IPSec 虛擬專(zhuān)用網(wǎng)原理與配置

*  博文大綱
*  虛擬專(zhuān)用網(wǎng)實(shí)現(xiàn)的各種安全特性
*  理解ISAKMP/IKE兩個(gè)階段的協(xié)商建立過(guò)程

1.虛擬專(zhuān)用網(wǎng)概述

虛擬專(zhuān)用網(wǎng)技術(shù)起初是為了解決明文數(shù)據(jù)在網(wǎng)絡(luò)上傳輸所帶來(lái)安全隱患而產(chǎn)生的，

2.虛擬專(zhuān)用網(wǎng)的定義

虛擬專(zhuān)用網(wǎng)就是在兩個(gè)實(shí)體之間建立的一種受保護(hù)的連接，這兩個(gè)可以通過(guò)點(diǎn)到點(diǎn)的鏈路直接相連，但通常情況下它們會(huì)相隔較遠(yuǎn)的距離

3.虛擬專(zhuān)用網(wǎng)的模式與類(lèi)型

（1）虛擬專(zhuān)用網(wǎng)的連接模式
有兩種基本的連接模式：分為傳輸模式和隧道模式，

• 傳輸模式（適用與公有網(wǎng)絡(luò)或私有網(wǎng)絡(luò)）

傳輸模式一個(gè)最顯著的特點(diǎn)就是，在整個(gè)虛擬專(zhuān)用網(wǎng)的過(guò)程中，IP包頭并沒(méi)有被封裝進(jìn)去，這就意味著從源端到目的端數(shù)據(jù)始終使用原有IP地址進(jìn)行通信。

• 隧道模式（適用公有地址和私有地址混合環(huán)境）

隧道模式與傳輸模式的區(qū)別明顯，隧道模式保護(hù)IP包頭與數(shù)據(jù)，傳輸模式只保護(hù)數(shù)據(jù)

4.虛擬專(zhuān)用網(wǎng)的類(lèi)型

• 站點(diǎn)到站點(diǎn)（L2L ） （Lna to Lna）

站點(diǎn)到站點(diǎn)虛擬專(zhuān)用網(wǎng)就是通過(guò)隧道模式在虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)之間保護(hù)兩個(gè)或多個(gè)站點(diǎn)之間的流量，站點(diǎn)的流量通常是指局域網(wǎng)之間（L2L）的通信流量。
如圖：

• 遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)（Ra）

遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)通常用于單用戶(hù)設(shè)備與虛擬專(zhuān)用網(wǎng)的網(wǎng)關(guān)之間的通信連接，單用戶(hù)設(shè)備一般為一臺(tái)PC或小型辦公網(wǎng)絡(luò)等

5.加密算法

DES
3DES
AES

加密就是一種將數(shù)據(jù)轉(zhuǎn)化成另一種形式的過(guò)程，如果不了解加密算法，解密是不可能得

• 對(duì)稱(chēng)加密算法（使用同一密鑰對(duì)信息提供安全得保護(hù)）

數(shù)據(jù)加密過(guò)程如下：
1.發(fā)送方和接收方共享密鑰“k”
2.發(fā)送方得虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)通過(guò)加密函數(shù)E將明文數(shù)據(jù)M加密為密文數(shù)據(jù)
3.接收方通過(guò)解密函數(shù)D將數(shù)據(jù)還原文明文數(shù)據(jù)“M”

DES算法

DES算法曾經(jīng)在虛擬專(zhuān)用網(wǎng)領(lǐng)域應(yīng)用很廣，屬于IBM公司的研發(fā)產(chǎn)品，其密鑰長(zhǎng)度為64位，其中8位用于奇偶校驗(yàn)，所以實(shí)際有效長(zhǎng)度為56位。雖然該算法目前沒(méi)有找到更好的方法破解，但是通過(guò)一些技術(shù)手段已經(jīng)可以在較短的時(shí)間內(nèi)破解DES算法，所以在實(shí)際工程實(shí)施過(guò)程中已經(jīng)不建議使用該種算法

3DES算法

理論上將3DES算法就是DES算法的增強(qiáng)版本，因?yàn)?DES使用了三個(gè)階段的DES，即同時(shí)使用三個(gè)不同的56位密鑰，所以相當(dāng)于產(chǎn)生了一個(gè)168位的有效密鑰長(zhǎng)度，這種級(jí)別的密鑰目前還沒(méi)有計(jì)算機(jī)有能力在較短時(shí)間內(nèi)破解，而且其執(zhí)行效率雖然在軟件環(huán)境中比較慢，但是在硬件環(huán)境中并不明顯

