
[Branch]ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
[Branch]dis nat outbound
 NAT Outbound Information:
 --------------------------------------------------------------------------
 Interface                     Acl     Address-group/IP/Interface      Type
 --------------------------------------------------------------------------
 GigabitEthernet0/0/0         2000                        2.2.2.2    easyip  
 --------------------------------------------------------------------------
  Total : 1

此时,已完全模拟出企业内外网互联互通情况。

 2、配置ACL感兴趣流

Headquarters

配置ACL 3000,匹配从总部子网到分支子网的流量
[Headquarters]acl 3000
[Headquarters-acl-adv-3000]ru pe ip so 192.168.0.0 0.0.0.255 de 192.168.1.0 0.0.
0.255
[Headquarters-acl-adv-3000]q

 Branch

配置ACL 3000,匹配从分支子网到总部子网的流量
[Branch]acl 3000
[Branch-acl-adv-3000]ru per ip so 192.168.1.0 0.0.0.255 de 192.168.0.0 0.0.0.255

[Branch-acl-adv-3000]q

3、配置安全协议

(1)配置IPSec提议

Headquarters

[Headquarters]ipsec proposal def      
[Headquarters-ipsec-proposal-def]esp authentication-algorithm  sha2-256  //认证算法       
[Headquarters-ipsec-proposal-def]esp encryption-algorithm aes-128   //加密算法
[Headquarters-ipsec-proposal-def]q

Branch配置IPSec提议配置同Headquarters 

(2)配置IKE提议

Headquarters

[Headquarters]ike proposal 5       
[Headquarters-ike-proposal-5]encryption-algorithm ?  //加密算法
  3des-cbc     168 bits 3DES-CBC
  aes-cbc-128  Use AES-128
  aes-cbc-192  Use AES-192
  aes-cbc-256  Use AES-256
  des-cbc      56 bits DES-CBC
[Headquarters-ike-proposal-5]encryption-algorithm aes-cbc-128
[Headquarters-ike-proposal-5]authentication-algorithm ?    //认证算法
  aes-xcbc-mac-96  Select aes-xcbc-mac-96 as the hash algorithm
  md5              Select MD5 as the hash algorithm
  sha1             Select SHA as the hash algorithm
  sm3              Select sm3 as the hash algorithm
[Headquarters-ike-proposal-5]authentication-algorithm sha1
[Headquarters-ike-proposal-5]dh ?
  group1   768 bits Diffie-Hellman group
  group14  2048 bits Diffie-Hellman group
  group2   1024 bits Diffie-Hellman group
  group5   1536 bits Diffie-Hellman group
[Headquarters-ike-proposal-5]dh group2
[Headquarters-ike-proposal-5]q

Branch配置IKE提议配置同Headquarters  

(3)配置IKE对等体

Headquarters

[Headquarters]ike peer Center v1   //创建版本为1名称为Center的IKE对等体       
[Headquarters-ike-peer-Center]pre-shared-key cipher Key123   //配置预共享秘钥
[Headquarters-ike-peer-Center]remote-address 2.2.2.2   //配置对端IP地址
[Headquarters-ike-peer-Center]dpd type ?      //配置DPD检测模式为根据需要进行检测
  on-demand  Enable the DPD and set the mode to On-Demand
  periodic   Enable the DPD and set the mode to periodic
[Headquarters-ike-peer-Center]dpd type on-demand        
[Headquarters-ike-peer-Center]ike-proposal 5   //引入ike提议
[Headquarters-ike-peer-Center]q

Branch 

[Branch]ike peer Branch v1
[Branch-ike-peer-Branch]pre-shared-key cipher Key123
[Branch-ike-peer-Branch]remote-address 1.1.1.1
[Branch-ike-peer-Branch]dpd type on-demand 
[Branch-ike-peer-Branch]ike-proposal 5
[Branch-ike-peer-Branch]q

4、配置安全策略

Headquarters

[Headquarters]ipsec policy center 1 isakmp        
[Headquarters-ipsec-policy-isakmp-center-1]security acl 3000
[Headquarters-ipsec-policy-isakmp-center-1]ike-peer Center
[Headquarters-ipsec-policy-isakmp-center-1]proposal def
[Headquarters-ipsec-policy-isakmp-center-1]q

