安全協(xié)議——IPSec（自動協(xié)商策略內(nèi)容）

安全協(xié)議——IPSec（自動協(xié)商策略內(nèi)容）

IPSec 是一系列網(wǎng)絡(luò)安全協(xié)議的總稱，它是由 IETF（Internet Engineering TasForce，Internet工程任務(wù)組）開發(fā)的，可為通訊雙方提供訪問控制、無連接的完整性、數(shù)據(jù)來源認(rèn)證、反重放、加密以及對數(shù)據(jù)流分類加密等服務(wù)。

IPSec 是網(wǎng)絡(luò)層的安全機制。通過對網(wǎng)絡(luò)層包信息的保護(hù)，上層應(yīng)用程序即使沒有實現(xiàn)安全性，也能夠自動從網(wǎng)絡(luò)層提供的安全性中獲益。這打消了人們對 ×××（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）安全性的顧慮，使得 ××× 得以廣泛應(yīng)用。

一 .IPSec對報文的處理過程

    （1） 對報文添加認(rèn)證頭：從 IPSec隊列中讀出 IP模塊送來的 IP報文，根據(jù)配置選

擇的協(xié)議模式（傳輸或是隧道模式）對報文添加 AH頭，再由 IP層轉(zhuǎn)發(fā)。

    （2） 對報文進(jìn)行認(rèn)證后解去認(rèn)證頭：IP層收到 IP報文經(jīng)解析是本機地址，并且協(xié)議號為 51，則查找相應(yīng)的協(xié)議開關(guān)表項，調(diào)用相應(yīng)的輸入處理函數(shù)。此處理函數(shù)對報文進(jìn)行認(rèn)證和原來的認(rèn)證值比較，若相等則去掉添加的 AH頭，還原出原始的 IP報文再調(diào)用 IP輸入流程進(jìn)行處理；否則此報文被丟棄。

二. IPSec的配置包括：

 <1>  創(chuàng)建加密訪問控制列表      ：：根據(jù)是否與加密訪問控制列表匹配，可以確定那些 IP 包加密后發(fā)送，那些 IP 包直接轉(zhuǎn)發(fā)。需要保護(hù)的安全數(shù)據(jù)流使用擴展 IP訪問控制列表進(jìn)行定義。

<2>定義安全提議                ：：安全提議保存 IPSec需要使用的特定安全性協(xié)議以及加密/驗證算法，為 IPSec協(xié)商安全聯(lián)盟提供各種安全參數(shù)。為了能夠成功的協(xié)商 IPSec的安全聯(lián)盟，兩端必須使用相同的安全提議。

               @@@ 需要配置的內(nèi)容    （     ·定義安全提議

                                                 ·設(shè)置安全協(xié)議對 IP報文的封裝模式

·選擇安全協(xié)議

                                     ）

<3> 選擇加密算法與認(rèn)證算法   ：：AH協(xié)議沒有加密功能，只對報文進(jìn)行認(rèn)證。VRP主體軟件 IPSec中 ESP支持的安全加密算法有五種：3des、des、blowfish、cast、skipjack。

                              AH和 ESP支持的安全認(rèn)證算法有 MD5（消息摘要 Version 5）算法與 SHA（安全散列算法）算法兩種。md5算法使用 128位的密鑰，sha1算法使用 160位的密鑰；md5算法的計算速度比 sha1算法快，而 sha1算法的安全強度比 md5算法高。

安全隧道的兩端所選擇的安全加密算法與認(rèn)證算法必須一致。

 <4>創(chuàng)建安全策略       ：： 需要了解的         ·  需要進(jìn)行 ipsec保護(hù)的數(shù)據(jù)

·數(shù)據(jù)流受安全聯(lián)盟保護(hù)需要多久

·需要使用的安全策略

·安全策略是手工創(chuàng)建還是通過 IKE協(xié)商創(chuàng)建

<5> 在接口上應(yīng)用安全策略組      ：：   為使定義的安全聯(lián)盟生效，應(yīng)在每個要加密的出站數(shù)據(jù)、解密的入站數(shù)據(jù)所在接口

（邏輯的或物理的）上應(yīng)用一個安全策略組，由這個接口根據(jù)所配置的安全策略組

和對端加密路由器配合進(jìn)行報文的加密處理。當(dāng)安全策略組被從接口上刪除后，此接口便不再具有 IPSec的安全保護(hù)功能。 當(dāng)從一個接口發(fā)送報文時，將按照從小到大的順序號依次查找安全策略組中每一條安全策略。若報文匹配了一條安全策略引用的訪問控制列表，則使用這條安全策略對報文進(jìn)行處理；若報文沒有匹配安全策略引用的訪問控制列表，則繼續(xù)查找下一條安全策略；若報文對所有安全策略引用的訪問控制列表都不匹配，則報文直接被發(fā)送（IPSec不對報文加以保護(hù)）一個接口上只能應(yīng)用一個安全策略組；一個安全策略組只能應(yīng)用在一個接口上。

好的，學(xué)習(xí)完了基礎(chǔ)知識，讓我們應(yīng)用一下唄，這有個小案例，我們可以參考一下。

首先聲明，我們這個案例是一個多通道，也就是有兩條通道。

  因為我們一個acl對應(yīng)一個安全策略，一個安全協(xié)議對應(yīng)一個安全策略，多個安全策略對應(yīng)一個安全策略組，一個策略組對應(yīng)一個端口。

所以我們配置過程中需要有這樣幾條記錄：兩個acl，兩個安全協(xié)議，兩個安全策略，一個安全策略組。

下面是配置的一些截圖，大家參考一下

詳細(xì)配置信息

F1

F2

F3

Sw1

測試結(jié)果

Pc1 ping pc3

Pc2 ping pc3