晚上好,我的网络工作者朋友们。
今天点击的每个人都是真正的学习迷。晚上回来,慢慢学习。你不会亏钱的。
如果您从事网络工程工作很长时间,您可能听说过IPSec 是最复杂的协议之一。
您可能知道IPSec可以满足某些要求并保护数据安全,但您不知道IPSec到底是如何工作的。
今天我们将从概念到封装模式再到实验案例进行系统回顾,一起学习吧。
今日文章查看权限:《IPSec:新一代因特网安全标准.pdf》
一本与IPSec相关的伟大经典书籍。我找到了一本完整的PDF 书,可以传输和保存。要在有限的时间内接收此资源,请记下私人消息和“IPSec”。
01 IPSec概念
IPSec(互联网协议安全)是IETF 定义的一组协议。
通信双方通过IP层的加密、完整性验证、数据源认证等方法,保证网络上发送的IP数据报文的机密性、完整性和不可重放性。
保密性:数据经过加密以保护数据并以密文形式传输。 数据完整性:指验证接收到的数据以确定消息是否被篡改。 防止恶意用户重复发送捕获的数据包。接收方拒绝旧的或重复的数据包的攻击。应用场景:企业分支机构通过IPSec隧道访问企业总部。
02 IPSec VPN应用场景及协议
01 IPSec VPN应用场景分为三类
1. 站点到站点(站点到站点或网关到网关):
例如,Bend研究的三个组织位于互联网上的三个不同位置,每个组织都使用业务导航网关相互建立VPN隧道,企业内网(多台PC)之间的数据通过IPSec路由安全互连。由这些网关建立的隧道。
2. 端到端(end-to-end或PC-to-PC):
两台PC 之间的通信由两台PC 之间的IPSec 会话(而不是网关)保护。
3. 端到站点(端到站点或PC到网关):
两台PC 之间的通信受网关和远程PC 之间的IPSec 保护。
02 IPSec协议
VPN是IPSec(IP Security的缩写)的一种应用,VPN的目的就是为了实现这种安全功能。
IPSec是一个框架架构,由以下协议组成:
IPSec VPN架构主要由以下协议组组成:
AH(身份验证标头)
ESP(安全有效负载封装)
IKE(互联网密钥交换)
AH协议(不太常用):提供数据源验证、数据完整性验证、消息重放预防等功能。 ESP 协议(广泛使用):提供AH 协议的所有功能(ESP 的数据完整性检查不包括IP 标头),以及加密IP 消息的能力。自动协商IKE 协议中使用的密码。 AH 和ESP 算法为什么AH 不常用?
AH 无法提供数据加密,因此所有数据在传输过程中均以明文形式发送,而ESP 提供数据加密。
其次,由于AH提供了数据源的验证(如果源IP地址发生变化,AH验证失败),因此无法穿越NAT。
当然,IPSec在极端情况下可以同时使用AH和ESP来实现最完整的安全功能,但这种方案极为罕见。
03 安全联盟SA
SA(安全关联) 安全关联定义了IPSec 通信对等体之间使用的数据封装模式、认证和加密算法、密钥以及其他参数。
介绍了建立SA的两种方法:手工协商和IKE动态协商。
1.手动方法
安全关联所需的所有信息都必须手动配置。优点:不依赖IKE,自行实现IPSec功能。
对于小型静态环境,可以手动配置SA。
2.IKE动态协商方法
IKE 协商参数在通信对等体之间配置,SA 通过IKE 自动协商创建和维护。
在大中型动态网络环境中,建议使用IKE协商建立SA。
04 IPSec协议的封装模式
介绍完IPSec VPN场景和IPSec协议配置后,我们再来看看IPSec提供的两种封装模式:传输模式和隧道模式。
01 IPsec传输模式
在IP包头和上层协议之间插入AH或ESP头。
传输模式AH或ESP主要为上层协议数据提供保护。
1、AH处于传输模式:
在IP头后面插入AH头,对整个IP数据包进行完整性检查。
2. ESP处于传输模式:
ESP 标头插入在IP 标头之后,尾部和验证字段插入在数据字段之后。
加密高级数据和ESP 尾部,并对IP 数据包中的ESP 标头、高级数据和ESP 尾部执行完整性检查。
3. AH+ESP 处于发送模式:
在IP 标头之后插入AH 和ESP 标头,在数据字段之后插入尾部和认证字段。
02 IPSec隧道模式
AH或ESP报头被封装在原始IP数据包报头之前,并且生成新的IP报头并封装在AH或ESP报头之前。
隧道模式完全验证和加密原始IP 数据报,并可以使用IPSec 对等方的IP 地址隐藏客户端的IP 地址。
1. 隧道模式下的AH:
提供对整个原始IP报文的完整性检查和认证,认证能力优于ESP
2. 隧道模式下的ESP:
加密整个原始IP 消息和ESP 尾部,并对ESP 标头、原始IP 消息和ESP 尾部执行完整性检查。
3. 隧道模式下的AH+ESP:
它对整个原始IP消息和ESP尾部进行加密,AH和ESP对不同部分进行完整性检查。
05 IPSec VPN配置步骤及实验
01 IPSec VPN配置步骤
(1)配置网络可达性
