如何進(jìn)行ipsec說(shuō)明以及隧道案例分析

本篇文章為大家展示了如何進(jìn)行ipsec說(shuō)明以及隧道案例分析，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

1.IPSEC簡(jiǎn)介

IPSec 是包括安全協(xié)議(Security Protocol)和密鑰交換協(xié)議（IKE），由IETF（Internet Engineering TaskForce，Internet 工程任務(wù)組）開(kāi)發(fā)的，可為通訊雙方提供訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)來(lái)源認(rèn)證、反重放、加密以及對(duì)數(shù)據(jù)流分類加密等服務(wù)的一系列網(wǎng)絡(luò)安全協(xié)議的總稱，其中安全協(xié)議又包括AH（頭驗(yàn)證協(xié)議）和ESP（安全封裝載荷）；而IKE是一種基于ISAKMP（Internet Security Association and Key Management Protocol，互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議）中TCP/IP框架，合并了Oakley（密鑰交換協(xié)議）的一部分和SKEME（密鑰技術(shù)協(xié)議）的混合協(xié)議。

2.IPSEC的安全特性

（1）不可否認(rèn)性："不可否認(rèn)性"可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者，發(fā)送者不能否認(rèn)發(fā)送過(guò)消息。"不可否認(rèn)性"是采用公鑰技術(shù)的一個(gè)特征，當(dāng)使用公鑰技術(shù)時(shí)，發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送，接收方用發(fā)送者的公鑰來(lái)驗(yàn)證數(shù)字簽名。由于在理論上只有發(fā)送者才唯一擁有私鑰，也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名，所以只要數(shù)字簽名通過(guò)驗(yàn)證，發(fā)送者就不能否認(rèn)曾發(fā)送過(guò)該消息。但"不可否認(rèn)性"不是基于認(rèn)證的共享密鑰技術(shù)的特征，因?yàn)樵诨谡J(rèn)證的共享密鑰技術(shù)中，發(fā)送方和接收方掌握相同的密鑰。

（2）抗重播性（Anti-Replay）： IPsec接收方可根據(jù)數(shù)據(jù)包數(shù)據(jù)段前加入的32位序列號(hào)來(lái)檢測(cè)每個(gè)IP包的唯一性并拒絕接收過(guò)時(shí)或重復(fù)的報(bào)文，以防止***者截取破譯信息后，再用相同的信息包冒取非法訪問(wèn)權(quán)（即使這種冒取行為發(fā)生在數(shù)月之后）。

（3）數(shù)據(jù)完整性（Data Integrity）： IPsec接收方利用md5,sha-1等哈希算法對(duì)發(fā)送方發(fā)送來(lái)的包進(jìn)行認(rèn)證，防止傳輸過(guò)程中數(shù)據(jù)被篡改，確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。

（4）數(shù)據(jù)可靠性（Confidentiality）：IPsec發(fā)送方在通過(guò)des,3des,aes等對(duì)稱加密算法在網(wǎng)絡(luò)傳輸包前對(duì)包進(jìn)行加密，保證在傳輸過(guò)程中，即使數(shù)據(jù)包遭截取，信息也無(wú)法被讀。該特性在IPSec中為可選項(xiàng)，與IPSec策略的具體設(shè)置相關(guān)。

（5）數(shù)據(jù)來(lái)源認(rèn)證（Data Authentication）：IPsec在接收端通過(guò)preshared key(域共享密鑰)，證書(shū)，kerberos v5等可以認(rèn)證發(fā)送IPsec報(bào)文的發(fā)送端是否合法。

3.IPSEC的工作模式

（1）隧道（tunnel）模式：用戶的整個(gè)IP數(shù)據(jù)包被用來(lái)計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊。

（2）傳輸（transport）模式：只是傳輸層數(shù)據(jù)被用來(lái)計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊。

