野蛮模式的相关种种：

 

作用：

对于两端IP地址不是固定的情况（如ADSL拨号上网），并且双方都希望采用预共享密钥验证方法来创建IKE SA，就需要采用野蛮模式。另外如果发起者已知回应者的策略，采用野蛮模式也能够更快地创建IKE SA。

ipsec下两种模式的区别：

1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息，野蛮模式只需要交互3个消息。

2、主模式协商比野蛮模式协商更严谨、更安全。因为主模式在5、6个消息中对ID信息进行了加密。而野蛮模式由于受到交换次数的限制，ID信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护，而野蛮模式则没有。

3、两种模式在确定预共享密钥的方式不同。主模式只能基于IP地址来确定预共享密钥。而积极模式是基于ID信息（主机名和IP地址）来确定预共享密钥。

 

野蛮模式的必要性：

两边都是主机名的时候，就一定要用野蛮模式来协商，如果用主模式的话，就会出现根据源IP地址找不到预共享密钥的情况，以至于不能生成SKEYID。

 

1、因为主模式在交换完3、4消息以后，需要使用预共享密钥来计算SKEYID，但是由于双方的ID信息在消息5、6中才会被发送，此时主模式的设备只能使用消息3、4中的源IP地址来找到与其对应的预共享密钥；如果主模式采用主机名方式，主机名信息却包含在消息5、6中，而IPSEC双方又必须在消息5、6之前找到其相应的预共享密钥，所以就造成了矛盾。

 

2、在野蛮模式中，ID信息（IP地址或者主机名）在消息1、2中就已经发送了，对方可以根据ID信息查找到对应的预共享密钥，从而计算出SKEYID。

主模式和积极模式的信息交换机制不同。
   主模式有6条消息要交换，2个一组对称。主模式中，第1、2条信息中，双方交换了一些协商信息，如认证算法(hash)、加密算法、DH组、认证机制等。第3、4条信息中，双方交换了公钥，在交换了公钥之后，就可以根据DH算法生成后续所需的密钥了（SKEYID），其中包括给数据加密的对称密钥。第5、6条消息中交换ID，这个ID就是域名这类信息。
    我们回到第3、4条信息，提到了根据DH算法生成后续密钥，这里是个关键，在DH算法中，需要用到双方定义的预共享密钥，而当一个设备有多个对等体的情况下，就是说有多个VPN隧道的时候，设备需要使用ID信息（比如域名）来判定对应的对等体的预共享密钥，而这个信息是在第5、6条里面，这岂不是来不及了，那么也就是说这时候只能使用IP信息来判断多个对等体，然后匹配共享密钥。
    这就是主模式下，使用共享密钥配对的时候，只能使用IP地址的原因。

而积极模式使用的是类似TCP3次握手的信息交换模式。交换的是3条信息。
    首先由sa的发起者发送一条信息给sa的接受者，sa的接受者收到第一条信息以后，会将自己的sa协商消息附上电子签名认证信息后发回给sa的发起者，这是第二条信息，第三条信息再由sa的发起者发送给sa的接受者，这条信息中包含了sa的发起者的签名认证信息。
    对于DH组，双方没有协商就进行了DH信息的交换，是固定的。
    由于其在第一条信息交换时就发送了对应的ID信息，sa的接收方可以根据该ID信息匹配对应的预共享密钥，从而计算对应的SKEYID。因此积极模式是可以使用除IP地址以外的域名来进行对等体标识的。但是由于积极模式中，是在加密身份信息的安全sa建立之前就进行了身份信息的交换，所以交换的消息都是明文的，ID信息也是明文的，这带来了安全隐患。

 

    共享密钥的情况下,主模式不支持NAT穿越，而使用证书是可以的。积极模式是可以穿越NAT的。

 

    积极模式由于交换信息量少，协商速度快，但是由于交互的缺乏，很可能无法完成协商。一般积极模式是在客户端对服务器使用，有时候配置不好，客户端就接不进去。

IPSec主模式和野蛮模式的区别

IPSec主模式和野蛮模式的区别包含如下几点：

1.      交换的消息：主模式为6个，野蛮模式为3个。

2.      NAT支持：对预共享密钥认证：主模式不支持NAT转换，而野蛮模式支持。而对于证书方式认证：两种模式都能支持。

3.      对等体标识：主模式只能采用IP地址方式标识对等体；而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式在交换完3、4消息以后，需要使用预共享密钥来计算SKEYID，当一个设备有多个对等体时，必须查找到该对等体对应的预共享密钥，但是由于其对等体的ID信息在消息5、6中才会发送，此时主模式的设备只能使用消息3、4中的IP报文源地址来找到与其对应的预共享密钥；如果主模式采用Name方式，Name信息却包含在消息5、6中，而设备必须在消息5、6之前找到其对等体的预共享密钥，所以就造成了矛盾，无法完成Name方式的标识。

