浅谈 ipsec

1.ipsec协议的简介

1. IPSec 协议

IPSec 是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task

Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整

性、数据来源认证、反重放、加密以及对数据流分类加密等服务。

IPSec 是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有

实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对 ×××

(Virtual Private Network,虚拟专用网络)安全性的顾虑,使得 ×××得以广泛应

用。

2. 加密卡

IPSec 对报文的处理包括进行 ESP 协议处理、加密后给报文添加认

证头、对报文完成认证后删除认证头。加密解密过程复杂,路由器软件ipsec会占用大量

Cpu资源,影响整体机能。模块化路由器还可以使用加密卡(模块化硬件插卡)

以硬件方式完成数据的加/ 解密运算,消除了路由器VRP主体软件处理IPSec 对性

能的影响,提高了路由器的工作效率。

(1)  加密卡进行加密/ 解密的工作过程是:路由器主机将需要加密/ 解密的数据发送

给加密卡,加密卡对数据进行加密/ 解密运算并给数据添加/ 删除加密帧头,然

后加密卡将完成加密/ 解密的数据发送回主机,由主机转发处理后的数据。

(2)  多块加密卡分流处理用户数据:模块化路由器支持多块加密卡,主机软件通过

轮循方式将用户数据发送给多块状态正常的加密卡进行分流处理,实现多块加

密卡对用户数据的同步处理,从而提高了数据加密/ 解密的处理速度。

(3)  对于应用于加密卡侧的IPSec ,当该路由器所有加密卡都状态异常则加密卡将

无法进行IPSec 处理,此时若已经打开主机备份处理开关,并且 VRP主体软

件IPSec 模块支持该加密卡使用的加密/ 认证算法,则VRP主体软件IPSec

模块将替代加密卡进行IPSec 处理,实现对加密卡的备份。

注意:加密卡与VRP主体软件IPSec 模块对数据的处理机制完全相同,区别仅仅在于是

通过硬件还是通过VRP主体软件实现加/解密处理。

3. IPSec 对报文的处理过程

IPSec 对报文的处理过程如下(以 AH协议为例):

(1)  对报文添加认证头:从 IPSec 队列中读出 IP 模块送来的 IP 报文,根据配置选

择的协议模式(传输或是隧道模式)对报文添加AH头,再由 IP 层转发。

(2)  对报文进行认证后解去认证头:IP 层收到IP 报文经解析是本机地址,并且协

议号为51,则查找相应的协议开关表项,调用相应的输入处理函数。此处理

函数对报文进行认证和原来的认证值比较,若相等则去掉添加的 AH头,还原

出原始的IP 报文再调用IP 输入流程进行处理;否则此报文被丢弃。

2.ipsec的配置

IPSec 的配置包括:

创建加密访问控制列表

  定义安全提议

  选择加密算法与认证算法

创建安全策略

  在接口上应用安全策略组

加密卡实现IPSec 的配置包括:

  创建加密访问控制列表

  配置加密卡

  使能VRP主体软件备份

  定义安全提议

  选择加密算法与认证算法

  创建安全策略

  在接口上应用安全策略组

创建加密访问控制列表

     作用:根据是否与加密访问控制列表匹配,可以确定那些IP 包加密后发送,那些 IP 包直接转发。需要保护的安全数据流使用扩展IP 访问控制列表进行定义。

定义安全提议

     作用:安全提议保存IPSec 需要使用的特定安全性协议以及加密/ 验证算法,为IPSec 协商安全联盟提供各种安全参数。

     配置:1.定义安全提议

           2.设置安全协议对IP 报文的封装模式

           3.选择安全协议

Ipsec中esp支持的安全加密算法:

      3des  des  blowfish  cast  skipjack

Ah和esp支持的安全认证算法有MD5算法与sha算法  MD5 算法使用128位的密钥 sha1使用160位的密钥  md5算法的计算速度比sha1算法快,而sha1算法的安全强度比md5算法高。

注意:安全隧道的两端所选择的安全加密算法与认证算法必须一致

创建安全策略的方法:

1.手动创建

手动创建安全策略的配置包括:

配置安全策略引用的访问控制列表

指定安全隧道的起点与终点

  配置安全策略中引用的安全提议

  配置安全策略联盟的SPI 及使用的密钥

2.自动创建

用IKE创建安全策略的配置包括:

配置安全策略引用的访问控制列表

指定安全隧道的终点

配置安全策略中引用的安全提议

配置安全联盟的生存时间

3.在接口上应用安全策略组

一个接口上只能应用一个安全策略组;一个安全策略组只能应用在一个接口上。

4.ipsec的配置案例

配置需求:

