IPSec作爲新一代網絡安全協議,爲網絡傳輸提供了安全保證,使端到端的數據保密成爲可能,是互聯網上的新一代安全標準。提供包括訪問控制、無連接的完整性、數據源認證、抗重放 (replay)保護、保密和有限傳輸保密性在內的服務,服務基於IP層並對IP及上層協議進行保護。服務的實施通過兩種通信安全協議:認證頭(AH)和封裝安全負載(ESP)以及Internet密鑰交換(IKE)協議來達到這些目標。
IP AH協議提供數據源認證、無連接的完整性和可選的抗重放服務。ESP協議提供數據保密性,有限的數據流保密性、數據源認證、無連接的完整性及抗重放服務。IKE協議用於協商AH和ESP協議所使用的密碼算法,並將算法所需的必備密鑰放在合適的位置。IPSec有兩種模式:傳輸模式和隧道模式。它們都是對外出的數據包添加IPSec頭進行加密和認證,而對於接收的IPSec數據包作解密認證處理和適當的轉發傳送
以下是一個使用RouterOS建立的IPsec ***案例,網絡拓撲圖:
需要IPsec ***互聯的網絡環境:
192.168.88.1/24 --- R1 --- 192.168.11.11/24 --- 互聯網 --- 192.168.11.18/24 --- R2 --- 192.168.103.1/24
R1配置
進入ip address裏面添加內網接口地址:
再添加外網接口地址:
進入ip routes裏面添加網關出口:
進入ip ipsec裏面policies的general選項添加內網的源地址和需要做ipsec的對端內網地址。
再在action選項裏面添加源外網地址和對端外網地址和開啓tunnel隧道協議
在ip ipsec裏的peers標籤裏添加目標外網ip地址和secert密碼:
再在ip firewall裏面的nat標籤建立源內網地址和對端內網地址
在建立nat的轉換chain選擇srcnat:
在action裏面選擇masquerade:
以上就是R1在winbox裏面的配置過程。R1已經配置完成現在就R2了。
R2配置
進入ip address裏面添加內網接口地址:
再添加外網接口地址:
進入ip routes裏面添加網關出口:
進入ip ipsec裏面policies的general選項添加內網的源地址和需要做ipsec的對端內網地址:
再在action選項裏面添加源外網地址和對端外網地址和開啓tunnel隧道協議:
再在ip ipsec裏的peers標籤裏添加對端外網ip地址和secert密碼:
再在ip firewall裏面的nat標籤建立源內網地址和對端內網地址:
再在action裏面選擇accept:
在建立nat的轉換:
再在acion裏面選擇masquerade:
以上就是R2的配置過程。
注意:NAT規則的配置的上下順序,accept規則需在masquerade僞裝規則前: