首頁 >運維 >安全 >如何進行IPsec設定說明

如何進行IPsec設定說明

王林
王林轉載
2023-05-12 14:13:133361瀏覽

如何進行IPsec設定說明

實驗設定步驟:

第一階段:iaskmp SA(IKE SA要保護的物件是與金鑰有關的)

IKE並不直接關心用戶的數據,而IKE SA是為安全協商IPSec SA服務的

1、共享金鑰或數位憑證

IKE採用了Diffie-Hellman演算法、金鑰透過對等推算出自己的金鑰
group1 金鑰長度為768bit
group2 金鑰長度為1024bit
group5 金鑰長度為1536bit
用於數據加密的金鑰的值是靠演算法計算出來的,是不能由管理員定義和修改的

2、驗證鄰居(建立鄰居)

第二階段:IPsec SA(用戶的資料流量真正是在IPSec SA上傳遞的)

IPSec SA直接為用戶資料流服務,IPSec SA中的所有安全策略都是為了用戶資料流的安全性

1、資料封裝協定(ESP\AH為安全協定)

2、工作模式(傳輸\透明)

3、加密演算法(DES\3DES\AES)

4 、認證方式(MD5\SHA)

第三階段:定義感興趣流(通訊網段,基於擴展ACL)
第四階段:安全關聯(SA)

#1、驗證鄰居

2、資料加密方式

3、感興趣流程
第五階段:介面呼叫

R1
Router>enable                                                          
R1(config)#noip domain-lookup   service timestamps debug datetime localtime
R1(config)#service timestamps log  datetime localtime
R1(config)#interface f0/1                        
R1(config-if) #no shutdown                     
R1(config-if)#exit        
R1(config)#interface f0/0                   
R1(config-if)#ip address 12.1.1.1 255.255.25.10 -if)#no shutdown  
R1(config-if)#exit      
R1(config-if)#exit      
R1(config)#interface loop0                                   
R1( config-if)#no shutdown  
R1(config-if)#exit                       #1 ##R1(config)#interface tunnel10
R1(config-if)#tunnel source 12.1.1.1
R1(config-if)#tunnel destination 23.1.1.3   
R1(config-if)# ip address 172.16.1.1 255.2555)#. #R1(config-if)#tunnel mode gre ip  
R1(config-if)#no shutdown  

R1(config)#ip route 192.168.1.0 255.255.255.0 tunnel10
## R1(config)#crypto isakmp policy 10  IKE第一階段認證策略(確保金鑰安全)

R1(config-isakmp)#authentication pre-share   認證方式

R1(config- isakmp)#encryption des IKE第1.5階段加密(資料加密,加密方式,預設為DES)
R1(config-isakmp)#group 2 金鑰演算法(Diffie-Hellman)
group1(768bit)、group2 (1024bit)、group5(1536bit),預設是group1

R1(config-isakmp)#hash md5 認證方式
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 23.1.1.3 255.255.255.0 身份驗證

R1(config)#crypto isakmp keepalive 10 3   每10s發送DPD檢測×××建立、3s內沒回復再發3次發送DPD檢測×××#13s內沒回復3次。

R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac isakmp策略,資料封裝模式



R1(cfg-crypto-trans)#mode tunnel  模式,預設是tunnel mode 模式

R1(cfg-crypto-trans)#exit

R1(config)#ip access-list extended interested 定義感興趣流程

R1(config-ext-nacl )#permit gre host 12.1.1.1 host 23.1.1.3 本地端通訊的主機和對端通訊的主機
R1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.055. mode定義感興趣流程

R1(config-ext-nacl)#exit

#R1(config)#crypto map IPSec*** 10 ipsec-isakmp 安全關聯(關聯以上資料封裝方式、感興趣流)

R1(config-crypto-map)# set peer 23.1.1.3

R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#match address interested  
R1(config-crypto-map)#exit
R1(config)#interface f0/0      #  -if)#crypto map IPSec***

R1(config)#ip access-list extended nat
R1(config-ext-nacl)#10 permit ip 1.1.1.0 0.0.0.255 any
R1(config-ext-nacl)#exit
R1(config)#int loop0
R1(config-if)#ip nat inside
R1(config-if)#int s0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat inside source list nat int f0/0 overload
R1(config)# ip nat inside source static udp 192.168.2.2 4500 interface f0/0 4500
R1(config)#ip nat inside source static udp 192.168.2.2 500 interface source static udp 192.168.2.2 500 interface f0/0 50001 #Router>enable                                                    timestamps debug datetime localtime
R3(config)#service timestamps log  datetime localtime
R3(config)#interface f0/0                            .0      
R3(config-if)# no shutdown                     
R3(config-if)#exit         ##R3(config)#interface f0/1                  
R3(config-if)#ip address 23.1.1.3 255.255.255.0-1 if)#no shutdown  
R3(config-if)#exit