总部分别与上海分支、广州分支建立安全隧道对  总部代表的子网192.168.1.x 与 上海 192.168.2.x 、广州 192.168.3.x 之间的数据流进行安全保护。使用手工方式建立安全联盟,安全协议使用ESP协议,加密算法采用DES,认证算法采用MD5 ,设备(一个3层交换机(华为3926)  3个防火墙)

2.组网图

wps_clip_image-25939

3.配置步骤

中间的交换机配置:

创建3个vlan 将端口加入3个vlan 

wps_clip_image-958

wps_clip_image-27930

wps_clip_image-15267

总部的防火墙:

基本配置略 (eth0/0  192.168.1.1 24  loopback   

             Eth0/4  1.1.1.1 24  将eth0/4 加入到untunst区域

              Ip route-static  0.0.0.0 0.0.0.0 1.1.1.2)

配置访问列表  定义由192.168.1.0 去192.168.2.0   、192.168.3.0 的数据流

[H3C]  acl 3000 match-out auto

[H3C-acl-3000] rule 10 permit ip source 192.168.1.0  0.0.0.255 destination  192.168.2.0 0.0.0.255

[H3C]  acl 3001 match-out auto

[H3C-acl-3001] rule 10 permit ip source 192.168.1.0  0.0.0.255 destination  192.168.3.0 0.0.0.255

[H3C-acl-3001] rule  20  deny ip source any destination any

创建名为tran1的安全提议

[H3C]  ipsec  proposal tran1

[H3C-ipsec-proposal-tran1] encapsulation-mode tunnel

transform esp

Esp encryption-algorithm  des

Esp  authentication-algorithm  md5

在系统视图下建立ike-peel

[h3c]  Ike peel fw2

      Remote-address 1.1.2.1

      Pre-share-key 12345

在系统视图下创建一条安全策略 协商方式为ike

[h3c]  ipsec policy policy1 10 isakmp

security acl 3000

proposal tran1

Ike-peel fw2

创建名为tran2的安全提议

[H3C]  ipsec  proposal tran2

[H3C-ipsec-proposal-tran1] encapsulation-mode tunnel

transform esp

Esp encryption-algorithm  des

Esp  authentication-algorithm  md5

在系统视图下建立ike-peel

[h3c]  Ike peel fw3

      Remote-address 1.1.3.1

      Pre-share-key 12345

在系统视图下创建一条安全策略 协商方式为ike

[h3c]  ipsec policy policy1 20 isakmp

security acl 3001

proposal tran2

Ike-peel fw3

应用到接口

Int eth0/4

Ipsec policy policy1

上海分支的防火墙

具体配置如上   下面的配置用截图展示

wps_clip_image-26334

wps_clip_image-15513

配置静态默认路由

wps_clip_image-8529

加入区域

wps_clip_image-15585

配置策略

wps_clip_image-23225

wps_clip_image-1669

wps_clip_image-11858

wps_clip_image-17353

应用到接口

wps_clip_image-29052

广州分支的防火墙配置:

如上海 此截图为整体配置

wps_clip_image-8203

wps_clip_image-10133

wps_clip_image-26823

验证结果:

wps_clip_image-10609

wps_clip_image-30620

5.IPSec 常见故障的诊断与排除

故障之一:不能配置加密卡。

故障现象:配置与加密卡相关命令时,提示没有有效加密卡(No valid encrypt-card)。

故障排除:可以按照如下步骤进行:

   查看加密卡插卡情况。查看加密卡是否正确插入插槽。正常情况加密卡“run ”

指示灯正常闪烁(一秒亮一秒灭)。

使用display encrypt-card version 命令查看加密卡状态。正常状态应能显示

加密卡单板及其版本情况。如果没有显示,则主机没有检测到加密卡。加密卡

可能处于启动状态(run 指示灯快闪)。如果5 秒之后,加密卡仍然处于此状

态,可以重新启动设备(注意先保存配置)。

故障之二:配置IPSec 之后,ping 不通。

故障排除:可以按照如下步骤进行:

   检查接口是否应用安全策略组(policy)。使用display current-configuration

interface 命令查看接口上是否配置policy。正确情况下应该显示配置policy。

如果没有配置policy,则在接口视图下配置policy。

   检查安全策略(policy )匹配性。如果是手工创建的安全策略组,那么安全策

略的本、对端地址要正确,安全联盟的参数一定要一致。安全联盟参数改变之

后,需要在接口上先删除安全策略组,然后再重新应用安全策略组。

   检查安全协议一致性。对于手工建立的安全策略,两端路由器的安全提议所选

择的安全协议要相同。

检查Access Control List。如果以上检查没有发现问题或通过修改以上检查还

没有解决问题,可以查看一下访问控制列表。检查访问控制列表是否允许互通

双方都通过。

   检查硬件链接。如果通过以上方法都不能解决,请确认硬件连接是否正常。