1. IPSec 協議
IPSec 是一系列網絡安全協議的總稱,它是由IETF(Internet Engineering Task
Force,Internet 工程任務組)開發的,可爲通訊雙方提供訪問控制、無連接的完整
性、數據來源認證、反重放、加密以及對數據流分類加密等服務。
IPSec 是網絡層的安全機制。通過對網絡層包信息的保護,上層應用程序即使沒有
實現安全性,也能夠自動從網絡層提供的安全性中獲益。這打消了人們對***
(Virtual Private Network,虛擬專用網絡)安全性的顧慮,使得*** 得以廣泛應
用。
2. IPSec 對報文的處理過程
IPSec 對報文的處理過程如下(以AH 協議爲例):
(1) 對報文添加認證頭:從IPSec 隊列中讀出IP 模塊送來的IP 報文,根據配置選
擇的協議模式(傳輸或是隧道模式)對報文添加AH 頭,再由IP 層轉發。
(2) 對報文進行認證後解去認證頭:IP 層收到IP 報文經解析是本機地址,並且協
議號爲51,則查找相應的協議開關表項,調用相應的輸入處理函數。此處理
函數對報文進行認證和原來的認證值比較,若相等則去掉添加的AH 頭,還原
出原始的IP 報文再調用IP 輸入流程進行處理;否則此報文被丟棄。
3.與IPSec 相關的幾個術語
1.數據流:
在 IPSec 中,一組具有相同源地址/掩碼、目的地址/掩碼和上層協議
的數據集稱爲數據流。通常,一個數據流採用一個訪問控制列表(acl)來定
義,所有爲ACL 允許通過的報文在邏輯上作爲一個數據流。爲更容易理解,
數據流可以比作是主機之間一個的TCP 連接。IPSec 能夠對不同的數據流施
加不同的安全保護,例如對不同的數據流使用不同的安全協議、算法或密鑰。
2. 安全策略:
由用戶手工配置,規定對什麼樣的數據流採用什麼樣的安全措施。
對數據流的定義是通過在一個訪問控制列表中配置多條規則來實現,在安全策
略中引用這個訪問控制列表來確定需要進行保護的數據流。一條安全策略由
“名字”和“順序號”共同唯一確定。
3.安全策略組:
所有具有相同名字的安全策略的集合。在一個接口上,可應用或
者取消一個安全策略組,使安全策略組中的多條安全策略同時應用在這個接口
上,從而實現對不同的數據流進行不同的安全保護。在同一個安全策略組中,
順序號越小的安全策略,優先級越高。
4.安全聯盟
(Security Association,簡稱SA):IPSec 對數據流提供的安全服
務通過安全聯盟SA 來實現,它包括協議、算法、密鑰等內容,具體確定瞭如
何對IP 報文進行處理。一個SA 就是兩個IPSec 系統之間的一個單向邏輯連
接,輸入數據流和輸出數據流由輸入安全聯盟與輸出安全聯盟分別處理。安全
聯盟由一個三元組(安全參數索引(SPI)、IP 目的地址、安全協議號(AH
或ESP))來唯一標識。安全聯盟可通過手工配置和自動協商兩種方式建立。
手工建立安全聯盟的方式是指用戶通過在兩端手工設置一些參數,然後在接口
上應用安全策略建立安全聯盟。自動協商方式由IKE 生成和維護,通信雙方基
於各自的安全策略庫經過匹配和協商,最終建立安全聯盟而不需要用戶的幹
預。
5.安全聯盟超時處理:
安全聯盟更新時間有“計時間”(即每隔定長的時間進行
更新)和“計流量”(即每傳輸一定字節數量的信息就進行更新)兩種方式。
安全參數索引(SPI):是一個32 比特的數值,在每一個IPSec 報文中都攜
帶該值。SPI、IP 目的地址、安全協議號三者結合起來共同構成三元組,來唯
一標識一個特定的安全聯盟。在手工配置安全聯盟時,需要手工指定SPI 的取
值。爲保證安全聯盟的唯一性,每個安全聯盟需要指定不同的SPI 值;使用IKE
協商產生安全聯盟時,SPI 將隨機生成。
安全提議:包括安全協議、安全協議使用的算法、安全協議對報文的封裝形式,
規定了把普通的IP 報文轉換成IPSec 報文的方式。在安全策略中,通過引用
一個安全提議來規定該安全策略採用的協議、算法等。
實驗:
實現192.168.1.0網段和2.0 、3.0互通
設備:
H3C F100-C 2臺
H3C R2621 2臺
計算機 3臺
步驟:
FW1int eth0/1
ip add 192.168.20.200
int eth0/2
ip add 192.168.2.1
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.20.1
指定IKE(Internet Key Exchange)模塊配置信息
ike peer R1 指定IKE網關
pre-shared-key 123456 指定預共享密鑰
remote-address 192.168.10.200 指定對端IP地址 指定安全隧道的起點與終點
local-address 192.168.20.200 指定本端IP地址
acl number 3000
acl 3000
rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule permit ip source any destination any
quit
ipsec proposal R1指定IPSec(IP Security)模塊配置信息
,配置IPSec安全提議,安全提議的名字
encapsulation-mode tunnel 指定安全協議的報文封裝模式,採用隧道模式封裝保護整個IP報文
安全協議數據封裝格式
transform esp 設置用於對報文進行轉換的安全協議,RFC2406定義的ESP協議