4.IPSEC安全機(jī)制中兩種協(xié)議的比較

AH協(xié)議（IP協(xié)議號(hào)為51）提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能，它能保護(hù)通信免受篡改，但不能防止竊聽(tīng)，適合用于傳輸非機(jī)密數(shù)據(jù)。AH的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)文頭，此報(bào)文頭插在標(biāo)準(zhǔn)IP包頭后面，對(duì)數(shù)據(jù)提供完整性保護(hù)。，但因?yàn)镮P頭部分包含很多變量，比如type of service(TOS)，flags，fragment offset，TTL以及header checksum。所以這些值在進(jìn)行authtication前要全部清零。否則hash會(huì)mismatch導(dǎo)致丟包。因此AH不支持NAT轉(zhuǎn)換。

ESP協(xié)議（IP協(xié)議號(hào)為50）提供加密、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能。ESP的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP包頭后面添加一個(gè)ESP報(bào)文頭，并在數(shù)據(jù)包后面追加一個(gè)ESP尾。與AH協(xié)議不同的是，ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，以保證數(shù)據(jù)的機(jī)密性。

下圖更好的解釋了AH和ESP在IPSEC兩種工作模式下對(duì)數(shù)據(jù)包的加密與認(rèn)證

5.IPsec基本概念（基于H3C）

1. 數(shù)據(jù)流：在 IPSec 中，一組具有相同源地址/掩碼/端口、目的地址/掩碼/端口和上層協(xié)議的數(shù)據(jù)集稱為數(shù)據(jù)流。通常，一個(gè)數(shù)據(jù)流采用一個(gè)訪問(wèn)控制列表（acl）來(lái)定義，所有為ACL 允許通過(guò)的報(bào)文在邏輯上作為一個(gè)數(shù)據(jù)流。

2.安全策略：由用戶手工配置，規(guī)定對(duì)什么樣的數(shù)據(jù)流采用什么樣的安全措施。對(duì)數(shù)據(jù)流的定義是通過(guò)在一個(gè)訪問(wèn)控制列表中配置多條規(guī)則來(lái)實(shí)現(xiàn)，在安全策略中引用這個(gè)訪問(wèn)控制列表來(lái)確定需要進(jìn)行保護(hù)的數(shù)據(jù)流。一條安全策略由“名字”和“順序號(hào)”共同唯一確定。

3.安全策略組：所有具有相同名字的安全策略的集合。在一個(gè)接口上，可應(yīng)用或者取消一個(gè)安全策略組，使安全策略組中的多條安全策略同時(shí)應(yīng)用在這個(gè)接口上，從而實(shí)現(xiàn)對(duì)不同的數(shù)據(jù)流進(jìn)行不同的安全保護(hù)。在同一個(gè)安全策略組中，順序號(hào)越小的安全策略，優(yōu)先級(jí)越高。

4.安全聯(lián)盟（Security Association，簡(jiǎn)稱SA）：IPSec 對(duì)數(shù)據(jù)流提供的安全服務(wù)通過(guò)安全聯(lián)盟SA 來(lái)實(shí)現(xiàn)，它包括協(xié)議、算法、密鑰等內(nèi)容，具體確定了如何對(duì)IP 報(bào)文進(jìn)行處理。一個(gè)SA 就是兩個(gè)IPSec 系統(tǒng)之間的一個(gè)單向邏輯連接，輸入數(shù)據(jù)流和輸出數(shù)據(jù)流由輸入安全聯(lián)盟與輸出安全聯(lián)盟分別處理。安全聯(lián)盟由一個(gè)三元組（安全參數(shù)索引（SPI）、IP 目的地址、安全協(xié)議號(hào)（AH或ESP））來(lái)唯一標(biāo)識(shí)。  
安全聯(lián)盟可通過(guò)手工配置和自動(dòng)協(xié)商兩種方式建立。    
手工建立安全聯(lián)盟的方式是指用戶通過(guò)在兩端手工設(shè)置SA的全部信息，然后在接口上應(yīng)用安全策略建立安全聯(lián)盟，缺點(diǎn)是配置復(fù)雜，而且不支持一些高級(jí)特性（如定時(shí)更新密鑰），適用于小型企業(yè)。    
自動(dòng)協(xié)商方式由IKE 生成和維護(hù)，通信雙方基于各自的安全策略庫(kù)經(jīng)過(guò)匹配和協(xié)商，最終建立安全聯(lián)盟而不需要用戶的干預(yù)，配置簡(jiǎn)單，適用于大型企業(yè)。在自動(dòng)協(xié)商中又分為主模式與野蠻模式，野蠻模式交換與主模式交換的主要差別在于，野蠻模式不提供身份保護(hù)。在對(duì)身份保護(hù)要求不高的場(chǎng)合，使用交換報(bào)文較少的野蠻模式可以提高協(xié)商的速度；在對(duì)身份保護(hù)要求較高的場(chǎng)合，則應(yīng)該使用主模式。

