企业新闻
当前位置:企业新闻

路由器 ipsec site-to-site vpn配置

来源:成都华三 时间:2016-12-11 19:51
 

   一、IPSEC原理

  (一)IPSEC的基本功能

  1、 IPSEC的功能

  IPSEC提供通过IP网络的数据安全传输的机制。确保数据的机密性、完整性、真实性。

  IPSEC是一套协议,不一定特应的机密、认证和算法。

  2、IPSEC的安全性

  数据的机密性:IPSEC在传输时加密数据,保证不被窃听数据,即使被拦截也不可读。

  数据完整性:以确保数据没有被篡改。

  数据原始认证:即确保数据是希望发送者发送的。

  Anti-replay:确保每一个数据包是唯一的非复制的。

  (二)ipsec协议

  1、 IKE:提供一种安全参数协商和创建验证密钥的框架。提供安全密钥交换能力。

  2、 ESP:提供加密和认证。ESP主要用于IPSEC。提供内容加密,也提供认证和完整性检查。提供DES,3DES,AES加密。

  3、 AH:是一种安全协议,提供数据认证。只提供认证和完整性检查,只能提供数据是合法者传送,且数据未被改。提供:HMAC-SHA1、HMAC-MD5、HMAC的认证

  (三)IPSEC的两种模式

  1、隧道模式:加密和保护完整的IP数据包。隧道模式加密或隐藏数据包的IP头。加密设备自身拥有IP地址用于新的报头。可以被ESP和AH或者两者一起部署。因新的IP报头导致增加了约20字节

  2、传输模式:因为隧道模式中数据包扩展约20字节。在转发小的数据包会出现问题。传输模式通过增加ESP和AH在IP头和传输协议和数据间,而 不是增加新的IP报头。所以会有更少的数据包扩展。这种模式和GRE合在一起用很好。因为GRE会增加自已的IP报头。隐藏终端的IP地址。

  标准数据:

 

L2
IP
TCP/UDP 4层以上数据

  传输模式:

 

L2
IP
ESP头或AH
TCP/UDP 4层以上数据
ESP

  隧道模式:

 

L2
新的IP
ESP头或AH
IP
TCP/UDP 4层以上数据
ESP

  (四)IKE(互联网密钥交换)

  IKE的两个阶段:

  1、 IKE SA:

  (1)IKE第一阶段的作用:

  建 立IKE SA 。建立IKE两端的SA。协商IKE策略集,认证对端,为第二阶段IPSEC SA的传输,在端点间建一个安全通信通道。 第一阶段有两种模式:主模式和侵占模式。

  2、IKE 1 阶段有三次协商过程及主要参数:

  (1) IKE SA交换: 协商砍认有关安全策略的过程。交换加密算法、认证算法、认证方法。

  加密算法:如:DES 3DES等

  认证算法:如:MD5 SHA等。

  认证方法:如:pre-share(预共享密钥)、rsa-sig(RSA签名认证)、rsa-ener(RSA加密nonces认证)

  (2)Diffie-heleman密钥交换

  一种公钥交换模式。交换diffie-heleman公共值和辅助信息。加密密钥在这个时候产生。有两组:一组定义了768位算法;一组定义了1024位的MOPP算法。根据这些产生对称密钥。即配IKE中的 group 参数的配置

  (3)认证对端身份

  用于交换双方的ID信息和验证数据。进行身份验证和对整个一阶段的IKE SA交换进行验证。主要是配置这三种认证方法(pre-share(预共享密钥)、rsa-sig(RSA签名认证)、rsa-ener(RSA加密nonces认证))的具体认证参数。前面只是指定了用哪种认证方法,但没有确定每种认证方法的认证参数和内容。这里就是指定选中的认证方法的认证参数和内容。

  2、 IPSEC SA阶段:第二阶段:

  在IKE SA第一阶段创建 的IKE安全通道下,生成IPSEC SA。

  主要是协商IPSEC 参数,建立 IPSEC SA,及协商IPSEC 生命周期等。

  安全联盟SA,也叫 ipsec sa ,也叫转换集。

  SA: 由SPI安全索引、目标IP地址、IPSEC 协议( 包括加密算法、认证算法、传输模式、生命周期)组成。这三项组成唯一的SA。

  二、配置步骤:

  1、 IKE第一阶段的协商配置。ISAKMP的配置。

  加密算法

  认证算法

  认证方法:如:pre-share(预共享密钥)、rsa-sig(RSA签名认证)、rsa-ener(RSA加密nonces认证)

