IPSec VPN原理与配置

已于 2024-01-08 17:03:02 修改
阅读量1.2k 收藏 26
点赞数 21
文章标签: 网络 网络协议 服务器 信息与通信 网络安全 tcp/ip 运维
于 2023-12-20 14:17:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy123cisco/article/details/135106439
版权

知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系! 

  • 企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSecInternet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

IPSec VPN应用场景

  •  企业分支可以通过IPSec VPN接入到企业总部网络。
  • IPSecIETF定义的一协议。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证IP数据报文在网络上传输的机密性、完整性和防重放
1. 机密性( Confidentiality )指对数据进行加密保护,用密文的形式传送数据。
2. 完整性( Data integrity )指对接收的数据进行认证,以判定报文是否被篡改。
3. 防重放( Anti-replay )指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
  • 企业远程分支机构可以通过使用IPSec VPN建立安全传输通道,接入到企业总部网络。

IPSec架构 

 

  • IPSec不是一个单独的协议,它通过AHESP这两个安全协议来实现IP数据报文的安全传送。
  • IKE协议提供密钥协商,建立和维护安全联盟SA等服务。
  • IPSec VPN体系结构主要由AHAuthentication Header)、ESPEncapsulating Security Payload)和IKEInternet Key Exchange)协议套件组成。
1. AH 协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而, AH 并不加密所保护的数据报。
2. ESP 协议:提供 AH 协议的所有功能外(但其数据完整性校验不包括 IP 头),还可提供对 IP 报文的加密功能。
3. IKE 协议:用于自动协商 AH ESP 所使用的密码算法。

 安全联盟SA

 

  •  安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。
  • 安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA
  • SA(Security Association)安全联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数。SA是单向的,两个对等体之间的双向通信,至少需要两个SA。如果两个对等体希望同时使用AHESP安全协议来进行通信,则对等体针对每一种安全协议都需要协商一对SA
  • SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPISecurity Parameter Index)、目的IP地址、安全协议(AHESP)。
  • 建立SA的方式有以下两种:
1. 手工方式:安全联盟所需的全部信息都必须手工配置。手工方式建立安全联盟比较复杂,但优点是可以不依赖 IKE 而单独实现 IPSec 功能。当对等体设备数量较少时,或是在小型静态环境中,手工配置 SA 是可行的。
2. IKE 动态协商方式:只需要通信对等体间配置好 IKE 协商参数,由 IKE 自动协商来创建和维护 SA 。动态协商方式建立安全联盟相对简单些。对于中、大型的动态网络环境中,推荐使用 IKE 协商建立 SA

IPSec传输模式

 

  •  在传输模式下, AHESP报头位于IP报头和传输层报头之间。
  • IPSec协议有两种封装模式:传输模式和隧道模式。
  • 传输模式中,在IP报文头和高层协议之间插入AHESP头。传输模式中的AHESP主要上层协议数据提供保护。
  • 传输模式中的AH:在IP头部之后插入AH头,对整个IP数据包进行完整性校验。
  • 传输模式中的ESP:在IP头部之后插入ESP头,在数据字段后插入尾部以及认证字段。对高层数据和ESP尾部进行加密,对IP数据包中的ESP报文头,高层数据和ESP尾部进行完整性校验。
  • 传输模式中的AH+ESP:在IP头部之后插入AHESP头,在数据字段后插入尾部以及认证字段。

 IPSec隧道模式

  • 在隧道模式下,IPSec会另外生成一个新的IP报头,并封装在AHESP之前。 
  • 隧道模式中,AHESP头封装在原始IP报文头之前,并另外生成一个新的IP头封装到AHESP之前隧道模式可以完全地对原始IP数据报进行认证和加密,而且,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。
  • 隧道模式中的AH:对整个原始IP报文提供完整性检查和认证,认证功能优于ESP。但AH不提供加密功能,所以通常和ESP联合使用。
  • 隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。
  • 隧道模式中的AH+ESP:对整个原始IP报文和ESP尾部进行加密,AHESP分别会对不同部分进行完整性校验。

