網絡安全項目二任務四 Site IpsecVlan配置

網絡安全技術吳偉項目二任務四：IPSecVPN一、任務介紹二、IPSecVPN基礎三、IPSecVPN應用四、site-to-siteIPSecVPN配置五、任務配置一、任務介紹

根據任務網絡拓撲及企業(yè)網絡需求，應用IPSecVPN實現任務要求，理解IPSecVPN特點、結構，理解IKE、SA、AH、ESP在IPSec中的作用，掌握IPSecVPN兩種模式的配置過程，學會應用IPSecVPN為企業(yè)構建遠程傳輸網絡。

二、IPSecVPN基礎GREVPN缺陷： 隧道密鑰驗證，數據明文 只能實現site-to-siteVPNGREVPN實現: PCtunnel:source:(動態(tài)) destination: Routertunnel:source:destination:(動態(tài))

二、IPSecVPN基礎IPsecVPN是網絡層的VPN技術是隨著IPv6的制定而產生的，鑒于IPv4的應用仍然很廣泛，所以后來在IPSec的制定中也增加了對IPv4的支持，它獨立于應用程序；通過使用現代密碼學方法支持保密和認證服務，使用戶能有選擇地使用，以AH或ESP協(xié)議封裝原始IP信息，實現數據加密、帶驗證機制，安全性較高。支持VPN類型site-to-siteVPNRemoteAccessVPN連接類型PC-PCPC-VPN網關VPN網關-VPN網關二、IPSecVPN基礎VPN核心：兩層封裝：隧道數據分流:VPN與非VPNIPSEC：數據加密、數據驗證二、IPSecVPN基礎主要協(xié)議集：安全協(xié)議認證報文頭（AuthenticationHeader,AH)封裝安全載荷（EncapsulatingSecurityPayload,ESP）Internet密鑰交換（InternetKeyExchange,IKE）主要概念：安全關聯（SecurityAssociation，SA）傳輸方式：傳輸模式和隧道模式二、IPSecVPN基礎隧道模式隧道模式下數據包最終目的地不是安全終點。通常情況下，只要IPSec雙方有一方是安全網關或路由器，就必須使用隧道模式。加密整個IP數據包括頭部傳輸模式傳輸模式下，IPSec主要對上層協(xié)議即IP包的載荷進行封裝保護，通常情況下，傳輸模式只用于兩臺主機之間的安全通信。只加密整個IP數據負載部分二、IPSecVPN基礎AH為IP包提供數據完整性校驗和身份認證具備可選擇的重放攻擊保護保護上層協(xié)議（傳輸模式）或完整的IP數據包（隧道模式）二、IPSecVPN基礎ESP為IP報文提供數據完整性校驗、身份認證、數據加密以及重放攻擊保護等。二、IPSecVPN基礎傳輸模式二、IPSecVPN基礎隧道模式二、IPSecVPN基礎SA安全關聯（SecurityAssociation）SA是構成IPSec的基礎，是兩個通信實體經協(xié)商建立起來的一種協(xié)定，它們決定了用來保護數據包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉碼方式、密鑰及密鑰的有效存在時間等。單向邏輯連接SPI、目的IP地址、安全協(xié)議二、IPSecVPN基礎Internet密鑰交換協(xié)議（IKE）IKE是IPSec默認的安全密鑰協(xié)商方法密鑰交換協(xié)議，AH和ESP協(xié)議提供密鑰交換管理SA管理二、IPSecVPN基礎二、IPSecVPN基礎三、IPSec應用Site-to-SiteVPN隧道模式RemoteAccessVPN隧道模式（End-Site）傳輸模式（End-End）三、IPSecVPN應用Site-to-SiteIPSecVPN參與設備：兩端VPN網關隧道建立:sa第一階段區(qū)分VPN數據與非VPN：傳輸VPN數據，sa第二階段數據加密、數據驗證三、IPSecVPN應用

——IPSECVPN封裝IPSec封裝-PC1:IP原始數據包，R1Fa0/0:路由處理，內網IP無路由（ISP屏蔽），根據ACL識別VPN數據（感興趣流）并交給IPSEC驅動程序進行封裝,建立VPN隧道，sa第一階段；隧道建立好后，利用隧道進行VPN數據傳輸，sa第二階段R1IPSEC驅動程序:根據sa中定義安全協(xié)議、加密算法、驗證算法對數據進行封裝R1S0/0/0:根據新IP包目的地址進行路由轉發(fā)TCPDATATCPDATAAH/ESP路由VPN封裝二、虛擬專用網(VPN)基礎

——IPSecVPN解封裝IPSec解封裝-R2S0/0/0:若sa協(xié)商成功，成功建立通道IP包與接口地址相同，接收去除IP頭，根據IP包頭信息交與相應IPSEC驅動程序處理

R2IPSEC驅動程序:根據sa中定義參數對數據包進行解密、驗證R2Fa0/0:如有路由則進行二層通信進行ARPTCPDATATCPDATAAH/ESP路由VPN封裝4、site-to-siteIPSecVPN配置1：配置IKE

R1(config)#cryptoisakmpenable

//啟用IKE(默認是啟動的)R1(config)#cryptoisakmppolicy100

//建立IKE策略,優(yōu)先級為100R1(config-isakmp)#authenticationpre-share

//使用預共享的密碼進行身份驗證R1(config-isakmp)#encryptiondes

//使用des加密方式R1(config-isakmp)#group1

(可選)

//指定密鑰位數，group2安全性更高，但更耗cpuR1(config-isakmp)#hashmd5

//指定hash算法為MD5(其他方式：sha，rsa)R1(config-isakmp)#lifetime86400

(可選)

//指定SA有效期時間。默認86400秒，兩端要一致

以上配置可通過showcryptoisakmppolicy顯示。VPN兩端路由器的上述配置要完全一樣。

4、site-to-siteIPSecVPN配置2：配置Keys

R1(config)#cryptoisakmpkeycisco1122address

//(設置要使用的預共享密鑰和指定vpn另一端路由器的IP地址)

3：配置IPSEC

R1(config)#cryptoipsectransform-setabcesp-des

esp-md5-hmac

//配置IPSec交換集abc這個名字可以隨便取，兩端的名字也可不一樣，但其他參數要一致。

R1(config)#cryptoipsecsecurity-associationlifetime86400

(可選)

//ipsec安全關聯存活期，也可不配置，在下面的map里指定即可

R1(config)#access-list110permitip5555

//定義感興趣數據，IPSECVPN地址為雙方內網IP地址4、site-to-siteIPSecVPN配置4.配置IPSEC加密映射

R1(config)#cryptomapmymap100ipsec-isakmp

//創(chuàng)建加密圖R1(config-crypto-map)#matchaddress110

//用ACL來定義加密的通信

R1(config-crypto-map)#setpeer

//標識對方路由器IP地址

R1(config-crypto-map)#settransform-setabc

//指定加密圖使用的IPSEC交換集

R1(config-crypto-map)#setsecurity-associationlife