5.安全參數(shù)索引（SPI）：是一個(gè)32 比特的數(shù)值，在每一個(gè)IPSec 報(bào)文中都攜帶該值。SPI、IP 目的地址、安全協(xié)議號(hào)三者結(jié)合起來(lái)共同構(gòu)成三元組，來(lái)唯一標(biāo)識(shí)一個(gè)特定的安全聯(lián)盟。在手工配置安全聯(lián)盟時(shí)，需要手工指定SPI 的取值。為保證安全聯(lián)盟的唯一性，每個(gè)安全聯(lián)盟需要指定不同的SPI 值；使用IKE協(xié)商產(chǎn)生安全聯(lián)盟時(shí)，SPI 將隨機(jī)生成。

6.安全提議：包括安全協(xié)議、安全協(xié)議使用的算法、安全協(xié)議對(duì)報(bào)文的封裝形式，規(guī)定了把普通的IP 報(bào)文轉(zhuǎn)換成IPSec報(bào)文的方式。在安全策略中，通過(guò)引用一個(gè)安全提議來(lái)規(guī)定該安全策略采用的協(xié)議、算法等。

6.IPsecIPSEC配置步驟

創(chuàng)建加密訪問(wèn)控制列表

根據(jù)是否與加密訪問(wèn)控制列表匹配，可以確定那些 IP 包加密后發(fā)送，那些IP 包直

接轉(zhuǎn)發(fā)。需要保護(hù)的安全數(shù)據(jù)流使用擴(kuò)展IP 訪問(wèn)控制列表進(jìn)行定義。

acl acl-number

rule { normal | special }{ permit | deny } pro-number[source source-addr source-wildcard | any ][source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ][destination-port operator port1 [ port2 ] ] [icmp-type icmp-type icmp-code][logging]

定義安全提議

定義安全提議 ipsec proposal proposal-name

設(shè)置安全協(xié)議對(duì) IP 報(bào)文的封裝模式encapsulation-mode { transport | tunnel }

選擇安全協(xié)議transform { ah-new | ah-esp-new | esp-new }

選擇加密算法與認(rèn)證算法

Esp協(xié)議下 transform { ah-new | ah-esp-new | esp-new }

AH協(xié)議下 transform { ah-new | ah-esp-new | esp-new }

創(chuàng)建安全策略

手工創(chuàng)建安全策略的配置包括：

手工創(chuàng)建安全策略ipsec policy policy-name sequence-number manual

配置安全策略引用的訪問(wèn)控制列表 security acl access-list-number

指定安全隧道的起點(diǎn)與終點(diǎn) tunnel local ip-address

tunnel remote ip-address

配置安全策略中引用的安全提議 proposal proposal-name

配置安全策略聯(lián)盟的 SPI 及使用的密鑰

SPI的配置                 sa inbound { ah | esp } spi spi-number

sa outbound { ah | esp } spi spi-number

密鑰的配置

AH16進(jìn)制密鑰 sa { inbound | outbound } ah hex-key-string hex-key

AH 字符密鑰 sa { inbound | outbound } ah string-key string-key

ESP16進(jìn)制密鑰 sa { inbound | outbound } esp encryption-hex hex-key

ESP字符密鑰 sa { inbound | outbound } esp string-key string-key

   在接口上應(yīng)用安全策略組

                   ipsec policy policy-name

IKE 創(chuàng)建安全策略聯(lián)盟的配置包括：

用 IKE 創(chuàng)建安全策略聯(lián)盟

ipsec policy policy-name sequence-number isakmp

配置安全策略引用的訪問(wèn)控制列表

security acl access-list-number

指定安全隧道的終點(diǎn)

tunnel remote ip-address

配置安全策略中引用的安全提議

proposal proposal-name1 [ proposal-name2...proposal-name6 ]