IPSec VPN 配置步骤 

 配置IPSec VPN的步骤如下:

1. 首先需要检查报文发送方和接收方之间的网络层可达性,确保双方只有建立 IPSec VPN 隧道才能进行 IPSec 通信。
2. 第二步 是定义数据流。 因为 部分流量无需满足完整性和 机密 性要求, 所以 需要对流量进行过滤, 选择出需要 进行 IPSec 处理的兴趣流。 可以 通过 配置 ACL 定义和区分 不同的数据流。
3. 第三步是配置 IPSec 安全提议。 IPSec 提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括 AH ESP ,两者可以单独使用或一起使用。 AH 支持 MD5 SHA-1 认证算法; ESP 支持两种认证算法( MD5 SHA-1 )和 三种加密算法( DES 3DES AES )。 为了能够正常传输数据流,安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。如果要在两个安全网关之间建立 IPSec 隧道,建议将 IPSec 封装模式设置为隧道模式,以便隐藏通信使用的实际源 IP 地址和目的 IP 地址。
4. 第四步是配置 IPSec 安全策略。 IPSec 策略 中会应用 IPSec 提议中定义的安全协议、认证算法、加密算法和封装模式。 每一个 IPSec 安全 策略 都使用 唯一的名称和序号 标识。 IPSec 策略可分成两类:手工建立 SA 的策略和 IKE 协商建立 SA 的策略。
5. 第五步是 在一个接口 应用 IPSec 安全 策略。

IPSec VPN 配置

 

[RTA]ip route-static 10.1.2.0 24 20.1.1.2

[RTA]acl number 3001

[RTA-acl-adv-3001]rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[RTA]ipsec proposal tran1  

[RTA-ipsec-proposal-tran1]esp authentication-algorithm sha1

  • 本示例中的IPSec VPN连接是通过配置静态路由建立的,下一跳指向RTB。需要配置两个方向的静态路由确保双向通信可达。建立一条高级ACL,用于确定哪些感兴趣流需要通过IPSec VPN隧道。高级ACL能够依据特定参数过滤流量,继而对流量执行丢弃、通过或保护操作。
  • 执行ipsec proposal命令,可以创建IPSec提议并进入IPSec提议视图。配置IPSec策略时,必须引用IPSec提议来指定IPSec隧道两端使用的安全协议、加密算法、认证算法和封装模式。缺省情况下,使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。在IPSec提议视图下执行下列命令可以修改这些参数。
  • 执行transform [ah | ah-esp | esp]命令,可以重新配置隧道采用的安全协议。
  • 执行encapsulation-mode {transport | tunnel }命令,可以配置报文的封装模式。
  • 执行esp authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]命令,可以配置ESP协议使用的认证算法。
  • 执行esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes-256 ]命令,可以配置ESP加密算法。
  • 执行ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]命令,可以配置AH协议使用的认证算法。

配置验证

 [RTA]display ipsec proposal

  Number of proposals: 1

  IPSec proposal name: tran1    

  Encapsulation mode: Tunnel             

  Transform         : esp-new

  ESP protocol      : Authentication SHA1-HMAC-96

                      Encryption     DES

  • IPSec VPN对等体配置的安全提议参数必须一致。 
  • 执行display ipsec proposal [name <proposal-name>]命令,可以查看IPSec提议中配置的参数。
  • Number of proposals字段显示的是已创建的IPSec提议的个数。
  • IPSec proposal name字段显示的是已创建IPSec提议的名称。
  • Encapsulation mode字段显示的指定提议当前使用的封装模式,其值可以为传输模式或隧道模式。
  • Transform字段显示的是IPSec所采用的安全协议,其值可以是AHESPAH-ESP
  • ESP protocol字段显示的是安全协议所使用的认证和加密算法。