R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R3(config)#interface tunnel11  . #R3(config-if)#tunnel source 23.1.1.3
R3(config-if)#tunnel destination 12.1.1.1   
R3(config-if)# ip address 172.16.1.3 255.255.253. (config-if)#tunnel mode gre ip  
R3(config-if)#no shutdown  
R3(config-if)#exit
R3(config)#ip route 10.1.1.0 255.255.255.0 tunnel111

R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption des
R3(config-isakmp) #group 2
R3(config-isakmp)#hash md5
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco address 12.1.1.1 255.255.255.0

R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit

R3(config)#ip access-list extended interested  
R3(config-ext-nacl)#permit gre host 23.1.1.3 host 12.1.1.1
R3(config-ext-nacl)#exit

R3(config)#crypto map IPSec*** 10 ipsec-isakmp
R3(config-crypto-map)#set peer 12.1.1.1
R3(config-crypto-map)# set transform-set cisco
R3(config-crypto-map)#match address interested
R3(config-crypto-map)#exit

R3(config)#interface serial 0/1
R3(config-if)#crypto map IPSec***

#IPSec也具有設定複雜、消耗運算資源較多、增加延遲、不支援組播等缺點

檢視策略:
show crypto isakmp policy 定義域共享金鑰建立***連線
show crypto engine connections active  查看加密解密封包的數量

clear  crypto isakmp 清除IKE第一階段
IKE第一階段

#clear  crypto isakmp 清除IKE第一階段
IKE第一階段

clear  crypto sa  清除IKE第二階段

#流量最佳化:

access-list 101 permit  esp host 12.1.1.1 host 23.1.1.3




###################################################################################################################################################################################1 ##

access-list 101 permit  udp host 12.1.1.1 host 23.1.1.3  eq isakmp

access-list 101 permit  ip 10.1.1.0 0.0.0.255 permit  ip 10.1.1.0 0.0.0.255 permit  ip 10.1.1.0 0.0.0.255 permit  ip 10.1.1.0 0.0.0.255 permit  18.192##1.5192##20. ##首先第一階段有MM(主模式)和野蠻模式,第二階段才有QM(快速模式)
其次,主模式的最後兩條訊息有加密,可以提供身分保護功能

而野蠻模式訊息整合度過高,因此無身份保護功能


野蠻模式(這種情況下,響應者無法根據IP位址選擇對應的預共享密鑰,即不依賴IP位址標識身份,使得野蠻模式具備更好的靈活性)


透過display ike sa 查看結果
1、第一階段ike sa已經成功建立

3、ike使用的是版本v1

peer此安全聯盟的狀態
flag顯示此安全聯盟的狀態
RD(ready)表示SA已建立成功
ST(stayalive)表示此端是通道協商發起方
RL (Replaced)表示此頻道已被新的頻道取代,一段時間後將被刪除
FD(Fading)表示此頻道以發生過一次軟逾時,目前仍在使用,在硬逾時時會刪除此頻道
TO(timeout)表示此SA在上次keepalive超時發生後還沒有收到keepalive報文,如果在下次keepalive超時發生時仍沒有收到keepalive報文,此SA將被刪除
TD(deleting )表示該條SA即將被刪除
NEG(negotiating)表示IKE SA正在協商中,是由隧道兩端設定的某些參數不一致導致
D(DPD)表示開啟了DPD檢測功能,並且正在做DPD偵測
M(active)表示IKE SA狀態為主
S(standby)表示IKE SA狀態為備
A(alone)表示IKE SA狀態為Alone,IPSec隧道之間不備份
此SA所屬階段:Phase1:建立安全通道進行通訊的階段,此階段建立ISAKMP SA Phase2:協商安全服務的階段。此階段建立IPSec SA


安全聯盟由三元素唯一識別(安全協定號碼(AH或ESP)、目的IP位址、安全參數索引(SPI,Security Parameter Index))
安全參數索引是為唯一標識SA而產生的32bite的數值,它在IPsec頭中傳輸


IPSec-IKE野蠻模式
1、隧道兩端協商慢的問題

2.發起者來源位址不確定問題

(當發起者的IP位址是動態分配取得的時候,由於發起者的IP位址不可能被回應者事先知道,而且雙方都打算採用預先共享金鑰驗證方法)

ESP封包在隧道模式下,可以實現對原IP頭資料的機密性
配置預共用金鑰,必須在兩端都進行配置,兩邊的金鑰必須一致
IPSEC中隧道模式下,ESP對新IP封包頭字段不做驗證(隧道模式封裝新的標頭,對其不做驗證)
IKE預設使用DH group2預設群組
##AH可以實現的特性(AH協議,AH是報文頭驗證協議,主要提供的功能有資料來源驗證、資料完整性校驗和防報文重播功能)
AH並不加密所保護的數據,所有無法完成機密性
IKE網際網路密碼交換協定:IKE協定用於自動協商AH和ESP所使用的密碼演算法

以上是如何進行IPsec設定說明的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:yisu.com。如有侵權,請聯絡admin@php.cn刪除