HC110110029 IPSec原理与配置

最新推荐文章于 2022-08-10 11:14:59 发布
最新推荐文章于 2022-08-10 11:14:59 发布
阅读量972 收藏 3
点赞数
分类专栏: # HCIE-RS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/104812203
版权

0x00 汇总

汇总链接
我寻思着先讲GRE再讲IPSEC不好理解些么。。。

不过IA的IPSec配置就完事了。

0x01 IPSec

企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。
IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性完整性防重放
在这里插入图片描述
IPSec XXX(不要问我XXX是什么,CSDN你XXX,简直有毒,等有空,哥就去开私人博客)体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成。

  • AH协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报。
  • ESP协议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能
  • IKE协议:用于自动协商AH和ESP所使用的密码算法。

在这里插入图片描述
SA(Security Association)安全联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数。SA是单向的,两个对等体之间的双向通信,至少需要两个SA。如果两个对等体希望同时使用AH和ESP安全协议来进行通信,则对等体针对每一种安全协议都需要协商一对SA。

SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址、安全协议(AH或ESP)。

建立SA的方式有以下两种:
手工方式:安全联盟所需的全部信息都必须手工配置。手工方式建立安全联盟比较复杂,但优点是可以不依赖IKE而单独实现IPSec功能。当对等体设备数量较少时,或是在小型静态环境中,手工配置SA是可行的。
IKE动态协商方式:只需要通信对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA。动态协商方式建立安全联盟相对简单些。对于中、大型的动态网络环境中,推荐使用IKE协商建立SA。

配置IPSec的步骤如下:(讲道理,我觉得第三步和第四要换一下,肯定先第一阶段,再第二阶段阿,不过这IA好像连什么是第一阶段,什么是第二阶段都没讲,我吐了,华为的配置真的没有逻辑,差评)

  1. 首先需要检查报文发送方和接收方之间的网络层可达性,确保双方只有建立IPSec VPN隧道才能进行IPSec通信。
  2. 第二步是定义数据流。因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选择出需要进行IPSec处理的兴趣流。可以通过配置ACL来定义和区分不同的数据流。
  3. 第三步是配置IPSec安全提议。IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括AH和ESP,两者可以单独使用或一起使用。AH支持MD5和SHA-1认证算法;ESP支持两种认证算法(MD5和SHA-1)和三种加密算法(DES、3DES和AES)。为了能够正常传输数据流,安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。如果要在两个安全网关之间建立IPSec隧道,建议将IPSec封装模式设置为隧道模式,以便隐藏通信使用的实际源IP地址和目的IP地址。
  4. 第四步是配置IPSec安全策略。IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec策略可分成两类:手工建立SA的策略和IKE协商建立SA的策略。
  5. 第五步是在一个接口上应用IPSec安全策略。

0x02 IPSec配置

PPT上写的是手工方式,那咱们也做手工的好了,其实比自动协商的配置起来更加复杂。
在这里插入图片描述

底层配置

AR1

//配置IP及DHCP功能
[AR1]dhcp enable 
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 172.16.1.1 24
[AR1-GigabitEthernet0/0/0]dhcp select interface 
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 100.1.1.1 24

AR2

//只需要配置IP
[ISP-AR2]int g0/0/0
[ISP-AR2-GigabitEthernet0/0/0]ip add 100.1.1.2 24
[ISP-AR2-GigabitEthernet0/0/0]int g0/0/1
[ISP-AR2-GigabitEthernet0/0/1]ip add 200.1.1.2 24

AR3

[AR3]dhcp enable 
[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 200.1.1.3 24
[AR3-GigabitEthernet0/0/1]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 192.168.1.1 24 
[AR3-GigabitEthernet0/0/0]dhcp select interface

两端PC直接拿地址就好。
在这里插入图片描述
在这里插入图片描述

配置路由可达性

AR1

[AR1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.2

AR3

[AR3]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

这两条路由有两个作用,第一个确保AR1和AR3在互联网当中能够具有连通性,如果这两个地址都不能互通的话,那么IPSEC肯定也无法建立 。

[AR1]ping 200.1.1.3
  PING 200.1.1.3: 56  data bytes, press CTRL_C to break
    Request time out
    Reply from 200.1.1.3: bytes=56 Sequence=2 ttl=254 time=30 ms
    Reply from 200.1.1.3: bytes=56 Sequence=3 ttl=254 time=20 ms
    Reply from 200.1.1.3: bytes=56 Sequence=4 ttl=254 time=20 ms
    Reply from 200.1.1.3: bytes=56 Sequence=5 ttl=254 time=20 ms

