Address
304 North Cardinal St.
Dorchester Center, MA 02124

Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM

HCIP-16.3 IPSec VPN概述

 

IPSec VPN应用场景

6.17-10

IPSec两边算法不一致,会导致VPN无法建立

IPSec特性

image-20241022170652286

IPSec架构

image-20241022171121173

防火墙:用户名admin 密码Admin@123

int g0/0/0
 service-manage all permit

IPSec VPN:

  • AH协议
  • ESP协议
  • IKE协议

IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

IKE协议提供密钥协商,建立和维护安全联盟SA等服务。

IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成

  • AH协议:主要提供的功能有数据源验证,数据完整性校验,防报文重放,然而AH并不加密所保护的数据包。
  • ESP协议:提供AH协议的所有功能外(其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
  • IKE协议:用于自动协商AH和ESP所使用的密码算法。

安全联盟SA

(1)安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。

(2)安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA。

SA(security Association,安全联盟)定义了IPSec通信对等体之间将使用的数据封装模式、认证和加密算法、密钥等参数。SA是单向的,两个对等体之间的双向通信至少需要2个SA。如果两个对等体希望同时使用AH和ESP安全协议来进行通信,则对等体针对每一种安全协议都要协商一对SA。

SA由一个三元组来唯一标识,这个三元组包括:

  • 安全参数索引SPI(Security Parameter Index)
  • 目的IP地址
  • 安全协议(AH、ESP)

建立SA的方式有以下两种:

  • 手工方式:安全联盟的全部信息都必须手工配置。
  • IKE动态协商方式:只需要通信对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA。

IKE为IPSec协商生成密钥,供IPSec报文加密和验证使用,三个阶段

(1)IKE密钥协商阶段(建立IKE SA)

(2)IPSec参数协商阶段(建立IPSec SA)

(3)加密传输数据

6.17-101

IPSec数据封装方式:

  • 两大类:
    • 传输模式
    • 隧道模式
  • 6小类:
    • AH
    • ESP
    • AH+ESP

IPSec传输模式(没有额外的公网报头)

6.17-102

IPSec隧道模式

6.17-103

IPSec VPN配置步骤

image-20241022235546512

(1)首先需要检查报文发送方和接收方之间的网络可达性,确保双方只有建立IPSec VPN隧道才能进行IPSec通信。

(2)定义数据流:因为部门流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选出需要进行IPSec处理的兴趣流,可以通过配置ACL来定义和区分不同的数据流。

(3)配置IPSec安全提议:IPSec安全提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。

image-20241023000231710

  • 安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。
  • 两个安全网关之间建立IPSec隧道,IPSec封装模式设置为隧道模式,以便隐藏通信使用的实际源IP和目的IP

(4)配置IPSec安全策略:IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识,IPSec策略分为两类:手工建立SA、IKE协商建立SA。

(5)在一个接口上应用IPSec安全策略。

手工配置IPSec VPN(不推荐)

image-20241023001156742

RTA:

ip roue-s 10.1.2.0 24 20.1.1.2

acl 3001
 rule permit sou 10.1.1.0 0.0.0.255 dest 10.1.2.0 0.0.0.255
 #

ipsec proposal tran1 # 进入IPSec提议师徒,配置IPSec策略,缺省情况下,ESP协议,MD5认证算法,隧道封装模式
 // transform [ah|ah-esp|esp]  # 修改安全协议
 // encapsulation-mode [transport | tunnel] # 修改报文封装模式
 // esp authentication-algorithm [md5|sha1|sha2-256|sha2-384|sha2-512] # 修改ESP使用的认证算法
 // ah authentication-algorithm [md5|sha1|sha2-256|sha2-384|sha2-512] # 修改AH使用的认证算法
 // esp encryption-algorithm [des|3des|aes-128|aes-192|aes-256]  # 配置ESP加密算法
 esp authentication-algorithm sha1

调试命令:

dis ipsec proposal
ipsec policy P1 10 manual  # 创建IPSec策略
            # 名称 # 序号
  security acl 3001 # 引用acl
  proposal tran1 # 引用安全协议
  #
 tunnel remote 20.1.1.2  # 安全隧道对端IP
 tunnel local 20.1.1.1  # 安全隧道本端地址
 sa spi outbound esp 54321 # 安全联盟安全参数索引SPI
 sa spi inbound 12345 # 本端spi值和对端出spi值一致
 sa string-key outbound esp simple huawei # 设置安全联盟认证秘钥
 sa string-key inbound esp simple huawei

 #
 int g0/0/1
  ipsec policy P1

调试命令:

dis ipsec policy