Heim  >  Artikel  >  Betrieb und Instandhaltung  >  So konfigurieren Sie IPsec-Anweisungen

So konfigurieren Sie IPsec-Anweisungen

王林
王林nach vorne
2023-05-12 14:13:133348Durchsuche

So konfigurieren Sie IPsec-Anweisungen

Experimentelle Konfigurationsschritte:

Erste Stufe: iaskmp SA (das durch IKE SA zu schützende Objekt). bezieht sich auf Schlüssel)

IKE kümmert sich nicht direkt um Benutzerdaten, und IKE SA dient der sicheren Aushandlung von IPSec SA

1 digitales Zertifikat

IKE verwendet den Diffie-Hellman-Algorithmus und der Schlüssel wird vom Peer berechnet.
group1 Die Schlüssellänge beträgt 768 Bit
group2 Die Schlüssellänge beträgt 1024 Bit#🎜 🎜#Gruppe5 und die Schlüssellänge beträgt 1536 Bit.
Der Wert des für die Datenverschlüsselung verwendeten Schlüssels wird vom Algorithmus berechnet und kann vom Administrator nicht definiert und geändert werden Nachbarn)

Zweite Stufe: IPsec SA (der Datenverkehr des Benutzers wird tatsächlich auf IPSec SA übertragen)

IPSec SA fließt direkt für Benutzerdaten Service, alle Sicherheitsrichtlinien in IPSec SA sind für die Sicherheit des Benutzerdatenflusses

1. Datenkapselungsprotokoll (ESPAH ist ein Sicherheitsprotokoll)

2. Arbeitsmodus (Übertragung transparent)

#🎜🎜 #3, Verschlüsselungsalgorithmus (DES3DESAES)

4, Authentifizierungsmethode (MD5SHA)

Die dritte Stufe: Definieren Sie den Interessenfluss (Kommunikationsnetzwerksegment, basierend auf erweiterter ACL)

Phase 4: Security Association (SA)

1. Nachbarn überprüfen


2. Datenverschlüsselungsmethode#🎜​​​                                                             #configure terminal

Router(config)#hostname R1                                                               Bug datetime localtime
R1(config) #service Zeitstempel Protokoll DatumUhrzeit Ortszeit

R1(config)#interface f0/1                                   )#Nr. Herunterfahren                                                                                    🎜#R1( config-if)#IP-Adresse 12.1.1.1 255.255.255.0                              0

R1( config-if)#kein Herunterfahren
R1(config-if)#exit ## 🎜🎜#R1(config)#interface tunnel10                                                                                                                                                                                         bis if)# IP-Adresse 172.16.1.1 255.255.255.0

R1(config -if)#Tunnelmodus gre ip

R1(config-if)#kein Herunterfahren

R1(config )#ip route 192.168.1.0 255.255.255.0 tunnel10

#🎜🎜 #R1(config)#crypto isakmp-Richtlinie 10 IKE-Authentifizierungsrichtlinie für die erste Phase (Schlüsselsicherheit gewährleisten)


R1( config-isakmp)#authentication pre-share Authentication method

R1 (config-isakmp)#encryption des IKE Phase 1.5-Verschlüsselung (Datenverschlüsselung, Verschlüsselungsmethode, Standard ist DES)
R1( config-isakmp)#Gruppe-2-Schlüsselalgorithmus (Diffie-Hellman)
group1(768bit ), Gruppe2(1024bit), Gruppe5(1536bit), der Standardwert ist Gruppe1

R1(config-isakmp )#hash MD5-Authentifizierungsmethode
R1(config-isakmp)#exit#🎜🎜 #R1(config)#crypto isakmp key 6 Cisco-Adresse 23.1.1.3 255.255.255.0 Authentifizierung

R1 (config)#crypto isakmp keepalive 10 3 DPD alle 10 Sekunden senden, um ×××-Einrichtung zu erkennen, falls vorhanden Kommt innerhalb von 3 Sekunden keine Antwort, senden Sie sie dreimal #
R1(cfg-crypto-trans)#Modus Tunnelmodus, die Standardeinstellung ist der Tunnelmodusmodus

R1(cfg-crypto-trans)#exit

R1(config)#IP-Zugriffsliste erweitert interessiert Definition des interessierten Flusses

R1 (config-ext-nacl)#permit gre host 12.1.1.1 host 23.1.1.3 Der Host für die lokale Kommunikation und der Host für die Peer-Kommunikation
R1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 Tunnelmodus definiert den Fluss von Interesse