  --- 200.1.1.3 ping statistics ---
    5 packet(s) transmitted
    4 packet(s) received
    20.00% packet loss
    round-trip min/avg/max = 20/22/30 ms

第二个作用就是让两端的站点,都有路由可以让去往对端私有网段的数据通过公网接口,必要时,可能还需要添加静态路由来完成。注意,虽然此时有静态路由,但是仍然无法通信,因为ISP-AR2上,不可能有私有地址的路由的。
在这里插入图片描述

定义兴趣流

用ACL来匹配出两端需要被加密的流量。
AR1

[AR1]acl 3000 
[AR1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

AR3

[AR3]acl 3000
[AR3-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
配置IPSec安全提议

通常我会把这阶段的配置称为第二阶段,是用来定义真正的数据流的参数!

IPSec安全协议两端保持一样的配置。

AR1/AR3

[AR1]ipsec proposal PROP1									//创建提议PROP1
[AR1-ipsec-proposal-PROP1]encapsulation-mode tunnel 		//模式为tunnel,默认配置
[AR1-ipsec-proposal-PROP1]transform esp 					//使用ESP协议,默认配置
[AR1-ipsec-proposal-PROP1]esp authentication-algorithm md5 	//使用MD5进行验证,默认配置
[AR1-ipsec-proposal-PROP1]esp encryption-algorithm 3des 	//使用3des算法进行加密

检查第二阶段

[AR1]display ipsec proposal name PROP1

IPSec proposal name: PROP1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication MD5-HMAC-96                             
                     Encryption     3DES
配置IPSec 安全策略

通常我会把这阶段的配置称为第一阶段,用来定义保护加密通道的参数!
IPsec安全协议两端保持一样的配置,注意啦,有些地方为了对应,两端得配置成相对应的参数,并不是完全一模一样~
真的是烦,先配置第二阶段,再配置第一阶段,华为有毒。

AR1

[AR1]ipsec policy POLICY 10 manual 								//创建安全策略
[AR1-ipsec-policy-manual-POLICY-10]security acl 3000			//关联兴趣流
[AR1-ipsec-policy-manual-POLICY-10]proposal PROP1				//关联IPSec安全提议
[AR1-ipsec-policy-manual-POLICY-10]tunnel local 100.1.1.1		//定义加密起点
[AR1-ipsec-policy-manual-POLICY-10]tunnel remote 200.1.1.3		//定义加密终点
[AR1-ipsec-policy-manual-POLICY-10]sa spi inbound esp 123456	//定义入方向SPI,即为对端出方向SPI
[AR1-ipsec-policy-manual-POLICY-10]sa spi outbound esp 654321	//定义出方向SPI,即为对端入方向SPI
[AR1-ipsec-policy-manual-POLICY-10]sa string-key inbound esp simple huawei	//定义入方向密码
[AR1-ipsec-policy-manual-POLICY-10]sa string-key outbound esp simple huawei	//定义出方向密码
//其实SPI也能配置成一样的,这样会更加简单,不过为了更形象点,就这样吧

AR3

[AR3]ipsec policy POLICY 10 manual
[AR3-ipsec-policy-manual-POLICY-10] security acl 3000
[AR3-ipsec-policy-manual-POLICY-10] proposal PROP1
[AR3-ipsec-policy-manual-POLICY-10] tunnel local 200.1.1.3
[AR3-ipsec-policy-manual-POLICY-10] tunnel remote 100.1.1.1
[AR3-ipsec-policy-manual-POLICY-10] sa spi inbound esp 654321
[AR3-ipsec-policy-manual-POLICY-10] sa string-key inbound esp simple huawei
[AR3-ipsec-policy-manual-POLICY-10] sa spi outbound esp 123456
[AR3-ipsec-policy-manual-POLICY-10] sa string-key outbound esp simple huawei

