十七、IPsec基本原理与配置

• IPsec VPN
  • 定义
    • VPN：Virtual Private Network，利用公共网络来构建的私人专用网络称为虚拟私有网络（跨公网建立私有隧道）。
    • IPsec：IP security ，是一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。
      • 数据加密：通过数据加密提供数据私密性。
      • 数据完整性验证：通过数据完整性验证确保数据在传输路径上未经过篡改。
      • 数据源验证：通过对发送数据的源进行身份验证，保证数据来自真实的发送者。
      • 防止数据重放：通过在接收方拒绝重复的数据包防止恶意用户通过重复发送捕获到的数据包进行攻
      • 击。
  • 加密算法
    • 对称加密
      • 加密方与解密方采用同一个密钥
      • 一般来说IPSec使用以下加密算法：
      • DES（Data Encryption Standard）：使用64bit的密钥对一个64bit的明文块进行加密。
      • 3DES（Triple Data Encryption Standard）：使用三个64bit的DES密钥（共192bit密钥）对明文形式的IP报文进行加密。
      • AES-CBC-128（Advanced Encryption Standard Cipher Block Chaining 128）：使用128bit加密算法对IP报文进行加密。
      • AES-CBC-192（Advanced Encryption Standard Cipher Block Chaining 192）：使用192bit加密算法对IP报文进行加密。
      • AES-CBC-256（Advanced Encryption Standard Cipher Block Chaining 256）：使用256bit加密算法对IP报文进行加密。
      • 3DES比DES安全得多，但是其加密速度慢于DES。AES比3DES更安全。
    • 非对称加密 DH
      • 加密方通过对端的公钥加密数据
      • 解密方通过自己的私钥解密数据
  • 验证算法
    • MD5 输入任意长度的消息，产生一个128比特的消息摘要
    • SHA
      • SHA-1（Secure Hash Algorithm）：输入长度小于264比特的消息，然后生成一个160比特的消息摘要
        • SHA2-256：通过输入长度小于264比特的消息，产生256比特的消息摘要。
        • SHA2-384：通过输入长度小于2128比特的消息，产生384比特的消息摘要。
        • SHA2-512：通过输入长度小于2128比特的消息，产生512比特的消息摘要。
        • SHA-2的消息摘要长于MD5和SHA-1，因此，SHA-2比MD5和SHA-1更安全。
  • 体系结构
    • IPSec 不是一个单独的协议， IPSec VPN 体系结构主要用三个协议去创建安全架构。
    • IKE（Internet Key Exchange，互联网密钥交换）它的对象是密钥。为IPSec提供了自动协商交换密钥、建立安全联盟。通过数据交换来计算密钥。
    • ESP（Encapsulation Sercurity Payload封装安全负载）它的对象是用户数据。对用户的数据进行封装，提供对数据进行认证和加密，使用IP协议号50。
    • AH（Authentication Header ，认证头）它的对象是用户数据。对用户数据进行封装，只提供认证，不加密，使用IP协议号51。
  • SA 安全联盟
    • 安全通道
      • 一组规则，如果遵循此规则，就保证数据的数据私密性、保证数据完整性、确保数据合法性、抗重放
    • SA由三元组来唯一标识
      • 安全参数索引号 SPI（Security Parameter Index）
        • SPI用来唯一标识SA，一个32bit数值
        • 手动指定配置
        • IKE协商产生SA时，SPI将随机生成
      • 目的IP地址
      • 安全协议号（AH（51）或ESP（50））
    • 手动/IKE协商
      • 手工方式：安全联盟所需的全部信息都必须手工配置，比较复杂，适合对等体较少或小型静态环境。
      • IKE动态协商方式：只需要对等体间配置好IKE协商参数，由IKE自动协商来创建和维护SA。相对简单，适合中、大型的动态网络环境中。
  • 模式
    • Transport Mode，传输模式，封装的时候不会产生新的IP头部。
    • Tunnel Mode，隧道模式，封装的时候产生新的IP头部。
  • 工作原理
    • IKE协商过程：分为两个阶段
    • 第一阶段：目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将被加密，这条安全通道可以保证阶段2的协商能够安全进行。（产生密钥，保证第二阶段的安全性）
    • 建立一个IKE SA（也可称为ISAKMP SA），为第二阶段的协商提供保护
    • 两种模式：
      • 主模式（Main mode）：6条ISAKMP消息交互
      • 野蛮模式（Aggressive mode）：3条ISAKMP消息交互
    • 第二阶段：目的就是建立用来传输数据的IPSec SA。IPSec SA是为IP数据提供安全保护
    • 快速模式（Quick Mode）:3条ISAKMP消息交互
  • 配置步骤
    • 1.网络可达性(公网通、内网通)
    • 2.配置感兴趣流
    • 3.配置第一阶段
    • 4.配置第二阶段
    • 5.关联感兴趣流+第一阶段+第二阶段（配置安全策略）
    • 6.应用安全策略到接口上
    • 第一阶段配置
      • ike proposal X //默认系统存在优先级最低的安全提议，数值越小越优先
      • encryption-algorithm 3des-cbc
      • authentication-algorithm md5
      • authentication-method pre-share
      • ike peer XX v1
      • pre-shared-key simple huawei
      • remote-address 12.1.1.2
      • display ike proposal
    • 第二阶段配置
      • ipsec proposal XX
      • transform esp
      • encapsulation-mode tunnel
      • esp encryption-algorithm 3des
      • esp authentication-algorithm md5
    • 关联感兴趣流+第一阶段+第二阶段
      • ipsec policy vpn 1 isakmp
      • security acl 3000
      • ike-peer huawei1
      • proposal huawei2
    • 应用到接口上
      • nterface GigabitEthernet0/0/0
      • ipsec policy vpn
• GRE over Ipsec VPN
  • GRE
    • 缺点 不安全，无认证无加密
    • 优点 支持多协议，支持IP组播，配置简单容易理解
  • IPsec VPN
    • 缺点 只支持IPv4单播
    • 优点安全，加密认证都有
  • 在IPSec VPN 的基础上+GRE