基础八 GRE及IPsec隧道技术

WAN技术：广域网技术

专线方式（租用线路）：价格高，安全稳定，带宽有保证
拨号：ISDN 带宽低 走电话线
帧中继：比专线便宜，带宽也比较高

VPN技术：（跨互联网），需要公网IP地址，价格低廉，稳定性取决于上网稳定性，不需要经过运营商，设备支持即可
例如：二层VPN技术：L2F、PPTP、L2TP 、MPLS
三层VPN技术：GRE、IPsec
应用层VPN：SSL (SSH HTTPS)
GRE:通用路由封装，对数据不支持加密,存在安全性问题 属于隧道技术 协议号：47
1、首先要保证两边的路由器设备外部公网接口要能通信
2、创建隧道接口
interface Tunnel 1
ip address 10.1.1.2 255.255.255.0
mtu 1476
tunnel source GigabitEthernet0/0
tunnel destination 100.1.1.2
3、配置通往对方内部网络的路由
可以使用静态路由
可以使用动态路由

华为GRE配置：
1、 interface Tunnel0/0/1 创建隧道接口
description connect-to-bj 描述信息
ip address 10.1.1.1 255.255.255.0 隧道的IP地址
tunnel-protocol gre 隧道的协议采用GRE
source 200.1.1.2 隧道的源
destination 100.1.1.2 隧道的目的
2、配置路由

ipsec: 一套IP安全协议，主要的封装协议有2种：AH、ESP。只支持IP单播，支持加密技术
ipsec是隧道技术、加密技术、认证技术、访问控制技术的集成
能够保证数据的机密性、完整性、不可否认性及防止数据重放

   加密技术：
       对称加密技术：算法相对简单、加密速度快、加密的秘钥和解密的秘钥是同一个,一般用于加密数据部分
	                 DES、3DES、AES
	   非对称加密技术：算法很复杂，加密速度比对称加密算法慢很多，加密使用的秘钥和解密使用的秘钥不是同一个
	                 RSA、DSA、DH   可以用于加密对称算法使用的密码
					 是一对秘钥：公钥用于公开，私钥一定要安全的保存好
					             公钥加密，用私钥解密，保证数据的机密性
					             私钥加密，用公钥解密，不保证数据机密性，用于验证身份，保证数据的不可否认性，可以实现数字签名
   认证算法：哈希算法 MD5 、SHA-1  不可逆运算  用于完整性校验
            对任意数据进行哈希计算后，生成的值是固定长度，已知MD5的值，也知道算法，还原原文件，不可以
   DH算法：用于生成加密数据的密码
   设备验证的方法：
                  预共享对称密码
				  预共享非对称密码
				  数字证书
   
   隧道协议：AH：认证头协议  支持数据完整性，不支持数据的机密性  协议号：51
             ESP ：安全的封装载荷协议，既可以加密，也可以保证数据完整性  协议号：50
   封装方式：隧道方式：更安全   一般用于跨越公网
             传输方式：更简便   一般用于私网内部
   IKE协议：互联网秘钥交换协议，核心是DH算法，使用UDP,端口号是500
   
   SA（安全联盟）：就是保证数据安全的一套算法

ipsec工作过程：
先要有感兴趣流量（就是要通过Ipsec加密的数据，一般使用扩展ACL来控制）通过
第一阶段：会生成IKE的SA
主模式：MM 使用6个报文 前4个报文是明文，后2个是密文
第一个和第二个报文 用来协商Ike策略
第三个和第四个报文 用DH算法交换秘钥，其实就是各自本地生成秘钥，秘钥正好相同
第五个和第六个报文 用来做设备验证，验证通过才会进入到第二阶段，否则终止会话
积极模式：AM 使用3个报文
配置：
crypto isakmp policy 10 全局模式配置
encryption aes 配置第一阶段的加密算法
authentication pre-share 配置第一阶段的设备验证方法
hash sha 配置第一阶段的哈希算法
group 5 配置第一阶段的DH算法
lifetime 10000 配置IKE的SA的生存周期
crypto isakmp key cisco123 address 200.1.1.1 设置使用预共享秘钥方法做设备验证的秘钥

   第二阶段：通过IKE的SA保护，生成IPSEC的SA
            快速模式：QM,使用3个报文，全是加密的
		配置：crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
		      第二阶段要使用esp来做封装协议，并且使用3DES做加密，SHA做哈希，隧道模式封装
   使用ipsec的SA加密数据
        配置MAP，然后在外部接口调用MAP
		crypto map vpnmap 20 ipsec-isakmp 全局配置
           set peer 200.1.1.1            设置peer的地址
           set transform-set to-fenzhi   设置调用的transform-set
           match address 100             设置调用的ACL
		interface ethernet 0/0
		   crypto map vpnmap    接口调用MAP

如果ipsec VPN要和NAT结合使用：
注意：需要在NAT的ACL中将ipsec的vpn流量拒绝掉

完整Cisco的ipsec VPN配置：
总部：
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
!

interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
!

ip route 0.0.0.0 0.0.0.0 100.1.1.2
!
ip nat inside source list 110 interface Ethernet0/0 overload
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 remark for_NAT
!
分支：
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 5000
crypto isakmp key cisco123 address 100.1.1.1
!
!
crypto ipsec transform-set to-zongbu esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 100.1.1.1
set transform-set to-zongbu
match address 100
!

interface Ethernet0/0
ip address 200.1.1.1 255.255.255.0
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
half-duplex
!

ip route 0.0.0.0 0.0.0.0 200.1.1.2
!
!
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
!
如果一个设备有2个或者多个VPN连接，配置如下：
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
crypto isakmp key cisco123 address 120.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
crypto map vpnmap 30 ipsec-isakmp
set peer 120.1.1.1
set transform-set to-fenzhi
match address 150

access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 150 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255

interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
crypto map vpnmap

华为的基本配置方式：
acl number 3000 定义感兴趣的数据流
rule 5 permit ip source 192.168.1.10 0 destination 192.168.2.10 0

ipsec proposal 10 定义第二阶段安全策略
esp encryption-algorithm aes-128

ike proposal 2 定义第一阶段安全策略
encryption-algorithm 3des-cbc
dh group5
sa duration 10000

ike peer shanghai v1 定义对等体信息
pre-shared-key simple huawei123
remote-address 200.1.1.1

ipsec policy my-policy 20 isakmp 定义使用IKE来协商IPSEC
security acl 3000 调用ACL
ike-peer shanghai 调用对等体
proposal 10 调用第二阶段策略

interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.0
ipsec policy my-policy 在外网接口调用ipsec策略

如果ipsec VPN要和NAT结合使用：
注意：需要在NAT的ACL中将ipsec的vpn流量拒绝掉