检查policy

[AR3]display ipsec policy 

===========================================
IPSec policy group: "POLICY"
Using interface: 
===========================================

    Sequence number: 10
    Security data flow: 3000
    Tunnel local  address: 200.1.1.3
    Tunnel remote address: 100.1.1.1
    Qos pre-classify: Disable
    Proposal name:PROP1
    Inbound AH setting: 
      AH SPI: 
      AH string-key: 
      AH authentication hex key: 
    Inbound ESP setting: 
      ESP SPI: 654321 (0x9fbf1)
      ESP string-key: huawei
      ESP encryption hex key: 
      ESP authentication hex key: 
    Outbound AH setting: 
      AH SPI: 
      AH string-key: 
      AH authentication hex key:          
    Outbound ESP setting: 
      ESP SPI: 123456 (0x1e240)
      ESP string-key: huawei
      ESP encryption hex key: 
      ESP authentication hex key:
接口应用安全策略

AR1/AR3

[AR1-ipsec-proposal-PROP1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ipsec policy POLICY

AR3同理也需要调用,接下来进行测试。
在这里插入图片描述
成功访问对端私网地址,检查ipsec sa

[AR3]display ipsec sa brief 

Number of SAs:2
    Src address     Dst address        SPI    VPN  Protocol     Algorithm
-------------------------------------------------------------------------------
      200.1.1.3       100.1.1.1     123456      0    ESP   E:3DES A:MD5-96
      100.1.1.1       200.1.1.3     654321      0    ESP   E:3DES A:MD5-96

[AR3]display ipsec statistics esp 
 Inpacket count            : 5
 Inpacket auth count       : 0
 Inpacket decap count      : 0
 Outpacket count           : 4
 Outpacket auth count      : 0
 Outpacket encap count     : 0
 Inpacket drop count       : 0
 Outpacket drop count      : 0
 BadAuthLen count          : 0
 AuthFail count            : 0
 InSAAclCheckFail count    : 0
 PktDuplicateDrop count    : 0
 PktSeqNoTooSmallDrop count: 0
 PktInSAMissDrop count     : 0

也可以看到除了第一包就用于触发VPN了,入和出方向皆有报文,但很奇怪,不显示验证和封装数量什么鬼。。。还是去抓个包吧。
在这里插入图片描述
确实已经加密了,Over。

baynk
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
十七、IPsec基本原理配置
qq_46054011的博客
03-17 2078
IPsec VPN 定义 VPN:Virtual Private Network,利用公共网络来构建的私人专用网络称为虚拟私有网络(跨公网建立私有隧道)。 IPsec:IP security ,是一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。 数据加密:通过数据加密提供数据私密性。 数据完整性验证:通过数据完整性验证确保数据在传输路径上未经过篡改。 数据源验证:通过对发送数据的源进行身份验证,保证数据来自真实的发送者。 防止数据重放
IPSec基本原理简单配置(上)-华为ensp
qq_41754164的博客
11-23 4269
IPSec配置
华为路由远程连接
道的博客
09-08 1341
IPSec acl 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 ipsec proposal ipsec 配置IPSec安全提议 esp authentication-algorithm sha2-512 指定ESP(RFC2406)协议的参数 ipsec policy huawei 10 manual 配置IPSec安全策略 security acl 3
IPSec 隧道技术--基础实验配置
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
IPSEC原理配置步骤整理(一)
m0_60444349的博客
08-10 6376
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
HC110110013 STP原理配置
01-06
"HC110110013 STP原理配置" 本文档旨在详细介绍STP(Spanning Tree Protocol)的原理配置,STP是一种生成树协议,用于解决交换网络中冗余链路带来的环路风险和广播风暴问题。 一、环路引起的问题 在交换网络...
HC110110019 Telnet原理配置
01-06
"HC110110019 Telnet原理配置" Telnet是基于TCP/IP协议的远程登录协议,它允许用户通过网络连接到远程设备,并对其进行配置和管理。 Telnet协议工作在应用层,使用TCP连接来传输命令。 Telnet的应用场景非常广泛...
HC110110024 PPPoE原理配置
最新发布
01-06
PPPoE 原理配置 随着互联网的普及,宽带接入技术的需求也在不断增长。作为一种广泛应用的宽带接入技术,PPPoE(PPP over Ethernet)协议在以太网上传输数据,提供了高速、安全、便捷的宽带接入服务。在本文中,...
HC110110017 DHCP原理配置
01-06
DHCP原理配置 DHCP(Dynamic Host Configuration Protocol)是一种基于UDP的网络协议,旨在使网络管理员能够集中管理和自动分配IP地址和其他网络参数。DHCP协议能够减少管理员的工作量,避免用户手工配置网络参数...
HC110110018 FTP原理配置
01-06
本课程主要讲解FTP的工作原理、基本配置以及实际应用。 FTP的工作原理基于客户端-服务器架构,它需要建立两个连接:控制连接和数据连接。控制连接用于发送命令和接收响应,例如登录验证、改变目录、传输文件等操作...
填坑:IPsec不同安全协议的报文封装结构对比
衡水铁头哥的博客
07-22 1839
回顾一下,前面两个IPsec实验挖了一个坑,就是IPsec和GRE在组合使用的时候,出现了MTU值无法验证的情况,今天来填一下坑。 结合RFC2401、RFC2402、RFC2406的相关说明: IPsec SA(Security Association,安全联盟)分为两种类型:传输模式和隧道模式。 传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下,传输模式 SA 仅为这些更高层协议提供安全服务,而不是为 IP 标头或 ESP 标头之前的任何扩展标头提供安全服务。在 AH 的情况下,保护
乾颐堂军哥HCNA综合-PPPoE-NAT和IPSEC ***在企业网实战应用
weixin_33860147的博客
12-13 356
VIP:本文档包含3大部分:PPPoE、NAT和IPSEC ×××实施,是企业网接入互联网以及广域网互联重要的技术,本文档实现了综合运用1.PPPoEPPP over ethernet(以太网上的PPP协议)PPP即点到点协议,是一种2层封装协议,工作串行链路(默认情况不能工作在以太 网上)以太网的优势:以太网非常流行,速率很高,同时成本小PPP的优势:公有协议的封装,支持认证(扩展到流量统计以及...
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 3042
ENSP配置IPSEC实验
1. 全面讲解 IPSec 基本原理
jj1130050965的博客
01-03 3591
转者注: 此篇转载 曹世宏 先生博文;本人在自己 IPSec 实践应用基础上,对此篇博文内容增加章节编号;在 封装协议章节中、删减两张抓包图片。 IPSec 通讯两端是互为 client 、server 的方式,双方对等加密和认证。 1. IPSec 概念简介 什么是IPSecIPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安
IPSec
phoenix1415的博客
08-05 2531
ipsec
使用IPsec保证IP数据报文在网络上安全传输
微瑟秋风的博客
07-18 902
IPSec主要由AH、ESP和IKE协议套件来实现IP数据报文的安全传输,AH提供认证和校验功能,ESP除了提供AH协议的所有功能外还提供对IP报文的加密功能。IPsec有传输模式和隧道模式,其中隧道模式可以隐藏数据包的源ip地址。......
IPSEC详解
热门推荐
qq_45782298的博客
05-05 3万+
1、什么是IPSec IPSec(Internet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一些列协议,它为IP数据包提供了高质量的、基于密码学的安全传输特性。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。 私有性:指对用户数据进行加密,用密文形式进行传送。 完整性:指对接收的数据进行认证,以判定报文是否被篡改。 防重放:指防止恶意用户通过重复发送捕获到的数据包进行攻击
手动配置IPSec ah-esp 认证与加密
yiluyangguang1234的专栏
09-03 3541
试验拓扑如下: FW1与FW2之间配置IPSec,使用ah-esp 认证与加密 FW1部分关键代码: acl number 3000  rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 # ipsec proposal xk  transform ah-esp  ah
学习IPSec笔记总结(一)---------IPSec的基础知识
Zero_Knight的博客
03-05 5470
IPSecVPN(Internet Protocl Security):是一组基于网络层的,应用密码学的安全通信协议族。与TCP/IP协议簇一样,IPSec不是指具体的哪个协议,而是一个开放的协议簇。 IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务(综合了密码技术,和协议安全机制) IPSec PVN:是基于IPSec协议簇构建的在IP层实现的数据安全虚...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值