配置安全聯(lián)盟的生存時(shí)間（可選）

配置全局時(shí)間

ipsec sa global-duration time-based seconds

ipsec sa global-duration traffic-based kilobytes

配置獨(dú)立時(shí)間

sa duration { time-based seconds |traffic-based kilobytes }

IPsec配置案例:使用ipsec隧道協(xié)議完成企業(yè)安全通信

實(shí)驗(yàn)器材：三臺(tái)華為AR1220路由器，一臺(tái)華為s5700交換機(jī)

拓?fù)鋱D:

配置過(guò)程：

交換機(jī)：(本交換機(jī)添加端口需要開(kāi)啟端口模式為access)

vlan 10

port GE0/0/10

vlan 20

port GE0/0/20

vlan 24

port GE0/0/24

int vlan 10

ip add 1.1.1.2 255.255.255.0

int vlan 20

ip add 1.1.2.2 255.255.255.0

int vlan 24

ip add 1.1.3.2 255.255.255.0

R1

system-view

sysname R1

int eth0/0/0

ip add 192.168.1.1 24

loopback

int eth0/0/1

ip add 1.1.1.1 24

quit

ip route 0.0.0.0 0 1.1.2.2

ping 1.1.1.1

R2

system-view

sysname R2

int eth0/0/0

ip add 192.168.2.1 24

loopback

int eth0/0/1

ip add 1.1.2.1 24

quit

ip route 0.0.0.0 0 1.1.2.2

ping 1.1.1.1

R3

system-view

sysname R3

int etth0/0/0

ip add 192.168.3.1 24

loopback

int eth0/0/1

ip add 1.1.3.1 24

quit

ip route 0.0.0.0 0 1.1.3.2

ping 1.1.1.1

R1到R2、R3的隧道

acl number 3000 match-order auto

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination  192.168.2.0 0.0.0.255

rule 20 deny ip source any destination any

acl number 3001 match-order auto

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination  192.168.3.0 0.0.0.255

rule 20 deny ip source any destination any

quit

安全提議

ipsec proposal tran1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5 （校驗(yàn)算法）

esp encryption-algorithm des （加密算法）

ipsec proposal tran2

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

quit

配置相應(yīng)的IKE

ike peer R2

remote-address 1.1.2.1

pre-shared-key simple abcdef

ike peer R3

remote-address 1.1.3.1

pre-shared-key simple 123456

添加策略

ipsec policy policy1 10 isakmp

ike peer R2

security acl 3000

proposal tran1

ipsec policy policy1 20 isakmp

ike peer R3

security acl 3000

proposal tran2

在外出接口上應(yīng)用策略

int e0/0/1

ipsec policy policy1

R2到R1

acl number 3000 match-order auto

rule 10 permitip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 20 deny ip source any destination any

quit

ipsec proposal tran1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

quit

ike peer R1

remote-address 1.1.1.1

pre-shared-key  simple abcdef

quit

ipsec policy policy1 10 isakmp

ike peer R1

security acl 3000

proposal tran1

在外出接口上應(yīng)用策略

int e0/0/1

ipsec policy policy1

R3到R1

acl number 3000 match-order auto

rule 10 permitip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 20 deny ip source any destination any

quit

ipsec proposal tran1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

quit

ike peer R1

remote-address 1.1.1.1

pre-shared-key  simple 123456

quit

ipsec policy policy1 10 isakmp

ike peer R1

security acl 3000

proposal tran1

在外出接口上應(yīng)用策略

int e0/0/1

ipsec policy policy1

這樣就完成了！

上述內(nèi)容就是如何進(jìn)行ipsec說(shuō)明以及隧道案例分析，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。