  Diffie-helemen密钥交换

  2、 配置IKE第二阶段。即ipsec sa的配置

  配置: 加密算法

  认证算法

  传输模式

  生命周期

  3、 配置加密映射表,并把ipsec sa关联于加密映射表

  并把访问控制列表应用于加密映射表,设定对端IP地址

  (还可以先配置一个动态加密映射表关联IPSEC SA,再把动态加密映射表关联到加密映射表)

  4、 配置受保护的数据流的访问列表

  配置需要加密的数据流,即受保护的数据。哪些数据可以通过VPN隧道传输到另一方

  用访问控制表列来控制

  5、 把映射表应用于建立VPN隧道的接口

  三、配置实例:

  (一) IKE策略的配置

  (config)#crypto isakmp enable //启用IKE

  (config)#no crypto isakmp enable

  (config)#crypto isakmp policy {policy_number} //定义策略,后面是策略号

  (isakmap)#encryption {des |3des} //定义加密算法

  (isakmp)#hash {sha|md5} //定义散列算法,即认证算法

  (isakmp)#authentication {pre-share | rsa-sig | rsa-encr } //定义认证方法

  Pre-share: 通过手工配置预共享密钥为认证方法。

  Rsa-sig: 要求使用CA并且提供防止抵赖功能。默认值

  Rsa-encr: 不要CA,提供防止抵赖功能。

  (isakmp)#group {1 | 2} //定义diffie-heleman密钥组

  (isakmp)#lifetime {seconds} //定义IKE SA的生命周期

  三种认证方法的配置:

  1、 pre-share

  (config)#crypto isakmp key {key-string } {address | hostname} {peer-address | peer-hostname }

  Key-sting:共享密钥

  例:

  (config)#crypto isakmp key zj8s address 192.168.3.11 //指定对端路由器接口的IP地址或名称。

  (二) IPSEC SA的配置,即IKE第二步的配置

  (config)# crypto ipsec transform-set {name} {ah-md5-hmac | ah-sha-hmac } {esp-des |esp-3des |esp-rfc-1829} //name为变换集名。 后面分别是认证算法和加密算法定义

  (crypto-transfom)#mode {tunnel |transport } //选择模式,是隧 道模式还是传输模式

  (config)#crypto ipsec security-association liftmme seconds {seconds} //按时间定义IPSEC SA全局生命期,当达到一定秒数则生命到期。

  (config)#crypto ipsec security-association liftmme killobytes {killobytes} //按字节数定义IPSEC SA全局生命期。当达到一定的秒数则生命到期。

  (三)定义访问列表,以定义受保护的数据流

  (config)#access-list 101 permit 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255

  (confgi)#access-list 101 deny any any

  (四)定义保密图

  可先定义动态保密图,与变换集相关联,再把动态保密图应用到保密图中。

  也可直接把变换集关联到保密图中。

  2、 定义动态保密图(也叫动态保密映射表)

  (config)#crypto dynamic-map {dynamic-map-name} (dynamic-map-sn) //定义动态保密图名和序号

  (cryptomap)# set transform-set {transform-set-name} //引用定义的变换集,即ipsec SA

  (cryptomap)# match address access-list {lsit-number} //引用受保护的数据流的访问列表

  (cryptomap)#set peer {hostmae |addrss } //设置对端IP地址或名称

  (config)#crypto map {map-name} {map-sequence} ipsec-isakmp dynamic {dyn-map-name}

  //把动态保密图加入到保密图中。

  Ipsec-isakmp:指自动用IKE创建的策略。还可以手动创建IKE策略

  Map-name 和map-sequence是保密图的名和序号

  Dyn-map-name:是上面定义过的动态保密图的名称。

  2、可以直接定义保密图

  config)#crypto map { map-name} {map-sequence} {ipsec-isakmp | ipsec-manual} //定义保密图名和序号。Ipsec-isakmp 是自动用IKE创建策略。 Ipsec-manual是手工创建

  (cryptomap)# set transform-set {transform-set-name} //引用定义的变换集,即ipsec SA

  (cryptomap)# match address access-list {lsit-number} //引用受保护的数据流的访问列表

  (cryptomap)#set peer {hostmae |addrss } //设置对端IP地址或名称

  (五)把保密映射表应用到接口

  (config-if)# crypto map {map-name} // 把保密图应用到接口

  希望我们成都华三网的相关分享可以帮助到您!


上一篇:is-is配置实例
下一篇:成都华三:路由器作NAT和端口映射

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服