 Branch

[Branch]ipsec policy branch 1 isakmp
[Branch-ipsec-policy-isakmp-branch-1]sec	
[Branch-ipsec-policy-isakmp-branch-1]security acl 3000
[Branch-ipsec-policy-isakmp-branch-1]ike-peer Branch
[Branch-ipsec-policy-isakmp-branch-1]proposal def
[Branch-ipsec-policy-isakmp-branch-1]q

5、应用安全策略

Headquarters

#出接口下应用IPSec安全策略
[Headquarters]int gi 0/0/0
[Headquarters-GigabitEthernet0/0/0]ipsec policy center
[Headquarters-GigabitEthernet0/0/0]q

#配置一条目的地址为Branch内网的静态路由
[Headquarters]ip route-static 192.168.1.0 255.255.255.0 2.2.2.2
[Headquarters]

Branch 

[Branch]int gi 0/0/0
[Branch-GigabitEthernet0/0/0]ipsec policy branch
[Branch-GigabitEthernet0/0/0]q
[Branch]ip route-static 192.168.0.0 255.255.255.0 1.1.1.1
[Branch]

四、故障解决

1、故障处理—内网连通性

(1)验证

 (2)抓包

发现从PC1上pingPC2,源地址不是PC1的地址,而是PC1的互联网地址

说明NAT对PC1进行了转换。

 (3)问题解决

需要配置NAT对应的ACL,对两个内网之间互访不进行NAT地址转换。

#基础ACL不能实现源目地址控制
#删除原来的NAT相关配置
<Headquarters>sys
Enter system view, return user view with Ctrl+Z.
[Headquarters]acl 2000      
[Headquarters-acl-basic-2000]dis th
[V200R003C00]
#
acl number 2000  
 rule 5 permit source 192.168.0.0 0.0.0.255 
#
return
[Headquarters-acl-basic-2000]q
[Headquarters]int gi 0/0/0
[Headquarters-GigabitEthernet0/0/0]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/0
 ip address 1.1.1.1 255.255.255.252 
 ipsec policy center
 nat outbound 2000
#
return
[Headquarters-GigabitEthernet0/0/0]undo nat outbound 2000
[Headquarters-GigabitEthernet0/0/0]q
[Headquarters]undo acl 2000

#配置高级ACL
[Headquarters]acl 3003
[Headquarters-acl-adv-3003]ru de ip so 192.168.0.0 0.0.0.255 de 192.168.1.0 0.0.
0.255    //不对源目地址为两地内网的进行NAT转换
[Headquarters-acl-adv-3003]ru pe ip so 192.168.0.0 0.0.0.255
[Headquarters-acl-adv-3003]q
[Headquarters]int gi 0/0/0
[Headquarters-GigabitEthernet0/0/0]nat outbound 3003
[Headquarters-GigabitEthernet0/0/0]q
[Headquarters]