 IPSec VPN 配置

[RTA]ipsec  policy P1 10 manual

[RTA-ipsec-policy-manual-P1-10]security acl 3001

[RTA-ipsec-policy-manual-P1-10]proposal tran1

[RTA-ipsec-policy-manual-P1-10]tunnel remote 20.1.1.2

[RTA-ipsec-policy-manual-P1-10]tunnel local 20.1.1.1

[RTA-ipsec-policy-manual-P1-10]sa spi outbound esp 54321

[RTA-ipsec-policy-manual-P1-10]sa spi inbound esp 12345

[RTA-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei

[RTA-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei

  •  安全策略将要保护的数据流和安全提议进行绑定。
  • ipsec policy policy-name seq-number命令用来创建一条IPSec策略,并进入IPSec策略视图。安全策略是由policy-nameseq-number共同来确定的,多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略,而seq-number越小的安全策略,优先级越高。在一个接口上应用了一个安全策略组,实际上是同时应用了安全策略组中所有的安全策略,这样能够对不同的数据流采用不同的安全策略进行保护。
  • IPSec策略除了指定策略的名称和序号外,还需要指定SA的建立方式。如果使用的是IKE协商,需要执行ipsec-policy-template命令配置指定参数。如果使用的是手工建立方式,所有参数都需要手工配置。本示例采用的是手工建立方式。
  • security acl acl-number命令用来指定IPSec策略所引用的访问控制列表。
  • proposal proposal-name命令用来指定IPSec策略所引用的提议。
  • tunnel local { ip-address | binding-interface }命令用来配置安全隧道的本端地址。
  • tunnel remote ip-address命令用来设置安全隧道的对端地址。
  • sa spi { inbound | outbound } { ah | esp } spi-number命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。
  • sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;同时,本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。

[RTA]interface GigabitEthernet 0/0/1

[RTA-GigabitEthernet0/0/1]ipsec policy P1

[RTA-GigabitEthernet0/0/1]quit

  •  ipsec policy policy-name命令用来在接口上应用指定的安全策略组。手工方式配置的安全策略只能应用到一个接口。

配置验证

[RTA]display ipsec policy

===========================================

IPSec policy group: “P1"

Using interface: GigabitEthernet 0/0/1

===========================================

    Sequence number: 10

    Security data flow: 3001

    Tunnel local  address: 20.1.1.1

    Tunnel remote address: 20.1.1.2

    Qos pre-classify: Disable

    Proposal name:tran1

...

……

Inbound ESP setting:

      ESP SPI: 12345 (0x3039)

      ESP string-key: huawei

      ESP encryption hex key:

      ESP authentication hex key:

   Outbound ESP setting:

      ESP SPI: 54321 (0xd431)

      ESP string-key: huawei

      ESP encryption hex key:

      ESP authentication hex key:

……

  •  执行display ipsec policy [brief | name policy-name [ seq-number ]]命令,可以查看指定IPSec策略或所有IPSec策略。命令的显示信息包括:策略名称、策略序号、提议名称、ACL、隧道的本端地址和隧道的远端地址
  •  执行display ipsec policy命令,还可以查看出方向和入方向SA相关的参数。

本章总结

问:安全联盟的作用是什么?

答:SASecurity Association)安全联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。

问:IPSec VPN将会对过滤后的感兴趣数据流如何操作?

