IPSec单隧道×××

前言:前两天分别在H3C和Cisco的设备上实现了×××的简单应用,实现gre隧道。相对于IPSec隧道模式而言,gre隧道缺点显而易见:配置相对较简单,而且不具有加密能力,对于企业一些要求不是很高的应用来说,gre隧道就可以满足了,但是对于一些要求安全性较高的传输时,IPSec就能体现出它的安全性。但缺点就是配置相对较为严谨,而且复杂。单隧道还好点,对于多隧道的应用,配置相对较为繁琐了一些,但在安全的前提下,配置的难易显得没那么重要了。

IPSec简介:IPSec 是一系列网络安全协议的总称,它是由IETF(Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。是网络层的安全机制通过对网络层包信息的保护,上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对×××安全性的顾虑,使得××× 得以广泛应用IPSec的工作方式有两种;传输方式;隧道方式。

IPSec对报文的处理过程分析:

为了实现数据包在IP层的安全,IPSec通过加密和数据验证等方式来保证数据报在网络上传输时的保密性、完整性、真实性、抗重播。为了实现上面的4个目标,

IPSec通过两种安全协议:AH(认证头)和ESP(封装安全载荷)。

下面通过一张图来对比分析一下这两种协议:        

IPSec单隧道×××_IPSec

【AH】

传输方式下

当原始数据包在网络层传输时,在原始IP头部和TCP头部之间加入AH协议头, 原始的IP头部没有变化。

隧道方式下: 

当原始数据包在网络层传输时, 原始的IP头被新的IP头部所替换掉,又在新的IP头和TCP头部之间加入了AH协议头部。

【ESP】

传输方式下

当原始数据包在网络层传输时,在原始IP头部和TCP头部之间加入ESP协议头, 原始的IP头部没有变化。

隧道方式下: 

当原始数据包在网络层传输时, 原始的IP头被新的IP头部所替换掉,又在新的IP头和TCP头部之间加入了ESP协议头部。

【总结】

从安全性来讲,隧道模式优于传输模式。它可以完全地对原始ip数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的ip地址。从性能来讲,隧道模式比传输模式占用更多的带宽,因为它有一个额外的ip头部。

安全联盟【SA】:安全联盟是IPSec的基础,也是IPSec的本质。SA是单向的、在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。有两种方式来建立安全联盟:一种是Manual(手工方式);

IKE(自动协商)。

下面通过两个实验来充分理解这两种方式的配置差别

【实验拓扑图】 

IPSec单隧道×××_IPSec_02

【IPSec ×××配置过程】

 Step1:定义被保护的数据流(acl)

 Step2:定义安全提议

 ①IPSec工作方式选择:transport(传输方式)/tunnel(隧道方式)【默认】

 ②选择安全协议类型:AH(认证头)/ESP(封装安全载荷)

 ③在选择的协议类型下选择相应的加密算法和认证算法。

 AH----> authentication-algorithm  MD5/SHA1

 ESP---->authentication-algorithm MD5/SHA1

    ----->encryption-algorithm  DES/3DES/AES

 Step3:定义安全策略(安全策略组) ------>实现acl和安全提议的绑定

 Step4: 接口应用安全策略 ----->在接口上应用策略

【实验一:Manual方式参考配置

SIP配置

vlan 10

port e0/10

ip add 61.130.130.2  255.255.255.252 

vlan 20

port e0/20

ip add 61.130.132.2  255.255.255.252 

FW-1配置

sysname FW-1

inter e0/0

ip add 192.168.101.254 24 

inter e0/4

ip add 61.130.130.1 30

ip route-static 0.0.0.0 0 61.130.130.2 

add inter e0/0

firewall zone trust

add inter e0/0

quit

firewall zone untrust

add inter e0/4

流控制

acl number 3000 match-order auto(深度优先)/config(配置优先)--->默认

rule 10 permit ip source 192.168.101.0 0.0.0.255 destination 192.168.102.0 0.0.0.255

rule 20 deny ip any destination any

②安全提议

ipsec proposal A(提议名字:可以随便起)

encapsulation-mode tunnel(transport/tunnel)

transform esp(ah/ah-esp/esp)

esp authentication-algorithm md5(md5/sha)

esp encryption-algorithm  des(des/3des/aes)