AES算法

3DES算法雖然目前為止是安全的，但隨著計(jì)算機(jī)硬件的更新，總有一天也會(huì)變的不安全。AES算法比3DES算法更安全，它支持128、192和256為密鑰程度，有效的密鑰長(zhǎng)度可達(dá)千位。更重要的是，AES算法那采用更為高效的編寫(xiě)方法，對(duì)CPU的占有l(wèi)v較少，所以諸如IPSec 虛擬專(zhuān)用網(wǎng)等實(shí)際工程的實(shí)施過(guò)程中趨向于使用AES來(lái)提供更好的加密功能

• 非對(duì)稱(chēng)加密算法

1）算法原理

非對(duì)稱(chēng)算法使用公鑰和私鑰兩個(gè)不同的密鑰進(jìn)行加密和解密。用一個(gè)密鑰加密的數(shù)據(jù)僅能被另一個(gè)密鑰解密，且不能從一個(gè)密鑰推算出另一個(gè)密鑰。非對(duì)稱(chēng)加密算法數(shù)據(jù)加密、解密過(guò)程如圖：

算法的優(yōu)、缺點(diǎn)

非對(duì)稱(chēng)加密算法最大的優(yōu)勢(shì)就在于其安全性。目前為止，還沒(méi)有任何一種方式可以在合理的時(shí)間范圍內(nèi)破解該算法。

非對(duì)稱(chēng)加密的算法也不是完美的，由于其計(jì)算過(guò)程復(fù)雜，它的計(jì)算效率要比對(duì)稱(chēng)加密算法低很多。

DH算法

常用的非對(duì)稱(chēng)算法有RSA、DSA、DH。前兩種算法常用于驗(yàn)證功能，而DH算法一般被用來(lái)實(shí)現(xiàn)IPSec中的internet密鑰交換（IKE）協(xié)議。

6.數(shù)據(jù)報(bào)文驗(yàn)證

數(shù)據(jù)報(bào)文驗(yàn)證包括兩個(gè)方面：數(shù)據(jù)庫(kù)來(lái)源驗(yàn)證（身份驗(yàn)證）和報(bào)文完整性驗(yàn)證。

MD5和SHA

MD5（信息——摘要算法）在REC 1321中有明確規(guī)定，它創(chuàng)建了一個(gè)128位的數(shù)字簽名，是目前HMAC功能中最為廣泛的一種算法

7.IPSec 虛擬專(zhuān)用網(wǎng)

1）流量觸發(fā)IPSec
一般來(lái)說(shuō)，IPSec建立過(guò)程是由對(duì)等體之間發(fā)送的流量觸發(fā)的，一旦有虛擬專(zhuān)用網(wǎng)流量經(jīng)過(guò)虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)，連接過(guò)程便開(kāi)始建立，當(dāng)然，手動(dòng)配置也可以實(shí)現(xiàn)這一過(guò)程，在配置設(shè)備實(shí)現(xiàn)此步驟前，網(wǎng)絡(luò)工程師需要明確哪些流量需要被“保護(hù)”。

2）建立管理連接（階段1）
IPSec使用ISAKMP/IKE階段1來(lái)構(gòu)建一個(gè)安全的管理連接，這里需要注意的是，這個(gè)管理連接只是一個(gè)準(zhǔn)備工作，它不被用來(lái)傳輸實(shí)際的數(shù)據(jù)。在配置設(shè)備實(shí)現(xiàn)此步驟前，網(wǎng)絡(luò)工程師需要明確設(shè)備如何實(shí)現(xiàn)驗(yàn)證，使用何種加密機(jī)認(rèn)證算法，使用哪種DH組等問(wèn)題。

3）建立數(shù)據(jù)連接（階段2）

PSec基于安全的管理連接協(xié)商建立安全的數(shù)據(jù)連接，而ISAKMP/IKE階段2就是用來(lái)完成這個(gè)任務(wù)的，數(shù)據(jù)連接用于傳輸真正的用戶(hù)數(shù)據(jù)。在配置設(shè)備實(shí)現(xiàn)此步驟前，網(wǎng)絡(luò)工程師需要明確使用何種安全協(xié)議，針對(duì)具體的安全協(xié)議應(yīng)使用加密或驗(yàn)證算法，以及數(shù)據(jù)的傳輸模式（隧道模式或傳輸模式）等問(wèn)題。

經(jīng)過(guò)IPSec建立的三部曲后，虛擬專(zhuān)用網(wǎng)流量便可以按照協(xié)商的結(jié)果被加密/解密了，但是虛擬專(zhuān)用網(wǎng)連接并不是一次性的，無(wú)論是管理連接還是數(shù)據(jù)庫(kù)連接都有一個(gè)生存周期與之關(guān)聯(lián)，一旦到期連接便會(huì)被中止。如果需要繼續(xù)傳輸虛擬專(zhuān)用網(wǎng)數(shù)據(jù)，連接還需要重新被構(gòu)建，這種設(shè)計(jì)主要是處于安全性的考慮。