答:经过IPSec过滤后感兴趣数据流将会通过SA协商的各种参数进行处理并封装,之后通过IPSec隧道转发。

爱网络爱Linux
关注
VPN部署场景——IPSec VPN—点到点VPN(1)
君逍遥o
09-21 1923
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
HCIP-IE_Datacom 部署企业级路由交换网络 - IPsec VPN原理配置
君逍遥o
01-02 857
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。⦁ 机密性(Confidentiality)指对数据进行加密保护,用密文的形式传送数据。⦁ 完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。⦁ 防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
IPsec VPN 的基本配置
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
05-15 3512
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。R1 模拟公网部分。网络地址规划如下:A公司内网为 192.168.10.0/24B公司内网为 192.168.20.0/24A公司运营商公网网段 10.8.6.0/30B公司运营商公网网段 10.8.6.4/30。
关于IPSec VPN 的详细配置与讲解
最新发布
weixin_74749868的博客
10-14 2692
IPSec(Internet Protocol Security)是一套用于互联网协议(IP)层的安全协议组合,旨在保护IP通信的安全性。它通过认证、加密和数据完整性验证来确保数据在传输过程中的机密性和完整性。IPSec可以在IPv4和IPv6网络中使用,广泛应用于虚拟专用网络VPN)和安全站点间通信
IPSec VPN详解
rendongxingzhe的博客
08-15 9798
AH对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验。与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。分为两个阶段,第一个阶段是建立管理连接,第二个阶段是建立数据连接。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。
IPSEC VPN详解
热门推荐
weixin_57507186的博客
04-22 1万+
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 1万+
路由器基础(十二):IPSEC VPN配置
IPSEC---VPN
zhoutong2323的博客
03-04 3800
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
IPSec VPN原理配置
2301_78256093的博客
06-14 9817
配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
H3C与VPN高级应用(二)ASA防火墙上实现IPSec VPN原理配置指南
洛秋的博客
07-21 773
IPSec(Internet Protocol Security)是一套用于在IP网络上进行安全通信的协议集,通过对数据包进行加密和认证,提供端到端的安全保障。IPSec主要包括两个阶段:ISAKMP/IKE阶段1和ISAKMP/IKE阶段2。ISAKMP/IKE阶段1:在此阶段,双方建立安全通道,协商加密算法和密钥交换方法。ISAKMP/IKE阶段2:在此阶段,双方使用阶段1生成的安全通道,协商IPSec SA(安全关联),用于保护实际数据传输。
H3C与VPN高级应用(一)深入解析IPSec VPN原理配置指南
洛秋的博客
07-21 813
虚拟专用网络VPN,Virtual Private Network)是一种利用公用网络(如互联网)建立专用网络的技术。它通过在公用网络上创建虚拟的专用连接,确保数据的安全传输。VPN的主要目的是提供远程访问和站点间连接,同时保证数据的机密性、完整性和可用性。IPSec VPN作为一种安全高效的通信技术,广泛应用于企业网络中。通过本文的介绍,读者可以全面了解IPSec VPN原理配置,从VPN的定义、模式与类型,到具体的IPSec连接和配置步骤,帮助系统管理员和网络工程师更好地部署和管理VPN网络
H3C与VPN高级应用(六)IPSec VPN原理配置实现
洛秋的博客
07-23 1079
VPN,全称Virtual Private Network,即虚拟专用网络。它是一种通过公共网络(如互联网)建立私有网络连接的技术。VPN可以确保远程用户或分支机构通过互联网安全地访问企业内部网络IPSec VPN 作为一种重要的网络安全技术,在企业网络中发挥着关键作用。通过本文的讲解,我们详细介绍了IPSec VPN 的工作原理配置步骤、故障排查方法以及应用案例。掌握这些知识,有助于网络管理员更好地配置和维护企业VPN,确保数据传输的安全性和稳定性。
IPSEC VPN配置
m0_71264131的博客
04-14 1710
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略、IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
利用IPSEC建立安全的网络通讯
Yuzhanquan的专栏
04-19 1313
5.1   Internet协议安全性概述“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 基于的是“Internet 工程任务组 (IET
IPSEC VPN详解+100%理解(大学生易读版)
qq_74338624的博客
10-26 1万+
还在为ipsec庞大的知识体系苦恼吗,来这,有着最清晰的思路带你梳理解决
网络安全IPSEC路由基本配置
qq_57289939的博客
05-06 3809
R1]display ipsec proposal --- 查询配置IPSEC
防火墙—IPSec VPN(预共享密钥-多子网)
weixin_44080599的博客
06-01 1094
奇安信防火墙 IPSEC VPN 详解
"深入探讨 Windows 中 IPSec原理与实践
总的来说,IPSec原理与实践.doc从TCP/IP过滤功能、IPSec协议的原理到在Windows操作系统中的配置和实现,全面而详细地介绍了IPSec的相关内容。它为读者提供了一个全面了解和使用IPSec的指南,对网络安全人员和Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值