IPv4 - w ireshark抓取的互联网层IP包头部信息:Internet Protocol, //互联网协议
二、什么是IPsec
互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是透过对IP协议 (互联网协议)的分组进行加密和认证来保护IP
的网络传输协议族(一些相互关联的协议的集合)。
IPsec由两大部分组成:(1)创建安全分组流的密钥交换协议;(2)保护分组流的协议。前者为因特网密钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接
、IP 三、IPsec的部署模式
transport ---传输模式
IKE协议号-- 500---UDP
AH协议号---51
ESP协议号-50
在目前的应用中,ESP更受欢迎
五、IPsec连接建立的过程
第一步:通过ACL定义感兴趣的流量,触发IPSec连接的建立
第二步,建立管理连接(IKE SA),保护连接本身。
阶段一需要完成的任务:
–协商采用何种方式建立管理连接(A)
–通过DH算法共享密钥信息(B)
–对等体彼此进行身份验证(C)
A任务--协商的策略部分,具体如下:
(1)验证方式:
---预共享密钥(pre share)---常用的方法,简单
---证书
---Kerberos V5(域网络环境)
(2)加密算法
DES、3DES、AES
(3)完整性算法
MD5、SHA
(4)密钥组的长度
DH1(768位)
DH2(1024位)
DH5(2048位)
(5)会话的生存时间(lifetime)
在思科的设备上,A任务相关的配置指令
【提醒:注意IOS的选择】
【补充】IOS的分类
IP Base特性包包括的特性集为:DSL、Ethernet switching、inter-vlan802.1q routing、vlanstrunking;
IP Voice特性包包括的特性集为:包含IP Base特性集,支持所有语音接口和协议(H.323、MGCP Signaling等),思科IOS电话服务,SRST等;
Advanced Security特性包包括的特性集为:支持安全与VPN,思科IOS防火墙、IDS、SSHv1、Cisco Easy VPN Clientand Server;支持3DES和AES,包含IP Base特性集;
SP Services特性包包括的特性集为:属于数据、语音、传输的集合,支持数据和语音在IP、ATM等网络上的所有服务。还提供一些高级的功能例如MPLS和NetFlow;
Advanced IP Services特性包包括的特性集为:支持数据、语音、VPN,支持所有Advanced Services特性,还支
持VPN、IDS、IPv6、IOS Firewall等。
Enterprise Base特性包包括的特性集为:支持数据、多协议和IBM访问(例如:Appletalk、Novell、IPX等),全面支持IP Base特性。
Enterprise Services特性包包括的特性集为:支持IPX、Apple Talk、DECnet and IBM services等,支持SP Services特性,并增加支持多协议在Enterprise Base特性集中。
Advanced Enterprise Services特性包包括的特性集为:支持所有特性集,是功能最全面的特性集。
IPSEC默认是启用的
XHLAB-Gw(config)#crypto isakmp enable 启用IPsec
XHLAB-Gw(config)#crypto isakmp policy 1 (策略优先级,序号 1-10000)
XHLAB-Gw(config-isakmp)#encryption aes 加密算法
XHLAB-Gw(config-isakmp)# hash md5 完整性算法
XHLAB-Gw(config-isakmp)# authentication pre-share 验证方式
XHLAB-Gw(config-isakmp)#group 2 密钥组的长度
XHLAB-Gw(config-isakmp)#lifetime 3600 生存时间
验证:
B任务--通过DH算法交换密钥:
C任务--验证对等体(Peer)的 身份
B和C任务相关的指令
XHLAB-Gw(config)#crypto isakmp key cisco address 1.1.1.1 XHLAB-Gw(config)#crypto isakmp key 密钥 address 对端的ip 清除VPN会话:
clear crypto isakmp
clear crypto sa
第三步:建立数据连接(IPSEC SA),保护数据流量 –定义对等体间需要保护何种流量(E)
–定义用来保护数据的安全协议(F)
–定义传输模式(G)
–定义数据连接的生存周期以及密钥刷新的方式(H)
E任务--如何实现?
安全联盟(SA)
•数据SA是一个单向逻辑连接
•定义保护什么,如何保护,谁来保护
通过扩展ACL
XHLAB-Gw(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255