IPSec IKEV2

最新推荐文章于 2024-08-06 22:22:24 发布
最新推荐文章于 2024-08-06 22:22:24 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 安全设备 文章标签: 算法 java python 区块链 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/116982879
版权

理论

  • IKEv2介绍:
  • 定义在RFC4306 ,更新与 RFC 5996.
  • 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。
  • 支持NAT穿越。
  • IKEv2支持私密性、完整性、源认证。
  • 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。
  • Cisco Flex 私有虚拟网 约等于IKEV2。

DH算法:离散对数问题,在数学上无解,保证信息交换的安全性。

v2-dab0719d08c4737da1e6b0872c442f4c_b.jpg

  • IKEV1第一阶段(main、Aggressive)的任务对应IKEV2的Initial Exchange
  • IKEV1第二阶段(Quick mode)的任务对应IKEV2的ICREATECHILD_SA.

IKEv2主模式的协商过程

采用IKEv2协商安全联盟比IKEv1协商过程要简化的多。要建立一对IPSec SA,IKEv1需要经历两个阶段:“主模式+快速模式”或者“野蛮模式+快速模式”,前者至少需要交换9条消息,后者也至少需要6条消息。而IKEv2正常情况使用2次交换共4条消息就可以完成一对IPSec SA的建立,如果要求建立的IPSec SA大于一对时,每一对IPSec SA只需额外增加1次创建子SA交换,也就是2条消息就可以完成。

IKEv2定义了三种交换:初始交换(Initial Exchanges)、创建子SA交换(Create_Child_SA Exchange)以及通知交换(Informational Exchange)。

在IKEv2中将IKEv1中的主模式和野蛮模式换成了Inital Exchange,将快速模式阶段换成了CRATE_CHILD_SA.

初始交换:

正常情况下,IKEv2通过初始交换就可以完成第一对IPSec SA的协商建立。IKEv2初始交换对应IKEv1的第一阶段,初始交换包含两次交换四条消息。

v2-2ea0de3f62848d9900b5b441a3e0e8b7_b.jpg

图:初始交换过程图

消息①和②属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。IKE_SA_INIT交换后生成一个共享密钥材料,通过这个共享密钥材料可以衍生出IPSec SA的所有密钥。相当于IKEv1的主模式的第1,3个包。

消息③和④属于第二次交换(称为IKE_AUTH交换),以加密方式完成身份认证、对前两条信息的认证和IPSec SA的参数协商。IKEv2支持RSA签名认证、预共享密钥认证以及扩展认证方法EAP(Extensible Authentication Protocol)。EAP认证是作为附加的IKE_AUTH交换在IKE中实现的,发起者通过在消息3中省去认证载荷来表明需要使用EAP认证。

IKEv1与IKEv2的对比:

v2-3b81fcbfeefd1c3a8a0aa9c59b2dc996_b.jpg

配置案列

v2-302112b8bcc7333fbb610ed2369cbe06_b.jpg

  • Branch
  • crypto ikev2 proposal qyt-proposal
  • encryption 3des aes-cbc-256
  • integrity sha256 sha512
  • group 2 5 14
  • !
  • crypto ikev2 policy qyt-policy
  • proposal qyt-proposal
  • !
  • crypto ikev2 keyring qyt-key
  • peer ASA
  • address 202.100.1.10
  • pre-shared-key cisco
  • !
  • crypto ikev2 profile qyt-profile
  • match identity remote address 202.100.1.10255.255.255.255
  • identity local address 162.106.1.1
  • authentication remote pre-share
  • authentication local pre-share
  • keyring local qyt-key
  • !
  • crypto ipsec transform-set qyt-trans1 esp-des esp-md5-hmac
  • mode tunnel
  • crypto ipsec transform-set qyt-trans2 esp-3des esp-sha256-hmac
  • mode tunnel
  • !
  • crypto map qyt-map 10 ipsec-isakmp
  • set peer 202.100.1.10
  • set transform-set qyt-trans1 qyt-trans2
  • set ikev2-profile qyt-profile
  • match address 私有虚拟网
  • !
  • interface FastEthernet0/0
  • ip address 162.106.1.1 255.255.255.0
  • duplex full
  • crypto map qyt-map
  • !
  • interface FastEthernet1/0
  • ip address 172.16.1.1 255.255.255.0
  • duplex full
  • !
  • ip forward-protocol nd
  • !
  • no ip http server
  • no ip http secure-server
  • ip route 0.0.0.0 0.0.0.0 162.106.1.254
  • ip route 192.168.1.0 255.255.255.0 172.16.1.2
  • !
  • ip access-list extended 私有虚拟网
  • permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