Branch配置与Headquarter类似

刘林锋blog
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
网络安全——传输层安全协议
qq_53058639的博客
03-26 738
本周将会讲解传输层的安全协议。了解SSL协议SSL协议对于用户而言是透明的,普通用户使用SSL进行网络连接的区别不外乎是浏览器地址栏中的URL地址是以https作为开头,地址栏最右端或状态栏会有一个挂锁或钥匙的图标。实际上,SSL是一个独立于平台和应用的协议。图4-1显示了SSL.在协议栈中的位置,用于保护基于TCP的应用,SSL在TCP层之上、应用层之下,就像TCP连接的套接字一样工作。SSL协议的主要目的是保障两个应用间通信的私密性和可靠性。SSL协议提供传输协议之上的可靠的端到端。
Openswan搭建ipsec site-to-site ×××
weixin_34357962的博客
12-07 358
一.Openswan的安装 安装首先平台选用CentOS_5.6_i386,需要2块网卡,一块外部公网IP,一块内网IP,系统安装完毕之后按照下列步骤安装openswan。 (1).使用yum -y install openswan安装openswan。 安装完成之后使用检测命令ipsec verify检查各个条件是否满足,如下图: 图1 (2).接下来就是为了...
IPsec协议详解
最新发布
weixin_43965325的博客
04-25 1047
关于IPsec协议详解
一文带你了解IPsec协议
小宝儿的学习之路
08-05 6078
IPSec协议相关介绍
实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问
防火墙技术专栏
06-10 2369
要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。
网络安全协议之IPsec
dexi113的博客
06-13 1180
IPSec(Internet 协议安全)是一个工业标准网络安全协议,工作在OSI模型的第三层,即网络层,为IP网络通信提供透明的安全服务,可使TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec是一种端到端的安全模式,通信数据由发送方加密,接收方解密,网络中其他的节点和主机无需支持IPSec。IPSec工作网络层,使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。
三、IPSec(Internet Protocol Security,互联网安全协议
小脑斧的博客
08-12 3213
IPSec(Internet Protocol Security,互联网安全协议),是一组基于网络层的,应用密码学的安全通信协议族。IPSec协议族包含内容如图3.1所示。
网络安全协议 学习资料,ppt
11-22
这部分可能解释了为什么网络安全协议如此重要,尤其是在互联网日益普及的今天。 "chap-2.ppt"和"chap-3.ppt"可能会深入到协议的基础知识,比如TCP/IP协议栈的安全问题,以及SSL/TLS协议的运作机制,它们是保障Web...
信息安全技术--安全协议.pptx
05-11
网络安全协议概述】 ...总结来说,网络安全协议互联网安全的基础,它们通过各种机制防止数据被窃取、篡改或破坏,确保网络通信的可靠性。理解并实施这些协议对于保护网络系统和个人信息至关重要。
简论IPv6路由协议网络安全中的改进
01-19
1 引言  路由技术的快速发展,使得IPv6路由协议成为其中重要的一环,由于我国IPv4地址的资源严重缺乏,除了采用CIDR、VLSM和DHCP技术缓解这一问题外,更多的是采用私有IP地址结合... 2 IPv6路由协议网络安全的改进
网络安全笔记.docx
12-18
这份笔记涵盖了网络安全的基本概念、DNS 安全、拒绝服务攻击、网络安全属性、加密体制、安全协议等方面的知识点。 1. 网络安全的概念 网络安全是指保护计算机网络中的数据、软件和硬件免受未经授权的访问、使用、...
网络安全提纲第八讲1
08-08
网络安全是保护互联网上信息传输和存储的关键领域,其目的是确保数据的机密性、完整性和可用性。在第八讲中,我们聚焦于Web安全,特别是关于网站认证、数据通道安全以及相关的安全协议。 首先,Web的基本结构是基于...
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9299
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
网络安全协议之IPSec协议
buctwx的博客
03-06 1768
IPSec协议
[密码学基础][每个信息安全博士生应该知道的52件事][Bristol52]49.描述在IPsec和TLS后的基本想法
dadongwudi的博客
05-28 170
这是一系列博客文章中最新的一篇,该文章列举了“每个博士生在做密码学时应该知道的52件事”:一系列问题的汇编是为了让博士生们在第一年结束时知道些什么。 网络安全协议(Internet Protocol Security,IPsec)和安全传输层协议(Transport Layer Security,TLS)都旨在在不安全的网络中创造一个安全的两方通信。一般来说,这两种机制都是建立一个私密的会话密钥(要么是预先准备的要么是密钥协商的),然后使用对称密码学进行大部分的交流。还有一些关于身份验证的详细信息,但是.
锐捷网络——IPSec NAT的问题探讨:IPSEC与NAT的兼容性问题
君逍遥o
09-08 417
IKE使用的源目端口都是UDP 500,如果存在端口转换的情况,IKE的源端口可能被改变,这样如果响应者判断该端口不是UDP 500的话,就可能存在IPSEC第一阶段协商不通过的问题。
IPsec实验
Dreamsi_zhang的博客
04-15 1287
1、完成基本路由 R1: int f0/0 ip add 100.1.1.1 255.255.255.0 no shutdown int lo 0 ip add 192.168.10.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 100.1.1.2 R2: int f0/0 ip add 100.1.1.1 255.255.255.0 no shutdown...
IPSec 隧道技术--基础实验配置
热门推荐
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
3.2、虚拟专用网络基础之IP sec
qq_33782021的博客
12-30 1828
IP sec:IP security,一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。
信息安全原理与技术ch07-网络安全协议 精品资料.pptx
10-24
"本资源为‘信息安全原理与技术’的第7章——网络安全协议,主要讲解了简单安全认证协议、Kerberos协议、SSL协议、IPSec协议等内容,并列举了不同层次的安全协议,如IPSec在网络层,SSL/TLS在传输层,以及SHTTP、PGP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘林锋blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值