IPsec ××× :

IPsec 是一系列为IP网络提供完整安全性的协议和服务的集合,因工作在IP层,从而为上层协议和应用提供透明的安全服务

IPsec ××× 仅适用于单播数据报文

Because the IPsec Working Group has not yet addressed the issue of group key distribution, IPsec does not currently work with multicasts or broadcast IP datagrams.

NAT 应使用静态的 IPsec ×××才能正常工作。

NAT应该在IPsec ×××完成封装之后,再发挥作用。即IPsec ×××应使用全局地址。

clip_p_w_picpath002[1] R5--R1---(R2)—R3--R4

site : R5 R4 Internet R2

R1,R2,R3,R4,R5的配置附件如下:

clip_p_w_picpath004[1]clip_p_w_picpath006[1]clip_p_w_picpath008[1]clip_p_w_picpath010[1]clip_p_w_picpath012[1]

建立ipsec ×××之前先初始化基本配置:

R1 模拟总部的出口路由器

Inter fa0/0

No shut

Ip address 172.16.1.1 255.255.255.0

Inter s2/0

No shut

Ip address 192.168.1.1 255.255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.1.2 只保证R1--àR3之间通信

R2: 模拟Internet

Inter s2/0

No shut

Ip address 192.168.1.2 255.255.255.0

Inter s2/1

No shut

Ip address 192.168.2.1 255.255.255.0

R3: 模拟分公司的路由器

Inter s2/0

No shut

Ip address 192.168.2.2 255.255.255.0

Inter s2/1

No shut

Ip address 192.168.3.1 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.2.1 只保证R3-àR1之间通信

R4: 模拟分公司的出口路由器

Inter s2/0

No shut

Ip address 192.168.3.2 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.3.1 保证能访问公网

R5: 模拟总部路由器

Inter fa0/0

No shut

Ip address 172.16.1.2 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 172.16.1.1 保证能访问公网

Site2site ×××的配置流程:

1.R1上定义IKEISAKMP)的策略

Crypto isakmp policy 1

Encryption 3des

Authentication pre-share

Group 2

Hash sha

说明:

定义了ISAKMP policy 1,加密方式为3deshash算法为sha,认证方式为Pre-Shared Keys (PSK),密钥算法(Diffie-Hellman)为group 2

2.R1 上定义认证标识:

Crypto isakmp key cisco address 192.168.2.2 255.255.255.0

说明:

因为之前定义的认证方式为Pre-Shared Keys (PSK),所以需要定义认证密码,这里定义与peer 192.168.2.2的认证密码为cisco,并且双方密码必须一致,否则无法建立IKE SA,其中0表示密码在running-config中显示为明文。

3.R1上定义transform set

Crypto ipsec transform-set ××× esp-aes esp-sha-hmac

说明:

配置transform-set×××,其中数据封装使用esp3des加密,并且使用esp结合shahash计算,默认的IPsec modetunnel

4.R1上定义感兴趣流量

Access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.3.0 0.0.0.255

说明:这里需要被IPsec保护公司之间传输的的流量,即172.16.1.0/24发往 192.168.3.0/24的流量,切记不可使用any来表示地址。

5.创建Crypto map

Crypto map ×××_MAP 1 ipsec-isakmp

Set peer 192.168.2.2

Set transform-set ×××

Match address 100

说明:

R1上配置crypto map×××_MAP,序号为1,即第1组策略,其中指定加密数据发往的对端为192.168.2.2,即和192.168.2.2,建立IPsec隧道,调用的IPsec transform×××,并且指定ACL 100中的流量为被保护的流量。

6.Crypto map应用于接口:

Inter s2/0

Crypto map ×××_MAP

说明:

crypto map应用在去往对端公司的接口上。

同理:在R3上的配置类似R1

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key cisco address 192.168.1.1 255.255.255.0

crypto ipsec transform-set ××× esp-aes esp-sha-hmac

crypto map ×××_MAP 1 ipsec-isakmp

set peer 192.168.1.1

set transform-set ×××

match address 100

access-list 100 permit ip 192.168.3.0 0.0.0.255 172.16.1.0 0.0.0.255

interface Serial2/0

crypto map ×××_MAP

IPsec提供隧道和传输两种安全模式,满足不同网络需求。

应用场合:

企业中心和分支机构之间提供安全隧道服务。

分支与分支之间或驻外办事处

出差用户异地发起IPsec隧道连接

传输模式: host2host报文处理

在原始IP头和上层协议之间插入ESPAH协议头。

隧道模式: 转发设备上做封装设备处理

增加新的IP头,使原来的IP头成为负载。

AH 提供数据据完整性检查。

在使用AH时,首先在原始数据前生成一个AH头部

传输模式: AH插在IP头之后,TCP等上层协议之间。

clip_p_w_picpath013[1]

隧道模式: AH插在新IP头和原始报文之间

clip_p_w_picpath014[1]

ESP 提供数据加密,完整性

只加密有效载荷(上层传输协议,数据和ESP报尾),不含IP头部

不能保证IP头的篡改

(在端到端的通信中,对原始数据进行加密)

clip_p_w_picpath015[1]

clip_p_w_picpath017[1]

AH侧重于认证 ESP侧重于加密 可组合使用以加强数据完整性和加密性

clip_p_w_picpath019[1]

传输模式中的AH

IP头在左边,然后是插入AH,来实现传输模式。并对整个数据包进行散列运算来提供认证。新的数据包将不支持NAT,因包头改变IP会造成认证失败。可在AH封装前使用NAT

传输模式中的ESP

在原IP头和数据字段之间插入ESP头,数据段尾部插入ESP尾等信息。并不认证IP头,允许在数据包之上使用NAT

隧道模式: AH+ESP结合使用

提供原始整个IP包的安全性。