③策略

ipsec policy a(策略名:随意起) 10  manual(手动定义SA参数)【isakmp(自动协商)】

security acl 3000

proposal A

tunnel local 61.130.130.1 

tunnel remote 61.130.132.1

sa spi outbound esp 12345

sa string-key outbound esp abcde 

sa spi inbound esp 54321

sa string-key inbound esp edcba

④接口应用策略

inter e0/4

ipsec policy a 

FW-2配置

sysname FW-2

inter e0/0

ip add 192.168.102.254 24 

inter e0/4

ip add 61.130.132.1 30

ip route-static 0.0.0.0 0 61.130.132.2 

firewall zone trust

add inter e0/0

quit

firewall zone untrust

add inter e0/4

流控制

acl number 3000 match-order auto

rule 10 permit ip source 192.168.102.0 0.0.0.255 destination 192.168.101.0 0.0.0.255

rule 20 deny ip any destination any

②安全提议

ipsec proposal B(提议名字:可以随便起)

encapsulation-mode tunnel(transport/tunnel)

transform esp(ah/ah-esp/esp)

esp authentication md5(md5/sha)

esp encry  des(des/3des/aes)

③策略

ipsec policy b(策略名:随意起) 10  manual(手动定义SA参数)【isakmp(自动协商)】

security acl 3000

proposal B

tunnel local 61.130.132.1 

tunnel remote 61.130.130.1

sa spi outbound esp 54321

sa string-key outbound esp edcba 

sa spi inbound esp 123456

sa string-key inbound esp abcde

【实验二:IKE方式参考配置

SIP配置

vlan 10

port e0/10

ip add 61.130.130.2  255.255.255.252 

vlan 20

port e0/20

ip add 61.130.132.2  255.255.255.252 

FW-1配置

sysname FW-1

inter e0/0

ip add 192.168.101.254 24 

inter e0/4

ip add 61.130.130.1 30

ip route-static 0.0.0.0 0 61.130.130.2 

add inter e0/0

firewall zone trust

add inter e0/0

quit

firewall zone untrust

add inter e0/4

流控制

acl number 3000 match-order auto(深度优先)/config(配置优先)--->默认

rule 10 permit ip source 192.168.101.0 0.0.0.255 destination 192.168.102.0 0.0.0.255

rule 20 deny ip any destination any

②安全提议

ipsec proposal A(提议名字:可以随便起)

encapsulation-mode tunnel(transport/tunnel)

transform esp(ah/ah-esp/esp)

esp authentication-algorithm md5(md5/sha)

esp encryption-algorithm  des(des/3des/aes)

③策略

ipsec policy a(策略名:随意起) 10 isakmp(自动协商)

security acl 3000

proposal A

quit

ike peer FW-2 (指定邻居)

local-address 61.130.130.1

remote-address 61.130.132.1

pre-shared-key simple 123456 (域共享密钥)

ipsec policy a 10 isakmp

ike peer-peer FW-2

④接口应用策略

inter e0/4

ipsec policy a 

FW-2配置

sysname FW-2

inter e0/0

ip add 192.168.102.254 24 

inter e0/4

ip add 61.130.132.1 30

ip route-static 0.0.0.0 0 61.130.132.2 

firewall zone trust

add inter e0/0

quit

firewall zone untrust

add inter e0/4

流控制

acl number 3000 match-order auto

rule 10 permit ip source 192.168.102.0 0.0.0.255 destination 192.168.101.0 0.0.0.255

rule 20 deny ip any destination any

②安全提议

ipsec proposal B(提议名字:可以随便起)

encapsulation-mode tunnel(transport/tunnel)

transform esp(ah/ah-esp/esp)

esp authentication md5(md5/sha)

esp encry  des(des/3des/aes)

③策略

ipsec policy b(策略名:随意起) 10 isakmp(自动协商)

security acl 3000

proposal B

quit

ike peer FW-1 (指定邻居)

local-address 61.130.132.1

remote-address 61.130.130.1

pre-shared-key simple 123456 (域共享密钥)

ipsec policy b 10 isakmp

ike peer-peer FW-1

接下来的下次实验小遍会用IKE(自动协商)方式实现IPSec多隧道,敬请期待哦。。。。。。。。