  • ASA
  • crypto ikev2 enable outside
  • !
  • crypto ikev2 policy 10
  • encryption aes-256 3des
  • integrity sha256 sha
  • group 2 1
  • prf sha256 sha
  • lifetime seconds 86400
  • !
  • tunnel-group 162.106.1.1 type ipsec-l2l
  • tunnel-group 162.106.1.1 ipsec-attributes
  • ikev2 remote-authentication pre-shared-key cisco
  • ikev2 local-authentication pre-shared-key cisco
  • !
  • crypto ipsec ikev2 ipsec-proposal qyt-trans
  • protocol esp encryption 3des des
  • protocol esp integrity sha-256 md5
  • !
  • access-list 私有虚拟网 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
  • !
  • crypto map qyt-map 10 match address 私有虚拟网
  • crypto map qyt-map 10 set peer 162.106.1.1
  • crypto map qyt-map 10 set ikev2 ipsec-proposal qyt-trans
  • crypto map qyt-map interface outside

v2-6c67af1b72fb9907bc0a07f2459a5777_b.jpg

v2-a6772fc18506c47f373081b720ce16cd_b.jpg

期待未来的男孩
关注
专栏目录
浅谈IPsec、IKE和IKEv2的基本原理
网络技术联盟站
07-30 3392
使用PFS特性后,IKE第二阶段协商过程中会增加一次DH交换,使得IKE SA的密钥和IPsec SA的密钥之间没有派生关系,即使IKE SA的其中一个密钥被破解,也不会影响它协商出的其它密钥的安全性。由于IPsec的密钥交换机制仅适用于两点之间的通信保护,在广播网络一对多的情形下,IPsec无法实现自动交换密钥,同样,由于广播网络一对多的特性,要求各设备对于接收、发送的报文均使用相同的SA参数(相同的SPI及密钥),因此该方式下必须手工配置用来保护IPv6路由协议报文的IPsec SA。
strongswan Ubuntu 服务端修改 IKEv2 协议握手端口
最新发布
天苍野茫
08-07 1023
在 Ubuntu 22.04 搭建 strongSwan 服务端,并且修改 IKEv2 协议的握手端口 4500
IKEv2协议协商流程: (IKE-SA-INIT 交换)第二包
遇见你是我最美丽的意外
10-13 1万+
IKEv2协议协商流程: (IKE-SA-INIT 交换)第二包 1. IKEv2 协商总体框架 IKEv1协议建立一对IPSec SA,使用主动模式需要9个报文,使用野蛮模式需要使用6个报文方能协商成功。IKEv2对IKEv1协议进行了优化,IKEv2只需要进行两次交互,使用 4 条消息就可以完成一个 IKEv2 SA 和一对 IPsec SA 的协商建立。IKEv2 定义了三种交互: 初始交换、 创建子 SA 交换 通知交换。 下图简单介绍一下 IKEv2 协商过程中的初始交换过程,
IPSecIKEv2详解
sgslwms的博客
09-11 6541
IKEv2协商IPSecSA的过程跟IKEvI有很大差别,最少4条消息就可以创建一对IPSecSA,效率奇高!IKEv2定义了三种交换:初始交换(Initial Exchanges)、创建子SA交换(Create_Child_SA Exchange)通知交换(Informational Exchange)。
IPsec IKEv2(HCIP)
qq_45022073的博客
12-25 1387
了解IKEv1,熟悉IKEv1建立过程以及野蛮模式和主模式区别以及建立过程。 了解IKEv1的缺点,IKEv2解决了IKEv1的问题,以及IKEv2建立过程。
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 9102
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
IPSecIKEv2协议详解
热门推荐
ACM
09-13 2万+
IKEv2简介 IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)
IPSecIKEv2协议详解
hhd1988的专栏
05-17 7931
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
HCIE-Security Day33:IPSec:深入学习ipsec ikev2、IKEV1和IKEV2比较
小梁的博客
04-01 5408
ikev2 RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2) (ietf.org)https://datatracker.ietf.org/doc/html/rfc5996定义在RFC4306,更新于RFC5996 不兼容IKEV1,ikev1不支持认证,ikev2支持认证,eap。 支持nat穿越 支持私密性、完整性、源认证 工作在UDP500端口NAT-T时使用UDP4500端口。 初始交换 正常情况下,IK...
StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2
taylorgogo
06-03 3060
目录StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2环境效果图安装配置应用 StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2 环境 Linux: cat /proc/version Linux version 4.15.0-73-generic (buildd@lcy01-amd64-006) (gcc version 7.4.0 (Ubuntu 7.4.0-1
C++实现ipsec ikev2
04-29
实现 IPsec IKEv2 需要使用一个现有的 IPsec 实现库,例如 StrongSwan 或 OpenSwan,这些库已经实现了 IKEv2 协议。您可以使用这些库来实现 IPsec IKEv2。以下是一些实现步骤: 1. 首先,您需要编写代码来配置 ...
IPSec的IKEv1和IKEv2协议
qq_43710889的博客
02-23 8531
IPSec的IKEv1和IKEv2协议 IKE介绍 文章目录IPSec的IKEv1和IKEv2协议IKE介绍IKE与IPSec的关系IKEv1的三个模式主模式和野蛮模式野蛮模式与主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换:IKE安全机制身份认证DH(Diffie-Hellman)密钥交换算法完善的前向安全性PFS(Perfect Forward Secrecy) IKE是一个复合协议。 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联
linux ikev2 端口,ipsec使用的500端口和4500端口可以似乎被封杀了?
weixin_30145703的博客
05-11 3189
从几周前开始突然连不上了,ipsec start --nofork 前台运行打印的日志显示15[NET] received packet: from 116.253.84.217[500] to 162.243.153.127[500] (604 bytes)15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_...
VPP配置指南:基于IKEv2IPsec VPN
衡水铁头哥的博客
01-03 2294
正文共:1024 字 13 图,预估阅读时间:1 分钟现在,我们已经能够熟练地部署VPP了(不用半小时,最快8分钟即可在CentOS上完成VPP的部署),而且已经能够满足基本的转发要求,那今天我们就来介绍一下VPP如何配置IPsec VPN。前面,我们已经讲了几十篇和VPN相关的文章了,有需要的小伙伴请参考合集(VPN合集)。简单回顾一下,IPsec(IP Security,IP安全)是IETF制...
如何修改 Windows 内置 VPN IKEv2 协议的握手端口
天苍野茫
08-06 1208
Windows IKEv2 为标准协议,其标准握手端口 500 和 4500 无法修改,本文提供一个方法,可修改 Windows 的 IKEv2 握手端口(以 4500 端口为例)
SWAN之ikev2协议compress-nat配置测试
redwingz的博客
11-03 565
本测试主要验证远程用户alice和VPN网关carol之间部署有NAT网关moon,以及远程用户bob与VPN网关carol之间部署有NAT网关sun的情况下的连接建立情况,以及IPComp压缩功能。而且测试了carol网关为远程用户alice和bob进行流量转发的情况。测试拓扑如下: 主机配置 alice的连接配置文件:ikev2/compress-nat/hosts/alice/etc/ip...
SWAN之ikev2协议double-nat配置测试
redwingz的博客
11-05 1166
本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。本次测试拓扑如下: alice主机配置 alice的配置文件:ikev2/double-nat/hosts/alice/etc/ipsec.conf...
SWAN之ikev2协议double-nat-net配置测试
redwingz的博客
11-05 808
本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。最后在NAT网关sun上配置路由,为bob所在网段的主机提供远程服务。本次测试拓扑如下: alice主机配置 alice的配置文件:ikev2/do...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值