ISAKMP/IKE階段1

三個(gè)任務(wù)：
* 協(xié)商采用任何方式建立管理連接
* 通過(guò)DH算法共享密鑰信息
* 對(duì)等體彼此進(jìn)行身份驗(yàn)證

ISAKMP/IKE階段1建立過(guò)程

SAKMP/IKE傳輸集就是一組用來(lái)保護(hù)管理連接的安全措施，主要包括以下幾個(gè)方面：

加密算法：DES、3DES和AES；
HMAC算法：MD5或SHA-1；
設(shè)備驗(yàn)證的類(lèi)型：預(yù)共享密鑰；
DH密鑰組：Cisco支持1、2、5、7（Cisco路由器不支持密鑰組7）；
管理連接的生存周期；

配置安全策略
ISAKMP/IKE策略包含以下參數(shù)：策略的序列號(hào)、加密算法、散列算法、驗(yàn)證方法、DH組、生存周期等

R1(config)#crypto isakmp policy 1
//用于建立建立ISAKMP/IKE的管理連接策略；
//每個(gè)策略對(duì)應(yīng)一個(gè)序列號(hào)，范圍從1~10000，數(shù)值越低，優(yōu)先級(jí)越高；
R1(config-isakmp)#encryption des
//用于指定管理連接建立的最后兩個(gè)報(bào)文（身份驗(yàn)證）采用何種加密算法（des、3des、aes）
R1(config-isakmp)#hash sha
//指定了驗(yàn)證過(guò)程采用的散列算法（sha、md5）
R1(config-isakmp)#authentication pre-share
//指定設(shè)備身份驗(yàn)證的方式{pre-shara（預(yù)共享密鑰）| rsa-encr | rsa-sig}
R1(config-isakmp)#group 1
//用于指定DH密鑰組，默認(rèn)使用DH1；
//組號(hào)也大，算法越安全，占用設(shè)備的資源也就越多。范圍（1、2、5、14、15、16）
R1(config-isakmp)#lifetime 86400  
//指定管理連接的生存周期，默認(rèn)值為86400s（24小時(shí)）
R1#show crypto isakmp policy
//查看配置安全策略的相關(guān)配置
Global IKE policy
Protection suite of priority 1      //這里都是策略1指定的各項(xiàng)參數(shù)
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite             //這里則顯示了設(shè)備默認(rèn)的配置參數(shù)
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

配置預(yù)共享密鑰

R1(config)#crypto isakmp key 0 123456 address 192.168.1.1
//其中0表示明文，6表示密文
//123456就是密鑰的具體內(nèi)容
//192.168.1.1就是對(duì)端與之共享密鑰的對(duì)等體設(shè)備地址
//IP地址后面如果不加子網(wǎng)掩碼的話，默認(rèn)使用32位掩碼
R1#show crypto isakmp key                   //查看預(yù)共享密鑰的配置
Keyring               Hostname/Address                   Preshared Key
//明文狀態(tài)下，如果是密文狀態(tài)下，密鑰內(nèi)容將不會(huì)顯示
default               192.168.1.1                        123456

ISAKMP/IKE階段2

ISAKMP/IKE階段2主要是在兩個(gè)IPSec對(duì)等體間建立數(shù)據(jù)連接，其主要完成以下任務(wù)：

定義對(duì)等體間需要保護(hù)何種流量；
定義用來(lái)保護(hù)數(shù)據(jù)的安全協(xié)議；
定義傳輸模式；
定義數(shù)據(jù)連接的生存周期及密鑰刷新的方式；

IPSec對(duì)等體一般是通過(guò)ACL來(lái)匹配那些需要加密傳輸?shù)奶摂M專(zhuān)用網(wǎng)流量。

ISAKMP/IKE階段2建立過(guò)程

SA連接由三個(gè)要素定義：

安全參數(shù)索引（SPI）：用于唯一標(biāo)識(shí)每條SA連接；
安全協(xié)議的類(lèi)型：IPSec定義了兩種安全協(xié)議，即AH（認(rèn)證頭協(xié)議）和ESP（封裝安全載荷協(xié)議）；
目的IP地址；

ISAKMP/IKE階段2的傳輸集

數(shù)據(jù)連接的傳輸集定義了數(shù)據(jù)連接時(shí)如何被保護(hù)的。與管理連接的傳輸集類(lèi)似，對(duì)等體設(shè)備可以保存一個(gè)或多個(gè)傳輸集，但其具體內(nèi)容不同：

安全協(xié)議：AH協(xié)議、ESP協(xié)議；
連接模式：隧道模式、傳輸模式；
加密方式：對(duì)于ESP而言，有DES、3DES、AES-128、AES-192、AES-256或不可使用加密算法；
驗(yàn)證方式：MD5或SHA-1；

