作用:
对于两端IP地址不是固定的情况(如ADSL拨号上网),并且双方都希望采用预共享密钥验证方法来创建IKE SA,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建IKE SA。
ipsec下两种模式的区别:
1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息,野蛮模式只需要交互3个消息。
2、主模式协商比野蛮模式协商更严谨、更安全。因为主模式在5、6个消息中对ID信息进行了加密。而野蛮模式由于受到交换次数的限制,ID信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护,而野蛮模式则没有。
3、两种模式在确定预共享密钥的方式不同。主模式只能基于IP地址来确定预共享密钥。而积极模式是基于ID信息(主机名和IP地址)来确定预共享密钥。
野蛮模式的必要性:
两边都是主机名的时候,就一定要用野蛮模式来协商,如果用主模式的话,就会出现根据源IP地址找不到预共享密钥的情况,以至于不能生成SKEYID。
1、因为主模式在交换完3、4消息以后,需要使用预共享密钥来计算SKEYID,但是由于双方的ID信息在消息5、6中才会被发送,此时主模式的设备只能使用消息3、4中的源IP地址来找到与其对应的预共享密钥;如果主模式采用主机名方式,主机名信息却包含在消息5、6中,而IPSEC双方又必须在消息5、6之前找到其相应的预共享密钥,所以就造成了矛盾。
2、在野蛮模式中,ID信息(IP地址或者主机名)在消息1、2中就已经发送了,对方可以根据ID信息查找到对应的预共享密钥,从而计算出SKEYID。
主模式和积极模式的信息交换机制不同。
主模式有6条消息要交换,2个一组对称。主模式中,第1、2条信息中,双方交换了一些协商信息,如认证算法(hash)、加密算法、DH组、认证机制等。第3、4条信息中,双方交换了公钥,在交换了公钥之后,就可以根据DH算法生成后续所需的密钥了(SKEYID),其中包括给数据加密的对称密钥。第5、6条消息中交换ID,这个ID就是域名这类信息。
我们回到第3、4条信息,提到了根据DH算法生成后续密钥,这里是个关键,在DH算法中,需要用到双方定义的预共享密钥,而当一个设备有多个对等体的情况下,就是说有多个VPN隧道的时候,设备需要使用ID信息(比如域名)来判定对应的对等体的预共享密钥,而这个信息是在第5、6条里面,这岂不是来不及了,那么也就是说这时候只能使用IP信息来判断多个对等体,然后匹配共享密钥。
这就是主模式下,使用共享密钥配对的时候,只能使用IP地址的原因。
而积极模式使用的是类似TCP3次握手的信息交换模式。交换的是3条信息。
首先由sa的发起者发送一条信息给sa的接受者,sa的接受者收到第一条信息以后,会将自己的sa协商消息附上电子签名认证信息后发回给sa的发起者,这是第二条信息,第三条信息再由sa的发起者发送给sa的接受者,这条信息中包含了sa的发起者的签名认证信息。
对于DH组,双方没有协商就进行了DH信息的交换,是固定的。
由于其在第一条信息交换时就发送了对应的ID信息,sa的接收方可以根据该ID信息匹配对应的预共享密钥,从而计算对应的SKEYID。因此积极模式是可以使用除IP地址以外的域名来进行对等体标识的。但是由于积极模式中,是在加密身份信息的安全sa建立之前就进行了身份信息的交换,所以交换的消息都是明文的,ID信息也是明文的,这带来了安全隐患。
共享密钥的情况下,主模式不支持NAT穿越,而使用证书是可以的。积极模式是可以穿越NAT的。
积极模式由于交换信息量少,协商速度快,但是由于交互的缺乏,很可能无法完成协商。一般积极模式是在客户端对服务器使用,有时候配置不好,客户端就接不进去。
IPSec主模式和野蛮模式的区别
IPSec主模式和野蛮模式的区别包含如下几点:
1. 交换的消息:主模式为6个,野蛮模式为3个。
2. NAT支持:对预共享密钥认证:主模式不支持NAT转换,而野蛮模式支持。而对于证书方式认证:两种模式都能支持。
3. 对等体标识:主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式在交换完3、4消息以后,需要使用预共享密钥来计算SKEYID,当一个设备有多个对等体时,必须查找到该对等体对应的预共享密钥,但是由于其对等体的ID信息在消息5、6中才会发送,此时主模式的设备只能使用消息3、4中的IP报文源地址来找到与其对应的预共享密钥;如果主模式采用Name方式,Name信息却包含在消息5、6中,而设备必须在消息5、6之前找到其对等体的预共享密钥,所以就造成了矛盾,无法完成Name方式的标识。
而在野蛮模式中,ID消息在消息1、2中就已经发送了,设备可以根据ID信息查找到对应的预共享密钥,从而计算SKEYID。但是由于野蛮模式交换的3个消息没有经过加密,所以ID信息也是明文的,也相应造成了安全隐患。
4. 提议转换对数量:在野蛮模式中,由于第一个消息就需要交换DH消息,而DH消息本身就决定了采用哪个DH组,这样在提议转换对中就确定了使用哪个DH组,如果第一个消息中包含多个提议转换对,那么这多个转换对的DH组必须相同(和DH消息确定的DH组一致),否则消息1中只能携带和确定DH组相同的提议转换对。
5. 协商能力:由于野蛮模式交换次数的限制,因此野蛮模式协商能力低于主模式。
本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访。
托福图如下:
Fw1的配置:
#
interface Ethernet0/1 端口配置
ip address 192.168.10.200 255.255.255.0
ipsec policy policy
#
#
interface Ethernet0/4
ip address 192.168.1.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 preference 60