(2) 设置ACL相关的流程
(3) 担保提案的创建
(4) 安全策略的制定
(五)安全策略的应用
02 IPSec VPN实验示例
(1)配置网络可达性
[AR1]int g0/0/1[AR1-GigabitEthernet0/0/1]ip add 10.1.1.254 24[AR1]int g0/0/0[AR1-GigabitEthernet0/0/0]ip add 12.1.1.1 24[AR2 ] ]int g0/0/0[AR2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[AR2]int g0/0/1[AR2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[AR3] int g0/0/0[AR3-GigabitEthernet0/0/0]ip add 23.1.1.3 24[AR3]int g0/0/1[AR3-GigabitEthernet0/0/1]ip add 10.2.1.254 24[AR1]ospf 1 [ AR1-ospf-1] 区域0[AR1-ospf-1-area-0.0.0.0] 网络12.1.1.1 0.0.0.0[AR2]ospf 1[AR2-ospf-1] 区域0[AR2-ospf-1- [AR2-ospf-1-area-0.0.0.0]网络23.1.1.2 0.0.0.0[AR2-ospf-1-area-0.0.0.0]网络12.1.1.2 0.0.0.0[AR3]ospf 1[AR3-ospf-1]区域0[AR3 -ospf]-1-area-0.0.0.0]网络23.1.1.3 0.0.0.0[AR3]ip路由静态10.1.1.0 255.255.255.0 12.1.1.1
(2) 设置ACL相关的流程
[AR1]ACL 编号3000[AR1-acl-adv-3000]规则5 允许IP 源10.1.1.0 0.0.0.255 目标10.2.1.0 0.0.0.255[AR3]ACL 编号3000[AR3-acl-adv-3000]规则5 允许IP 源10.2.1.0 0.0.0.255 目标10.1.1.0 0.0.0.255
(3) 担保提案的创建
[AR1]ipsec 提案1[AR3]ipsec 提案1
(4) 安全策略的制定
[AR1] ipsec 策略shida 1 手册[AR1-ipsec-policy-manual-shida-1] 安全ACL 3000 [AR1-ipsec-policy-manual-shida-1] 提案1 [AR1-ipsec-policy-manual-shida- 1]隧道本地12.1.1.1[AR1-ipsec-policy-manual-shida-1]隧道远程23.1.1.3[AR1-ipsec-policy-manual-shida-1]sa spi 接收esp 12345[AR1-ipsec-policy- Manual-shida-1]sa 字符串密钥接收ESP Simple 123[AR1-ipsec-policy-manual-shida-1]SA SP 发送ESP 54321[AR1-ipsec-policy-manual-shida-1]SA 字符串密钥发送esp simple 123[AR3]ipsec 策略shida 1 手册[AR3-ipsec-policy-manual-shida-1]安全acl 3000[AR3-ipsec-policy-manual-shida-1]提案1[AR3-ipsec-policy-manual -shida -1]隧道本地23.1.1.3[AR3-ipsec-policy-manual-shida-1]隧道远程12.1.1.1[AR3-ipsec-policy-manual-shida-1]sa spi 接收esp 54321[AR3-ipsec -policy -manual-shida-1]sa 字符串密钥接收esp 简单123[AR3-ipsec-policy-manual-shida-1]sa spi 发送esp 12345[AR3-ipsec-policy-manual-shida-1]sa 字符列密钥出站esp simple 123 (5) 应用安全策略
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ipsec策略shida
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec策略shida
主办:老杨丨10年资深网络工程师,更多如何提升网络工程知识,请关注公众号:网络工程师俱乐部。
原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/83285.html