当前位置:文档之家› IPsec协议

IPsec协议

IPv4 - w ireshark抓取的互联网层IP包头部信息:Internet Protocol, //互联网协议

二、什么是IPsec

互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是透过对IP协议 (互联网协议)的分组进行加密和认证来保护IP

的网络传输协议族(一些相互关联的协议的集合)。

IPsec由两大部分组成:(1)创建安全分组流的密钥交换协议;(2)保护分组流的协议。前者为因特网密钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接

、IP 三、IPsec的部署模式

transport ---传输模式

IKE协议号-- 500---UDP

AH协议号---51

ESP协议号-50

在目前的应用中,ESP更受欢迎

五、IPsec连接建立的过程

第一步:通过ACL定义感兴趣的流量,触发IPSec连接的建立

第二步,建立管理连接(IKE SA),保护连接本身。

阶段一需要完成的任务:

–协商采用何种方式建立管理连接(A)

–通过DH算法共享密钥信息(B)

–对等体彼此进行身份验证(C)

A任务--协商的策略部分,具体如下:

(1)验证方式:

---预共享密钥(pre share)---常用的方法,简单

---证书

---Kerberos V5(域网络环境)

(2)加密算法

DES、3DES、AES

(3)完整性算法

MD5、SHA

(4)密钥组的长度

DH1(768位)

DH2(1024位)

DH5(2048位)

(5)会话的生存时间(lifetime)

在思科的设备上,A任务相关的配置指令

【提醒:注意IOS的选择】

【补充】IOS的分类

IP Base特性包包括的特性集为:DSL、Ethernet switching、inter-vlan802.1q routing、vlanstrunking;

IP Voice特性包包括的特性集为:包含IP Base特性集,支持所有语音接口和协议(H.323、MGCP Signaling等),思科IOS电话服务,SRST等;

Advanced Security特性包包括的特性集为:支持安全与VPN,思科IOS防火墙、IDS、SSHv1、Cisco Easy VPN Clientand Server;支持3DES和AES,包含IP Base特性集;

SP Services特性包包括的特性集为:属于数据、语音、传输的集合,支持数据和语音在IP、ATM等网络上的所有服务。还提供一些高级的功能例如MPLS和NetFlow;

Advanced IP Services特性包包括的特性集为:支持数据、语音、VPN,支持所有Advanced Services特性,还支

持VPN、IDS、IPv6、IOS Firewall等。

Enterprise Base特性包包括的特性集为:支持数据、多协议和IBM访问(例如:Appletalk、Novell、IPX等),全面支持IP Base特性。

Enterprise Services特性包包括的特性集为:支持IPX、Apple Talk、DECnet and IBM services等,支持SP Services特性,并增加支持多协议在Enterprise Base特性集中。

Advanced Enterprise Services特性包包括的特性集为:支持所有特性集,是功能最全面的特性集。

IPSEC默认是启用的

XHLAB-Gw(config)#crypto isakmp enable 启用IPsec

XHLAB-Gw(config)#crypto isakmp policy 1 (策略优先级,序号 1-10000)

XHLAB-Gw(config-isakmp)#encryption aes 加密算法

XHLAB-Gw(config-isakmp)# hash md5 完整性算法

XHLAB-Gw(config-isakmp)# authentication pre-share 验证方式

XHLAB-Gw(config-isakmp)#group 2 密钥组的长度

XHLAB-Gw(config-isakmp)#lifetime 3600 生存时间

验证:

B任务--通过DH算法交换密钥:

C任务--验证对等体(Peer)的 身份

B和C任务相关的指令

XHLAB-Gw(config)#crypto isakmp key cisco address 1.1.1.1 XHLAB-Gw(config)#crypto isakmp key 密钥 address 对端的ip 清除VPN会话:

clear crypto isakmp

clear crypto sa

第三步:建立数据连接(IPSEC SA),保护数据流量 –定义对等体间需要保护何种流量(E)

–定义用来保护数据的安全协议(F)

–定义传输模式(G)

–定义数据连接的生存周期以及密钥刷新的方式(H)

E任务--如何实现?

安全联盟(SA)

•数据SA是一个单向逻辑连接

•定义保护什么,如何保护,谁来保护

通过扩展ACL

XHLAB-Gw(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255

相关主题