IPSec Internet Protocol Security 作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放
机密性:对数据进行加密保护,用密文的性质传输数据
完整性:对接收的数据进行认证,以判定报文是否被篡改。
防重放:防止恶意用户通过重复发送捕获到的数据包进行攻击,拒绝接收重复的数据包
IPSec架构:
IPSec 包括AH和ESP这两个安全协议来实现IP数据报文的安全传送。一般用ESP有加密功能
IKE协议:用于自动协商AH和ESP所使用的加密算法进行秘钥协商,建立和维护安全联盟SA等服务
安全联盟SA
安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数;
安全联盟是单向的,两个对等体之间的双向通信、至少需要两个SA.
SA 有一个三元组唯一标识:包括安全参数索引SPI,目的IP地址,安全协议(AH/ESP)
建立SA的方式有两种:
手动方式
IKE动态协商方式
IPSec 协议有两种封装模式:传输模式和隧道模式
传输模式:AH或ESP报头位于IP报头和传输层报头之间
隧道模式:IPSec会另外生成一个新的IP报头,并封装在AH或ESP之前。
IPSec 配置步骤:
1.配置网络可达
2.配置ACL识别兴趣流
3.创建安全提议:定义保护数据流所用的安全协议、认证算法、加密算法和封装模式
4.创建安全策略:手工建立SA策略和IKE协商建立SA的策略
5.应用安全策略
配置实例手动模式
定义
加密点:61.128.1.1-->102.100.1.1
通讯点:172.16.1.0/24 -->10.1.1.0/24
AR2 上配置
###配置默认路由
[AR2]ip route-static 0.0.0.0 0 61.128.1.10
[AR2]dis ip routing-table | include 61.128.1.10
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 11 Routes : 11
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 61.128.1.10 GigabitEthernet0/0/1
##配置ACL 和 感兴趣流
[AR2]acl 3000
[AR2-acl-adv-3000]rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 10.1.
1.0 0.0.0.255
[AR2-acl-adv-3000]
##创建安全协议 可以自定义加密算法或者默认设置
[AR2]ipsec proposal transAR2
[AR2-ipsec-proposal-transAR2]di th
[V200R003C00]
#
ipsec proposal transAR2
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
#
return
[AR2-ipsec-proposal-transAR2]
###查看安全协议
[AR2]dis ipsec proposal
Number of proposals: 1
IPSec proposal name: transAR2
Encapsulation mode: Tunnel
Transform : esp-new
ESP protocol : Authentication SHA2-HMAC-512
Encryption AES-256
###创建IPsec sa 阶段
[AR2]ipsec policy AR2-policy 10 manu
[AR2]ipsec policy AR2-policy 10 manual
[AR2-ipsec-policy-manual-AR2-policy-10]di th
[V200R003C00]
#
ipsec policy AR2-policy 10 manual
security acl 3000
proposal transAR2
tunnel local 61.128.1.1
tunnel remote 202.100.1.1
sa spi inbound esp 12345
sa string-key inbound esp simple huayun
sa spi outbound esp 54321
sa string-key outbound esp simple huayun
#
return
[AR2-ip