R1(config-ext-nacl)#exit

R1(config)#crypto map IPSec *** 10 ipsec-isakmp-Sicherheitszuordnung (verbunden mit der oben genannten Datenkapselungsmethode, interessierter Fluss)

R1(config-crypto-map)# set peer 23.1.1.3 #🎜🎜 #

R1(config-crypto-map)#set transform-set Cisco

R1(config-crypto-map)#Match-Adresse interessiert
R1(config-crypto-map ) #exit
R1(config)#interface f0/0                                                    nat
R1(config-ext-nacl)#10 erlauben ip 0.0.0.255 any
R1(config-ext- nacl)#exit
R1(config)#int loop0# 🎜🎜#R1(config-if)#ip nat inside
R1(config-if)#int s0/0
R1( config-if)#ip nat außerhalb
R1(config- if)#exit
R1(config)#ip nat innerhalb der Quellliste nat int f0/0 Überlastung
R1(config)#ip nat inside source static udp 192.168.2.2 4500 interface f0/0 4500#🎜 🎜#R1(config)#ip nat inside source static udp 192.168.2.2 500 interface f0/0 500


R3
Router>aktivieren                 
Router#Terminal konfigurieren
Router(config)#Hostname                                                time
R3(config)#service timestamps log datetime localtime
R3(config) #Interface F0/0 Herunterfahren 🎜#R3 (config-if) #exit 255.255.0
R3 (config- if) #no stilldown
r3 (config-if)#exit# 🎜🎜#
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R3(config)# interface tunnel11                      
R3(config-if)#tunnel source 23.1. 1.3
R3(config-if)#tunnelziel 12.1.1.1                                                                                           255.255.255.0
R3(config-if)#tunnel mode gre ip
R3(config-if)#kein Herunterfahren #🎜🎜 #R3(config-if)#exit
R3(config )#ip route 10.1.1.0 255.255.255.0 tunnel11

R3(config)#crypto isakmp Policy 10
R3( config-isakmp)#authentication pre-share
R3(config -isakmp)#encryption des
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5#🎜 🎜#R3(config-isakmp)#exit
R3( config)#crypto isakmp key 6 Cisco-Adresse 12.1.1.1 255.255.255.0

R3(config)#crypto ipsec transform-set Cisco esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit

R3(config)# IP-Zugriffsliste erweitert interessiert
R3(config-ext-nacl)#permit gre host 23.1.1.3 host 12.1.1.1
R3(config-ext-nacl)#exit
#🎜🎜 #R3(config)#crypto map IPSec*** 10 ipsec-isakmp
R3(config-crypto-map)#peer 12.1.1.1
R3(config-crypto-map)#set transform- set cisco
R3(config-crypto-map)#Match-Adresse interessiert
R3(config-crypto-map)#exit

R3(config)#interface serial 0/1
R3(config-if)#crypto map IPSec** *

IPSec hat auch die Nachteile einer komplizierten Konfiguration, verbraucht mehr Rechenressourcen, erhöht die Latenz und unterstützt kein Multicast #
Richtlinie anzeigen:
Krypto-isakmp-Richtliniendefinition anzeigen Gemeinsamer Domänenschlüssel stellt ***-Verbindung her
Aktive Krypto-Engine-Verbindungen anzeigen Anzahl der verschlüsselten und entschlüsselten Pakete anzeigen

Clear crypto isakmp Clear IKE erste Phase

# 🎜🎜#clear crypto sa Clear IKE zweite Phase


Verkehrsoptimierung:

Zugriff -list 101 erlauben esp host 12.1.1.1 host 23.1.1.3 #🎜 🎜#
#? 🎜🎜#

Zuerst gibt es MM (Hauptmodus) und Brutal-Modus in der ersten Stufe und QM (Schnellmodus) in der zweiten Stufe.