firewall zonetrust
add interface Ethernet0/4
#
acl number 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 1 deny ip
acl number 3001
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 1 permit ip
#
ipsec proposal tran1 配置安全提议
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
quit
#
ipsec proposal tran2
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
quit
ipsec policy policy 10 isakmp #ipsec 策略配置使用ike协商
security acl 3000
ike-peer peer1
proposal tran1
#
ipsec policy policy 20 isakmp
security acl 3001
ike-peer peer2
proposal tran2
ike local-name fw1
ike local-name fw1
ike peer peer1 配置ike对等体
exchange-mode aggressive
pre-shared-key 1234
id-type name
remote-name fw2
local-address 192.168.10.200
#
ike peer peer2
exchange-mode aggressive 启用野蛮模式
pre-shared-key abcd
id-type name
remote-name fw3 指定网关名称
local-address 192.168.10.200
Fw2的配置:
#
interface Ethernet0/1
ip address dhcp-alloc
ipsec policy policy
#
#
interface Ethernet0/4
ip address 192.168.2.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 preference 60
firewall zone trust
add interface Ethernet0/4
#
acl number 3000
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip
#
#
ipsec proposal tran1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
quit
ipsec policy policy 10 isakmp
security acl 3000
ike-peer peer1
proposal tran1
#
ike local-name fw2
ike peer peer1
exchange-mode aggressive
pre-shared-key 1234
id-type name
remote-name fw1
remote-address 192.168.10.200
#
Fw3的配置:
#
interface Ethernet0/1
ip address dhcp-alloc
ipsec policy policy
#
#
interface Ethernet0/4
ip address 192.168.3.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 preference 60
firewall zone trust
add interface Ethernet0/4
#
acl number 3001
rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip
#
#
ipsec proposal tran2
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
quit
ipsec policy policy 20 isakmp
security acl 3001
ike-peer peer2
proposal tran2
#
ike local-name fw3
ike peer peer1
exchange-mode aggressive
pre-shared-key abcd
id-type name
remote-name fw1
remote-address 192.168.10.200
#
交换机的配置:
#
vlan 10
#
vlan 20
#
vlan 30
#
interface Vlan-interface1
ip address 192.168.100.10 255.255.255.0
#
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
#
interface Vlan-interface30
ip address 192.168.30.1 255.255.255.0
#
dhcp server ip-pool fw2
network 192.168.20.0 mask 255.255.255.0
gateway-list 192.168.20.1
#
dhcp server ip-pool fw3
network 192.168.30.0 mask 255.255.255.0
gateway-list 192.168.30.1
测试:
1.0网段的主机访问2.0和3.0网段的主机:
20.0网段ping 10.0网段
30.0网段ping10.0网段
http://www.linuxso.com/linuxrumen/24862.html