基礎八 GRE及IPsec隧道技術

WAN技術：廣域網技術

專線方式（租用線路）：價格高，安全穩定，帶寬有保證
撥號：ISDN 帶寬低走電話線
幀中繼：比專線便宜，帶寬也比較高

VPN技術：（跨互聯網），需要公網IP地址，價格低廉，穩定性取決於上網穩定性，不需要經過運營商，設備支持即可
例如：二層VPN技術：L2F、PPTP、L2TP 、MPLS
三層VPN技術：GRE、IPsec
應用層VPN：SSL (SSH HTTPS)
GRE:通用路由封裝，對數據不支持加密,存在安全性問題屬於隧道技術協議號：47
1、首先要保證兩邊的路由器設備外部公網接口要能通信
2、創建隧道接口
interface Tunnel 1
ip address 10.1.1.2 255.255.255.0
mtu 1476
tunnel source GigabitEthernet0/0
tunnel destination 100.1.1.2
3、配置通往對方內部網絡的路由
可以使用靜態路由
可以使用動態路由

華爲GRE配置：
1、 interface Tunnel0/0/1 創建隧道接口
description connect-to-bj 描述信息
ip address 10.1.1.1 255.255.255.0 隧道的IP地址
tunnel-protocol gre 隧道的協議採用GRE
source 200.1.1.2 隧道的源
destination 100.1.1.2 隧道的目的
2、配置路由

ipsec: 一套IP安全協議，主要的封裝協議有2種：AH、ESP。只支持IP單播，支持加密技術
ipsec是隧道技術、加密技術、認證技術、訪問控制技術的集成
能夠保證數據的機密性、完整性、不可否認性及防止數據重放

   加密技術：
       對稱加密技術：算法相對簡單、加密速度快、加密的祕鑰和解密的祕鑰是同一個,一般用於加密數據部分
	                 DES、3DES、AES
	   非對稱加密技術：算法很複雜，加密速度比對稱加密算法慢很多，加密使用的祕鑰和解密使用的祕鑰不是同一個
	                 RSA、DSA、DH   可以用於加密對稱算法使用的密碼
					 是一對祕鑰：公鑰用於公開，私鑰一定要安全的保存好
					             公鑰加密，用私鑰解密，保證數據的機密性
					             私鑰加密，用公鑰解密，不保證數據機密性，用於驗證身份，保證數據的不可否認性，可以實現數字簽名
   認證算法：哈希算法 MD5 、SHA-1  不可逆運算  用於完整性校驗
            對任意數據進行哈希計算後，生成的值是固定長度，已知MD5的值，也知道算法，還原原文件，不可以
   DH算法：用於生成加密數據的密碼
   設備驗證的方法：
                  預共享對稱密碼
				  預共享非對稱密碼
				  數字證書
   
   隧道協議：AH：認證頭協議  支持數據完整性，不支持數據的機密性  協議號：51
             ESP ：安全的封裝載荷協議，既可以加密，也可以保證數據完整性  協議號：50
   封裝方式：隧道方式：更安全   一般用於跨越公網
             傳輸方式：更簡便   一般用於私網內部
   IKE協議：互聯網祕鑰交換協議，核心是DH算法，使用UDP,端口號是500
   
   SA（安全聯盟）：就是保證數據安全的一套算法

ipsec工作過程：
先要有感興趣流量（就是要通過Ipsec加密的數據，一般使用擴展ACL來控制）通過
第一階段：會生成IKE的SA
主模式：MM 使用6個報文前4個報文是明文，後2個是密文
第一個和第二個報文用來協商Ike策略
第三個和第四個報文用DH算法交換祕鑰，其實就是各自本地生成祕鑰，祕鑰正好相同
第五個和第六個報文用來做設備驗證，驗證通過纔會進入到第二階段，否則終止會話
積極模式：AM 使用3個報文
配置：
crypto isakmp policy 10 全局模式配置
encryption aes 配置第一階段的加密算法
authentication pre-share 配置第一階段的設備驗證方法
hash sha 配置第一階段的哈希算法
group 5 配置第一階段的DH算法
lifetime 10000 配置IKE的SA的生存週期
crypto isakmp key cisco123 address 200.1.1.1 設置使用預共享祕鑰方法做設備驗證的祕鑰

   第二階段：通過IKE的SA保護，生成IPSEC的SA
            快速模式：QM,使用3個報文，全是加密的
		配置：crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
		      第二階段要使用esp來做封裝協議，並且使用3DES做加密，SHA做哈希，隧道模式封裝
   使用ipsec的SA加密數據
        配置MAP，然後在外部接口調用MAP
		crypto map vpnmap 20 ipsec-isakmp 全局配置
           set peer 200.1.1.1            設置peer的地址
           set transform-set to-fenzhi   設置調用的transform-set
           match address 100             設置調用的ACL
		interface ethernet 0/0
		   crypto map vpnmap    接口調用MAP

如果ipsec VPN要和NAT結合使用：
注意：需要在NAT的ACL中將ipsec的vpn流量拒絕掉

完整Cisco的ipsec VPN配置：
總部：
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
!

interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
!

ip route 0.0.0.0 0.0.0.0 100.1.1.2
!
ip nat inside source list 110 interface Ethernet0/0 overload
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 remark for_NAT
!
分支：
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 5000
crypto isakmp key cisco123 address 100.1.1.1
!
!
crypto ipsec transform-set to-zongbu esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 100.1.1.1
set transform-set to-zongbu
match address 100
!

interface Ethernet0/0
ip address 200.1.1.1 255.255.255.0
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
half-duplex
!

ip route 0.0.0.0 0.0.0.0 200.1.1.2
!
!
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
!
如果一個設備有2個或者多個VPN連接，配置如下：
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
crypto isakmp key cisco123 address 120.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
crypto map vpnmap 30 ipsec-isakmp
set peer 120.1.1.1
set transform-set to-fenzhi
match address 150

access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 150 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255

interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
crypto map vpnmap

華爲的基本配置方式：
acl number 3000 定義感興趣的數據流
rule 5 permit ip source 192.168.1.10 0 destination 192.168.2.10 0

ipsec proposal 10 定義第二階段安全策略
esp encryption-algorithm aes-128

ike proposal 2 定義第一階段安全策略
encryption-algorithm 3des-cbc
dh group5
sa duration 10000

ike peer shanghai v1 定義對等體信息
pre-shared-key simple huawei123
remote-address 200.1.1.1

ipsec policy my-policy 20 isakmp 定義使用IKE來協商IPSEC
security acl 3000 調用ACL
ike-peer shanghai 調用對等體
proposal 10 調用第二階段策略

interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.0
ipsec policy my-policy 在外網接口調用ipsec策略

如果ipsec VPN要和NAT結合使用：
注意：需要在NAT的ACL中將ipsec的vpn流量拒絕掉

基礎八 GRE及IPsec隧道技術

通過HPA+CronHPA組合應對業務複雜彈性伸縮場景

python電子版

構建數據包，Ansible

畫圖

Ansible-playbook

電子郵件

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結