Zweitens die letzten beiden Nachrichten im Hauptmodus Der Modus ist verschlüsselt und kann bereitgestellt werden. Identitätsschutzfunktion entsprechender vorinstallierter Schlüssel basierend auf der IP-Adresse. Das heißt, es ist nicht auf die IP-Adresse angewiesen, um die Identität zu identifizieren, was den brutalen Modus flexibler macht)


Sehen Sie sich die Ergebnisse über die Anzeige von ike sa an
1. Die erste Stufe von ike sa wurde erfolgreich eingerichtet

3, ike verwendet Version v1

PeerDer Status dieser Sicherheitszuordnung
Flag wird angezeigt der Status dieser Sicherheitszuordnung
RD (bereit) zeigt an, dass SA erfolgreich eingerichtet wurde

ST (stayalive) zeigt an, dass dieses Ende der Initiator der Kanalaushandlung ist

RL (Ersetzt) ​​zeigt an, dass dies der Fall ist Der Kanal wurde durch einen neuen Kanal ersetzt und wird nach einer gewissen Zeit gelöscht.
FD (Fading) zeigt dies an. Der Kanal hat zuvor einen Soft-Timeout erlebt und wird immer noch verwendet. Der Kanal wird gelöscht, wenn der Hard-Timeout auftritt
TO (Timeout) bedeutet, dass diese SA die Keepalive-Nachricht nach dem letzten Keepalive-Timeout nicht empfangen hat. Wenn das nächste Mal das Keepalive-Timeout auftritt und keine Keepalive-Nachricht empfangen wird, wird die SA gelöscht 🎜#TD (Löschen) zeigt an, dass die SA bald gelöscht wird.
NEG (Verhandeln) zeigt an, dass die IKE SA ausgehandelt und vom Tunnel generiert wird. Einige an beiden Enden festgelegte Parameter sind inkonsistent, was zu #🎜🎜 führt #D (DPD) zeigt an, dass die DPD-Erkennungsfunktion aktiviert ist und die DPD-Erkennung durchgeführt wird.
M (aktiv) zeigt an, dass der IKE-SA-Status „Haupt“ ist.
S (Standby) zeigt an, dass der IKE-SA-Status „Haupt“ ist Standby
A (allein) zeigt an, dass der IKE-SA-Status „Alone“ ist und es kein Backup zwischen IPSec-Tunneln gibt.
Diese SA gehört zur Phase: Phase1: Die Phase der Einrichtung eines sicheren Kommunikationskanals, dies Phase ist etabliert ISAKMP SA Phase2: Die Phase der Aushandlung von Sicherheitsdiensten. Zu diesem Zeitpunkt wird IPSec SA eingerichtet.


Die Sicherheitszuordnung wird eindeutig durch drei Elemente identifiziert (Sicherheitsprotokollnummer (AH oder ESP), Ziel-IP-Adresse, Sicherheitsparameterindex (SPI, Sicherheitsparameter). Index))# 🎜🎜#Der Sicherheitsparameterindex ist ein 32-Bit-Wert, der zur eindeutigen Identifizierung der SA generiert wird. Er wird im IPsec-Header


IPSec-IKE aggressive mode#🎜 übertragen 🎜#1. Tunnel zwei Das Problem der langsamen End-to-End-Aushandlung
2. Das Problem der Unsicherheit der Quelladresse des Initiators
(Wenn die IP-Adresse des Initiators dynamisch zugewiesen wird, da die IP-Adresse des Initiators kann dem Antwortenden nicht im Voraus bekannt sein, und beide Parteien planen, die Pre-Shared-Key-Überprüfungsmethode zu verwenden)

Im Tunnelmodus können ESP-Nachrichten die Vertraulichkeit der ursprünglichen IP-Header-Daten wahren #🎜🎜 #Die Konfiguration des vorinstallierten Schlüssels muss in „Beide Enden konfigurieren“ erfolgen und die Schlüssel auf beiden Seiten müssen konsistent sein

Im Tunnelmodus in IPSEC überprüft ESP das neue IP-Paket-Header-Feld nicht (der Tunnelmodus kapselt den neuen Header). und überprüft es nicht)#🎜🎜 #IKE verwendet standardmäßig die DH-Gruppe2-Standardgruppe


Funktionen, die AH implementieren kann (AH-Protokoll, AH ist ein Nachrichtenheader-Überprüfungsprotokoll. Die bereitgestellten Hauptfunktionen umfassen Daten Quellenüberprüfung, Datenintegritätsüberprüfung und Alarmverhinderung (Textwiedergabefunktion)
AH verschlüsselt die geschützten Daten nicht, daher kann keine Vertraulichkeit gewährleistet werden

IKE Internet Password Exchange Protocol: Das IKE-Protokoll wird verwendet, um die kryptografischen Daten automatisch auszuhandeln Von AH und ESP verwendete Algorithmen#🎜🎜 #

Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie IPsec-Anweisungen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:yisu.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen