导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。 另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。

IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。

IPSEC概述

IPSEC是一套比较完整成体系的×××技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解。   ×××国家标准:   标准制定单位:华为技术有限公司、中兴、深信服科技有限公司、无锡江南信息安全工程技术中心

 

IPSEC通过包封装包的方法

  通过Internet建立了一个通讯的隧道,通过这个通讯的隧道,就可以建立起网络的连接。但是这个模型并非完美,仍然有很多问题需要解决。

 

 

 

×××节点

  一个×××节点,可能是一台×××网关,也可能是一个客户端软件。在×××组网中间,属于组网的一个通讯节点。它应该能够连接 Internet,有可能是直接连接,比如adsl、电话拨号等等,也可能是通过nat方式,例如:小区宽带、cdma上网、铁通线路等等。

  ×××隧道:在两个***节点之间建立的一个虚拟链路通道。两个设备内部的网络,能够通过这个虚拟的数据链路到达对方。与此相关的信息是当时两个×××节点的IP地址,隧道名称、双方的密钥。

怎样找到***节点设备

  假如设备都是动态拨号方式的话,那么一定需要一个合适的静态的第三方来进行解析。一种是通过网页解析,一种是通过一个集中的服务器解析,另一中是通过DDNS(动态域名)解析。

建立隧道

IPsec ***并不神秘。所有核心的工作无非就是围绕以下几个方面展开:

  如何找到与本×××节点相关的其他节点。

  协商出一个可以通讯的隧道。如果是nat之后,应该怎么处理。

  建立隧道路由表,确定不同的目标地址,走不同的隧道。

 

安全

采用包封装协议,安全加密协议(MD5等)安全认证(des)身份认证等安全协议等一切可以确保安全的方法。下面进行的案例为分支机构公司常用的野蛮模式

案例一 野蛮模式

 

234836791.png

建立2.0与1.0的隧道以及3.0与1.0之间的隧道,其中fw2及fw3的1端口采用动态获得ip的方式

 首先配置端口各个地址,并将FW2以及FW3上E0/1设置成dhcp动态获得模式,建立各自的默认路由
并在FW4上建立两个地址池

配置fw1:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
rule 20 deny ip source any destination any
quit
acl number 3001
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 
rule 20 deny ip source any destination any
quit(定义ACL3000以及3001 对数据包进行过滤,继只处理到2.0 以及3.0网段的数据包 )
ipsec proposal an1(安全提议)
encapsulation-mode tunnel(模式)
transform esp
esp authentication-algorithm md5(加密方式)
esp encryption-algorithm des(认证)
quit
ipsec proposal an2(定义安全提议)
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
quit
定义IKE的本地名称!
ike local-name F1
定义IKE的peer
ike peer peer1
exchange-mode aggressive(动态模式)
pre-shared-key simple 12345(公钥)
id-type name(采用name验证)
remote-name FW2
quit
定义IKE的peer
ike peer peer2
exchange-mode aggressive
pre-shared-key simple 12345
id-type name
remote-name FW3
quit

ipsec policy policy 10 isakmp(定义安全策略)
sec acl 3000(将策略绑定)
proposal an1
ike-peer peer1 
quit
ipsec policy policy 20 isakmp(定义安全策略)
sec acl 3001
proposal an2
ike-peer peer2
quit
interface Ethernet0/1(进入端口,将策略加入端口)
ipsec policy policy
quit
配置fw2:
acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule 20 deny ip source any dest any 
quit
ipsec propo an1
enca tunnel 
trans esp 
es auth md5
esp enc des 
quit
ike local-name FW2(本地IKe名称)
ike peer peer1(定义peer1)
exchange-mode aggressive
pre-shared-key simple 12345(创建公钥)
id-type name(验证方式为名字验证)
remote-name F1
remote-address 1.1.1.1
quit
ipsec policy policy 10 isakmp(建立安全策略)
sec acl 3000(绑定ACL) 
propo an1 
ike-peer pee1 
quit
inter Ethernet0/1
ipsec poli policy(将策略加入端口)
quit
配置fw3:
acl number 3000
rule 10 permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule 20 deny ip source any dest any 
quit(定义数据流过滤)
ipsec propo an2(创建安全提议)
enca tunnel 
trans esp (加密验证认证方式)
es auth md5
esp enc des 
quit
ike local-name FW3(本地ike名称)
ike peer peer2(定义ike)
exchange-mode aggressive
pre-shared-key simple 12345(建立公钥)
id-type name
remote-name F1
remote-address 1.1.1.1
quit
ipsec policy policy 20 isakmp(定义安全策略)
sec acl 3001
propo an2 
ike-peer peer2 
quit
inter Ethernet0/1
ipsec poli policy(将策略加入端口) 
quit
配置完毕
查看配置

fw4产看地址分配

[F4]dis dhcp server ip-in-use all
Global pool:
 IP address     Client-identifier/        Lease expiration        Type
                Hardware address
 2.1.1.1        3363-6535-2d61-3637-      Mar 28 2012 18:09:46 PM Auto:COMMITTED

                662d-3337-3462-4574-
                6865-726e-6574-302f-
                31
 3.1.1.1        3363-6535-2d61-3663-      Mar 28 2012 18:40:14 PM Auto:COMMITTED

                652d-3138-3935-4574-
                6865-726e-6574-302f-
                31

Interface pool:
 IP address     Client-identifier/        Lease expiration        Type
                Hardware address

 --- total 2 entry ---

查看fw1配置

[F1]dis ike peer

---------------------------
 IKE Peer: peer1
   exchange mode: aggressive on phase 1
   pre-shared-key: 12345
   peer id type: name
   peer ip address: 0.0.0.0 ~ 255.255.255.255
   local ip address:
   peer name: FW2
   nat traversal: disable
   dpd:
---------------------------

 

 

235909741.png235909552.png

 

 

 

 


---------------------------
 IKE Peer: peer2
   exchange mode: aggressive on phase 1
   pre-shared-key: 12345
   peer id type: name
   peer ip address: 0.0.0.0 ~ 255.255.255.255
   local ip address:
   peer name: FW3
   nat traversal: disable
   dpd:
  ---- More ----


[F1]dis ipsec proposal

  IPsec proposal name: an2
    encapsulation mode: tunnel
    transform: esp-new
    ESP protocol: authentication md5-hmac-96, encryption des

  IPsec proposal name: an1
    encapsulation mode: tunnel
    transform: esp-new
    ESP protocol: authentication md5-hmac-96, encryption des
[F1]


[F1]display ipsec policy

===========================================
IPsec Policy Group: "policy"
Using interface: {Ethernet0/1}
===========================================

  -----------------------------
  IPsec policy name: "policy"
  sequence number: 10
  mode: isakmp
  -----------------------------
    security data flow : 3000
    selector mode: standard
    ike-peer name:  peer1
    perfect forward secrecy: None
    proposal name:  an1
    IPsec sa local duration(time based): 3600 seconds
    IPsec sa local duration(traffic based): 1843200 kilobytes

  -----------------------------
  IPsec policy name: "policy"
  sequence number: 20
  mode: isakmp
  -----------------------------
    security data flow : 3001
    selector mode: standard
    ike-peer name:  peer2
    perfect forward secrecy: None
    proposal name:  an2
    IPsec sa local duration(time based): 3600 seconds
    IPsec sa local duration(traffic based): 1843200 kilobytes
[F1]

测试结果

235909881.png

 

235909552.png