而在野蛮模式中，ID消息在消息1、2中就已经发送了，设备可以根据ID信息查找到对应的预共享密钥，从而计算SKEYID。但是由于野蛮模式交换的3个消息没有经过加密，所以ID信息也是明文的，也相应造成了安全隐患。

4.      提议转换对数量：在野蛮模式中，由于第一个消息就需要交换DH消息，而DH消息本身就决定了采用哪个DH组，这样在提议转换对中就确定了使用哪个DH组，如果第一个消息中包含多个提议转换对，那么这多个转换对的DH组必须相同(和DH消息确定的DH组一致)，否则消息1中只能携带和确定DH组相同的提议转换对。

5.      协商能力：由于野蛮模式交换次数的限制，因此野蛮模式协商能力低于主模式。

 

本实验采用华为三台F100防火墙，和一台s3526交换机，实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部，实现fw1可以与fw2的内部网络互访，fw1和fw3的内部网络互访。

托福图如下：

Fw1的配置：

#

interface Ethernet0/1        端口配置

ip address 192.168.10.200 255.255.255.0

ipsec policy policy

#

#

interface Ethernet0/4

ip address 192.168.1.1 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 preference 60

firewall zonetrust

add interface Ethernet0/4

#

acl number 3000

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 1 deny ip

acl number 3001

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

rule 1 permit ip

#

ipsec proposal tran1    配置安全提议

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

#

ipsec proposal tran2

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

ipsec policy policy 10 isakmp #ipsec      策略配置使用ike协商

security acl 3000

ike-peer peer1

proposal tran1

#

ipsec policy policy 20 isakmp

security acl 3001

ike-peer peer2

proposal tran2

ike local-name fw1

ike local-name fw1

ike peer peer1                      配置ike对等体

exchange-mode aggressive

pre-shared-key 1234

id-type name

remote-name fw2

local-address 192.168.10.200

#

ike peer peer2

exchange-mode aggressive             启用野蛮模式

pre-shared-key abcd

id-type name

remote-name fw3                      指定网关名称

local-address 192.168.10.200

Fw2的配置：

#

interface Ethernet0/1

ip address dhcp-alloc

ipsec policy policy

#

#

interface Ethernet0/4

ip address 192.168.2.1 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 preference 60

firewall zone trust

add interface Ethernet0/4

#

acl number 3000

rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 1 deny ip

#

#

ipsec proposal tran1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

ipsec policy policy 10 isakmp

security acl 3000

ike-peer peer1

proposal tran1

#

ike local-name fw2

ike peer peer1

exchange-mode aggressive

pre-shared-key 1234

id-type name

remote-name fw1

remote-address 192.168.10.200

#

Fw3的配置：

#

interface Ethernet0/1

ip address dhcp-alloc

ipsec policy policy

#

#

interface Ethernet0/4

ip address 192.168.3.1 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 preference 60

firewall zone trust

add interface Ethernet0/4

#

acl number 3001

rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 1 deny ip

#

#

ipsec proposal tran2

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

ipsec policy policy 20 isakmp

security acl 3001

ike-peer peer2

proposal tran2

#

ike local-name fw3

ike peer peer1

exchange-mode aggressive

pre-shared-key abcd

id-type name

remote-name fw1

remote-address 192.168.10.200

#

交换机的配置：

#

vlan 10

#

vlan 20

#

vlan 30

#

interface Vlan-interface1

ip address 192.168.100.10 255.255.255.0

#

interface Vlan-interface10

ip address 192.168.10.1 255.255.255.0

#

interface Vlan-interface20

ip address 192.168.20.1 255.255.255.0

#

interface Vlan-interface30

ip address 192.168.30.1 255.255.255.0

#

dhcp server ip-pool fw2

network 192.168.20.0 mask 255.255.255.0

gateway-list 192.168.20.1

#

dhcp server ip-pool fw3

network 192.168.30.0 mask 255.255.255.0

gateway-list 192.168.30.1

 

测试：

1.0网段的主机访问2.0和3.0网段的主机：

 20.0网段ping 10.0网段

 

 

30.0网段ping10.0网段 

 

http://www.linuxso.com/linuxrumen/24862.html