ISAKMP/IKE階段2的安全協(xié)議

IPSec的數(shù)據(jù)連接可以通過(guò)安全協(xié)議實(shí)現(xiàn)對(duì)數(shù)據(jù)連接的保護(hù)：AH協(xié)議和ESP協(xié)議，可以通過(guò)其中的一個(gè)協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)的加密和驗(yàn)證，如使用ESP協(xié)議；也可以使用兩個(gè)協(xié)議一起來(lái)實(shí)現(xiàn)。AH使用IP協(xié)議號(hào)51，ESP使用IP協(xié)議號(hào)50。

8.配置實(shí)現(xiàn)IPSec 虛擬專(zhuān)用網(wǎng)

要求：
（1）如上圖所示，配置相關(guān)的地址，使用路由器充當(dāng)PC機(jī)。除了ISP不用配置默認(rèn)路由，其他都需要配置默認(rèn)路由。
（2）分別在R2和R4上配置Ipsec虛擬專(zhuān)用網(wǎng)，注意配置相關(guān)的參數(shù)需要一致。
（3）在R1上ping R5 測(cè)試是否能通信。
（4）使用NAT實(shí)現(xiàn)，內(nèi)部主機(jī)能訪問(wèn)ISP。

先配置IP，r1，r2，r4，r5都做下一跳
如r1：

ip route 0.0.0.0 0.0.0.0 192.168.1.1

在r2上配置管理連接

crypto isakmp policy 1
 encr aes               加密算法
 hash  sha          認(rèn)證算法
 authentication pre-share   聲明設(shè)備認(rèn)證方式為“預(yù)先共享密鑰”
 group 2            采用DH算法的強(qiáng)度為group2
 lifetime 10000         管理連接生存周期

crypto isakmp key benet.123 address 201.0.0.2 配置“預(yù)先共享密鑰”

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 （虛擬專(zhuān)用網(wǎng)保護(hù)的流量）

crypto ipsec transform-set test-set ah-sha-hmac esp-aes  （數(shù)據(jù)連接協(xié)商參數(shù)）

crypto map test-map 1 ipsec-isakmp   將數(shù)據(jù)連接相關(guān)配置設(shè)定為MAP
 set peer 201.0.0.2         虛擬專(zhuān)用網(wǎng)對(duì)端地址
 set transform-set test-set         數(shù)據(jù)傳輸采用的傳輸集
 match address 101          匹配的ACL

將MAP在外部接口應(yīng)用：
int F1/0
crypto map test-map

在r4上配置

crypto isakmp policy 1
 encr aes               加密算法
 hash  sha          認(rèn)證算法
 authentication pre-share   聲明設(shè)備認(rèn)證方式為“預(yù)先共享密鑰”
 group 2            采用DH算法的強(qiáng)度為group2
 lifetime 10000         管理連接生存周期

crypto isakmp key benet.123 address 201.0.0.2  配置“預(yù)先共享密鑰”

access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 （虛擬專(zhuān)用網(wǎng)保護(hù)的流量）

crypto ipsec transform-set test-set ah-sha-hmac esp-aes  （數(shù)據(jù)連接協(xié)商參數(shù)）

crypto map test-map 1 ipsec-isakmp   將數(shù)據(jù)連接相關(guān)配置設(shè)定為MAP
 set peer 200.0.0.1         虛擬專(zhuān)用網(wǎng)對(duì)端地址
 set transform-set test-set         數(shù)據(jù)傳輸采用的傳輸集
 match address 101          匹配的ACL
3、將MAP在外部接口應(yīng)用：
int F0/0
crypto map test-map

做完上面 r1與r5可以通過(guò)虛擬專(zhuān)用網(wǎng)互通

解決內(nèi)部主機(jī)訪問(wèn)internet

access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(拒絕虛擬專(zhuān)用網(wǎng)的流量)
access-list 102 permit ip any any （放行所有流量）

注明：當(dāng)有NAT和虛擬專(zhuān)用網(wǎng)時(shí)，先匹配N(xiāo)AT，后匹配虛擬專(zhuān)用網(wǎng)。所以要拒絕虛擬專(zhuān)用網(wǎng)的流量。

ip nat inside source list 102 interface FastEthernet1/0 overload

接口上啟用nat功能：
  int  f0/0
    ip nat  inside

   int  f1/0
    ip nat  outside

這時(shí)r1就能訪問(wèn)r3了

r5訪問(wèn)r3配置如下

access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255(拒絕虛擬專(zhuān)用網(wǎng)的流量)
access-list 102 permit ip any any （放行所有流量）

ip nat inside source list 102 interface FastEthernet0/0 overload

接口上啟用nat功能：
  int  f1/0
    ip nat  inside

   int  f0/0
    ip nat  outside

完成！?。。。。。。。。?/p>