esp authentication-algorithm md5 指定ESP(RFC2406)協議的參數
,指定IPSec安全協議的驗證算法,使用HMAC-MD5-96算法
esp encryption-algorithm des 指定IPSec安全協議的加密算法,使用DES
quit
指定IPSec(IP Security)模塊配置信息
ipsec policy test 10 isakmp 配置IPSec安全策略的名稱;安全策略的順序號;使用IKE協商建立安全聯盟,指定模式
security acl 3000 指定由此安全策略保護的報文,由訪問列表號來指定報文
ike-peer R1 設置IPSec安全策略的安全網關,IKE安全網關的名字
proposal R1 設置IPSec安全策略中引用的安全提議,IPSec安全提議的名字
firewall zone trust 進入防火牆命令組,指定安全區域的配置,受信安全區域
add interface Ethernet0/1 增加一個接口到安全區域,以太網接口
add interface Ethernet0/2
int eth0/1 進入接口配置視圖
ipsec policy test 在接口上應用IPSec安全策略組
FW2int eth0/1
ip add 192.168.30.200
int eth0/2
ip add 192.168.3.1
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.30.1
ike peer R1
pre-shared-key 123456
remote-address 192.168.10.200
local-address 192.168.30.200
acl number 3000
acl 3000
rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule permit ip source any destination any
quit
ipsec proposal R1
encap tunnel
transform esp
esp authen md5
esp enc des
quit
ipsec policy test 10 isakmp
security acl 3000
ike-peer R1
proposal R1
firewall zone trust
add interface Ethernet0/1
add interface Ethernet0/2
int eth0/1
ipsec policy test
R1
int e1
ip add 192.168.1.1
int s1
ip add 192.168.10.200
shu un shu
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule permit ip source any destination any
acl 3001
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule permit ip source any destination any
ipsec proposal FW1 安全提議的名字
encap tunnel 封裝模式: 隧道模式
transform esp 報文轉換,ESP協議
esp authen md5 ESP協議: 驗證 md5-hmac-96
esp enc des des算法加密
quit
ipsec proposal FW2
encap tunnel
transform esp
esp authen md5
esp enc des
quit
ipsec policy test 10 isakmp
sec acl 3000
proposal FW1
tun local 192.168.10.200
tun remote 192.168.20.200
ipsec policy test 20 isakmp
sec acl 3001
proposal FW2
tun local 192.168.10.200
tun remote 192.168.30.200
ipsec policy test 10 manual 協商方式爲手工方式
在手工創建的安全策略聯盟中,若引用的安全提議中包括了 AH 協議,則要手工爲
出/入的通信流量設置AH 安全聯盟SPI 和使用的認證密鑰;若引用的安全提議中包
括了ESP 協議,則要手工爲出/入的通信流量設置ESP 安全聯盟SPI 和使用認證密
鑰與加密密鑰。
在安全隧道的兩端,本端的輸入安全聯盟SPI及密鑰必須和對端的輸出安全聯盟SPI
及密鑰保持一致;本端的輸出安全聯盟SPI 及密鑰必須和對端的輸入安全聯盟SPI
及密鑰保持一致。
sa in esp spi 12345 指定手工安全聯盟的SPI參數
sa in esp string-key abcdefg 以字符串格式設置安全聯盟的密鑰
sa out esp spi 54321
sa out esp string abcdefg
quit
ike pre-shared-key 123456 remote 192.168.10.200
ike pre-shared-key 123456 remote 192.168.20.200
int s1
ipsec policy test
R2
int s1
ip add 192.168.10.1
int e0
ip add 192.168.20.1
int e1
ip add 192.168.30.1
測試成功:
