华为设备IPsec简单配置

最新推荐文章于 2024-07-27 21:39:44 发布

Pepsi_czz

最新推荐文章于 2024-07-27 21:39:44 发布

阅读量1.7w

点赞数 10

分类专栏：笔记文章标签：华为网络安全

本文链接：https://blog.csdn.net/qq_43432623/article/details/121961844

版权

IPsec VPN

一、IPsec是什么？
二、IPsec有什么用？
三、IPsec怎么用？
主要参考

IPsec VPN是指采用IPsec实现远程接入的一种VPN技术，通过在公网上为两个或多个私有网络之间建立IPsec通道，并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信，通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层，主要对网络层的报文进行加密和验证。

一、IPsec是什么？

1.1 定义

IPSec是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议、密钥交换和用于验证及加密的一些算法等。

1.2 封装模式（传输模式、隧道模式）

在这里插入图片描述

传输模式
在传输模式中，AH头或ESP头被插入到IP头与传输层协议头之间，由于传输模式未添加额外的IP头，所以原始报文中的IP地址在加密后报文的IP头中可见。传输模式保护数据包的有效载荷、高层协议，IPSec源端点不会修改IP报头中目的IP地址，原来的IP地址也会保持明文。
隧道模式
在隧道模式下，AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。IP地址被当作有效载荷的一部分受到IPSec的保护。

传输模式和隧道模式比较
安全性：隧道模式优于传输模式。传输模式不改变原有的IP包头，在原数据包头后面插入IPSec包头，将原来的数据封装成被保护的数据。隧道模式通过对数据加密，可以隐藏原数据包中的IP地址，有利于保护端到端通信中数据的安全性。
应用场景：传输模式主要应用于两台主机或一台主机和一台VPN网关之间通信；隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。

1.3 安全协议（AH、ESP）

IPsec使用AH（Authentication Header）和ESP（Encapsulating Security Payload）提供安全加密或认证服务。

认证头AH
AH仅支持认证功能，不支持加密功能。AH在每个数据包的标准IP报头后面添加一个AH报文，AH协议的完整性校验范围是整个IP报文。
封装安全载荷ESP
ESP支持认证功能和加密功能。ESP在每个数据包的标准IP报头后面添加一个ESP报文，并在数据包后面追加一个ESP尾（ESP Trailer和ESP Auth data），与AH不同的是，ESP将数据中的有效载荷进行加密后再封装到数据包中，以保证数据的机密性。

1.4 秘钥交换协议（IKE）

因特网密钥交换IKE（Internet Key Exchange）协议建立在ISAKMP（Internet安全联盟和密钥管理协议）定义的框架上，是基于UDP的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务，能够简化IPSec的配置和维护工作。

IKE的精髓在于DH交换技术，通过一系列的交换，使得通信双方最终计算出预共享秘钥。在IKE的DH交换过程中，每次计算产生的结果都是不相关的。由于每次IKE SA的建立都需要DH交换过程，因此就保证了每个通过协商建立的IPsec SA所使用的秘钥互不相关，即完成了完美向前性这一特性。

阶段一

主模式：一般情况下，IKE的主模式适用于两设备的公网IP固定、且要实现设备之间点对点的环境。
野蛮模式：对于例如ADSL拨号用户，其获得的公网IP不是固定的，且可能存在NAT设备的情况下，采用野蛮模式做NAT穿越。

与主模式相比，野蛮模式建立IKE SA的速度更快。由于野蛮模式的秘钥交换与身份认证是同时进行的，因此无法提供身份保护。对于身份保护要求不高的场景，使用报文交换较少的野蛮模式可以提高协商速度。对于身份保护要求高的则可以使用主模式。
在这里插入图片描述

阶段二

快速模式：该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证，并对ISAKMP消息进行加密，故保证了交换的安全性。

二、IPsec有什么用？

2.1 通过IPSec VPN实现局域网安全互联

在这里插入图片描述

2.2 通过IPSec VPN实现移动用户远程安全接入

在这里插入图片描述

2.3 通过Efficient VPN实现多分支安全接入

在这里插入图片描述

三、IPsec怎么用？

3.1 IPsec工作流程

3.1.1 识别“感兴趣流”。网络设备接收到报文后，通常将报文的五元组信息和IPsec策略进行匹配，用于判断报文是否通过IPsec隧道进行传输，需要通过IPsec隧道传输的流量通常称为“感兴趣流”。

3.1.2 识别出感兴趣流后，本端网络设备向对端网络设备发起SA协商；通信双方对建立通道所需参数进行协商，比如双方使用的安全协议、封装模式、协议采用的加密和认证算法、用于数据传输的秘钥等信息。通过IKE协议先协商建立IKE SA（用于身份验证和秘钥信息交换），然后在IKE SA基础上协商建立IPsec SA（用于数据安全传输）。

3.1.3 数据传输。IPsec SA建立成功后，双方即可通过IPsec隧道进行传输数据了。

3.1.4 隧道拆除。通常情况下通信双方之间的会话老化，就代表双方数据交换完成，为节省系统资源，通信双方之间的隧道在空闲时间达到一定值后会自动删除。

3.2 配置

配置脚本：https://mp.csdn.net/mp_download/manage/download/UpDetailed
在这里插入图片描述

3.2.1 为防火墙FW1、FW2、R1物理接口配置IP地址，划分区域

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.254 255.255.255.0
[FW1-GigabitEthernet1/0/0]quit 
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 1.1.1.1 255.255.255.252
[FW1-GigabitEthernet1/0/1]quit 
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet1/0/0
[FW1-zone-trust]quit 
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit

[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]ip address 172.16.1.254 24
[FW2-GigabitEthernet1/0/0]quit
[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]ip address 2.2.2.1 30
[FW2-GigabitEthernet1/0/1]quit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/0
[FW2-zone-trust]quit
[FW2]firewall zone untrust