忙了一天,總算有時間繼續博客了。那麼進入今天的正題——IPsec
什麼是IPsec:除了實現之前說的GRE Tunnel的通道功能意外,還實現數據加密。博主以前也一再以爲IPsec就是***協議之類的
,但人家不是協議啦,而是一個框架。那麼IPsec有那些協議呢?
1、IKE(Internet Key Exchange);
2、ESP(Encapsulating Security Protocol);
3、AH(Authentication Header);
3個協議 一個個來擊破吧!
IKE(Internet Key Exchange)
IKE是個混合協議(混合了Oakley和ISAKMP:Internet Security Association and Key Management Protocol)
首先,IPSec是能實現加密(密鑰)、數據兩個功能
1、密鑰:首先需要有對等體的認證技術,也就是PSK、PKI、RSA
2、保證密鑰的安全:上述的密鑰可能人爲或者數據串改導致密鑰也是假的,所以我們也要對密鑰進行加密也就是密鑰算法(Diffie-Hellman)包括Group 1、2、3
加密之後就是數據了,也就是SA(Security Association)。IPsec的所有會話都是在通道中傳輸的,包括協商密鑰,傳遞用戶數據;這樣的通道稱爲SA,但SA並不是隧道,而是一組規則,就好比是需要會話的對等體之間必須遵守的一份合同。
那麼SA也分爲2個:
1、IKE SA:主要保護對象是密鑰,他無視數據,是爲安全協商IPsec SA服務的。
2、IPsec SA:主要保護對象是數據。所有數據傳輸都是在這個通道里實現的。
所以呢,SA有個自己的表,尤其是IPSec SA都把數據存放在 SA Database裏。
不論是IKE SA還是IPsec SA,其實都是和IKE有關。所以,IKE SA 和 IPsec SA也代表着IKE的2個階段
,這2個階段的具體內容等配置的時候再講。
ESP(Encapsulating Security Protocol) 協議號 50
ESP更多的爲數據安全服務。【在我學習的資料上給我的感覺IKE、ESP、AH是3個獨立的協議,但個人感覺應該不是這樣,ESP和AH其實更多的是爲IKE的第二個階段 IPsec SA服務。不知道各位大神我這樣理解對不對】
那麼,ESP主要是通過加密算法:DES,3DES,AES 128,AES 192,AES 256,默認爲DES。來實現數據的機密性和完整性的。
AH(Authentication Header) 協議號 51
AH主要是實現數據加密後的驗證。
通過hash(HMAC):HA-1,MD5,默認爲SHA-1
IPsec配置
IPSec配置可以分爲2個階段
1、IKE Phase One(IKE SA)
認證:
1、 Pre-Shared Keys (PSK);
2、Public Key Infrastructure (PKI) using X.509 Digital Certificates;
3、RSA encrypted nonce;
密鑰算法(Diffie-Hellman):
1、Group 1:加密長度768bit;
2、Group 2:加密長度1024bit;
3、Group 3:加密長度1536bit;
加密算法(Encryption):DES,3DES,AES 128,AES 192,AES 256
Hash算法(HMAC):SHA-1,MD5
2、IKE Phase Two(IPSec SA)
加密算法(Encryption):DES,3DES,AES 128,AES 192,AES 256
Hash算法(HMAC):SHA-1,MD5
具體配置如下:
1、IKE Phase One
crypto isakmp policy 1
encryption 3des
hash sha
authentication pre-share
group 2
crypto isakmp key 0 cisco address [peer ip address]
2、IKE Phase Two
crypto ipsec transform-set *** esp-3des esp-sha-hmac
access-list 100 permit ip [需要***的地址範圍]
crypto map m*** 1 ipsec-isakmp
set peer [peer ip address]
set transform-set ***
match address 100
interface [interface]
crypto map m***