IPsec ×××是一種點對點,兩端設備通過網絡建立的安全通道
主要目的是將多個分支機構單獨的局域網,通過虛擬通道連接爲一個虛擬局域網環境,解決了安全問題。
通信雙方在IP層通過加密、完整性校驗、數據認證等方式保證數據傳輸的機密性、完整性和防重性
IPsec架構:
IPsec ×××主要由AH、ESP、IKE協議套件組成
AH:認證數據源、數據完整性但不加密數據報文
ESP:既提供認證也提供加密功能
IKE:用於自動協商AH和ESP使用的密碼算法
SA:安全聯盟,定義×××兩端設備使用的數據封裝協議,認證和加密算法、密鑰等。它是單向的,兩邊要通信至少需要兩個SA
IPsec協議有兩種封裝模式:
- 傳輸模式
AH:ip頭部後面插入AH頭
ESP:ip頭部後面插入ESP頭,數據字段後插入ESP尾部
AH+ESP:ip頭部後插入AH頭和ESP頭,數據字段後插入ESP尾部 - 隧道模式
AH、ESP、AH+ESP:對整個ip包提供加密認證,IPsec會另外生成一個新的ip報頭,封裝在AH和ESP之前。
隧道模式通常AH+ESP聯合使用
配置IPSec ×××步驟:
兩端都要配置
- 配置網絡可達
省略 - 配置ACL識別興趣流
省略 - 創建安全提議
[RTA]ipsec proposal tran1 創建IPSec提議並進入提議試圖
[RTA-acl-proposal-tran1]esp authentication-algorithm sha1 採用ESP安全協議、sha1認證算法和隧道模式(默認情況下使用ESP安全協議、MD5認證算法和隧道模式)
在IPSec提議試圖下這些都可以更改:
transform {ah | ah-esp | esp} 重新配置採用的安全協議
encapsulation-mode {transport | trunnel} 配置傳輸模式或隧道模式
esp authentication-algorithm {md5 | sha1 | sha2-256 | sha2-348 | sha2-512} 配置ESP認證算法
esp encryption-algorithm {des | 3des | aes-128 | aes-192 | aes-256} 配置ESP加密算法
ah authentication-algorithm {md5 | sha1 | sha2-256 | sha2-348 | sha2-512} 配置AH認證算法
display ipsec proposal 驗證查看IPSec提議中配置的參數 - 創建安全策略
[RTA]ipsec policy p1 10 manual 創建策略
這裏需要說明一下 p1 是策略名字(多個相同名字的策略可以組成一個策略組)
10 是策略號(一個策略組可以最多可以有16條安全策略,策略號越高優先級越高)
manual 是指手動建立sa(如果要自動建立需要執行ipsec-policy-template配置指定參數)
[RTA-ipsec-policy-manual-p1-10]security acl 3001 指定策略引用的訪問控制列表
[RTA-ipsec-policy-manual-p1-10]proposal tran1 引用上面建立的安全提議
[RTA-ipsec-policy-manual-p1-10]trunnel remote 20.1.1.2 設置安全隧道對端地址
[RTA-ipsec-policy-manual-p1-10]trunnel local 20.1.1.1 設置安全地址本端地址
[RTA-ipsec-policy-manual-p1-10]sa spi outbound esp 54321 配置安全聯盟出向(outbound)參數索引spi,必須與對端設備入向(inbound)參數索引相同
[RTA-ipsec-policy-manual-p1-10]sa spi outbound esp 12345 配置安全聯盟入向(inbound)參數索引spi,必須與對端設備出向(outbound)參數索引相同
[RTA-ipsec-policy-manual-p1-10]sa string-key outbound esp simple huawei 配置安全聯盟出向認證密鑰,與對端入向相同
[RTA-ipsec-policy-manual-p1-10]sa string-key inbound esp simple huawei 配置安全聯盟入向認證密鑰,與對端出向相同 - 應用安全策略
[RTA]interface gi0/0/1 進入設備外網接口
[RTA-GigabitEthernet0/0/1]ipsec policy p1 端口上應用安全策略組
驗證命令:
display ipsec policy 查看IPSec策略
遠程用戶或移動用戶訪問本地網絡,叫VPDN
子公司和總部連接,叫內部×××
兩個聯盟公司連接,叫擴展×××
IPsec ××× 就是點對點,兩端的設備通過公網建立的一種×××。
其主要目的是將多個分支機構單獨的局域網,通過虛擬通道連接爲一個虛擬局域網環境,解決了安全問題。
2tp ××× 則是客戶端和服務端的關係,是一種撥入連接方式,一種協議,除了L2tp 還有 ppp ssl 都屬於撥入連接方式。
其主要目的是爲了使外網終端訪問內網資源,方便移動辦公,同樣解決安全問題。
MPLS ××× 則是一種運營商骨幹網上的MPLS 和 ××× 相結合的產品,對用戶來說完全透明。
其主要目的是既解決了安全問題的同時還可以通過MPLS的能力來解決兩端通信質量的問題。
傳輸模式:不隱藏源和目的ip
隧道模式:真是的源和目的被×××保護