導入IPSEC協定,原因有2個,一個是原來的TCP/IP體系中間,沒有包括基于安全的設計,任何人,隻要能夠搭入線路,即可分析所有的通訊資料。IPSEC引進了完整的安全機制,包括加密、認證和資料防篡改功能。 另外一個原因,是因為Internet迅速發展,接入越來越友善,很多客戶希望能夠利用這種上網的帶寬,實作異地網絡的的互連通。
IPSEC協定通過包封裝技術,能夠利用Internet可路由的位址,封裝内部網絡的IP位址,實作異地網絡的互通。
IPSEC概述
IPSEC是一套比較完整成體系的×××技術,它規定了一系列的協定标準。如果不深入探究IPSEC的過于詳細的内容,我們對于IPSEC大緻按照以下幾個方面了解。 ×××國家标準: 标準制定機關:華為技術有限公司、中興、深信服科技有限公司、無錫江南資訊安全工程技術中心
通過Internet建立了一個通訊的隧道,通過這個通訊的隧道,就可以建立起網絡的連接配接。但是這個模型并非完美,仍然有很多問題需要解決。
一個×××節點,可能是一台×××網關,也可能是一個用戶端軟體。在×××組網中間,屬于組網的一個通訊節點。它應該能夠連接配接 Internet,有可能是直接連接配接,比如adsl、電話撥号等等,也可能是通過nat方式,例如:小區寬帶、cdma上網、鐵通線路等等。
×××隧道:在兩個vpn節點之間建立的一個虛拟鍊路通道。兩個裝置内部的網絡,能夠通過這個虛拟的資料鍊路到達對方。與此相關的資訊是當時兩個×××節點的IP位址,隧道名稱、雙方的密鑰。
假如裝置都是動态撥号方式的話,那麼一定需要一個合适的靜态的第三方來進行解析。一種是通過網頁解析,一種是通過一個集中的伺服器解析,另一中是通過DDNS(動态域名)解析。
建立隧道
IPsec vpn并不神秘。所有核心的工作無非就是圍繞以下幾個方面展開:
如何找到與本×××節點相關的其他節點。
協商出一個可以通訊的隧道。如果是nat之後,應該怎麼處理。
建立隧道路由表,确定不同的目标位址,走不同的隧道。
安全
采用包封裝協定,安全加密協定(MD5等)安全認證(des)身份認證等安全協定等一切可以確定安全的方法。下面進行的案例為分支機構公司常用的野蠻模式
案例一 野蠻模式
建立2.0與1.0的隧道以及3.0與1.0之間的隧道,其中fw2及fw3的1端口采用動态獲得ip的方式
首先配置端口各個位址,并将FW2以及FW3上E0/1設定成dhcp動态獲得模式,建立各自的預設路由
并在FW4上建立兩個位址池
配置fw1:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 20 deny ip source any destination any
quit
acl number 3001
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
quit(定義ACL3000以及3001 對資料包進行過濾,繼隻處理到2.0 以及3.0網段的資料包 )
ipsec proposal an1(安全提議)
encapsulation-mode tunnel(模式)
transform esp
esp authentication-algorithm md5(加密方式)
esp encryption-algorithm des(認證)
ipsec proposal an2(定義安全提議)
encapsulation-mode tunnel
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
定義IKE的本地名稱!
ike local-name F1
定義IKE的peer
ike peer peer1
exchange-mode aggressive(動态模式)
pre-shared-key simple 12345(公鑰)
id-type name(采用name驗證)
remote-name FW2
ike peer peer2
exchange-mode aggressive
pre-shared-key simple 12345
id-type name
remote-name FW3
ipsec policy policy 10 isakmp(定義安全政策)
sec acl 3000(将政策綁定)
proposal an1
ike-peer peer1
ipsec policy policy 20 isakmp(定義安全政策)
sec acl 3001
proposal an2
ike-peer peer2
interface Ethernet0/1(進入端口,将政策加入端口)
ipsec policy policy
配置fw2:
rule 10 permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule 20 deny ip source any dest any
ipsec propo an1
enca tunnel
trans esp
es auth md5
esp enc des
ike local-name FW2(本地IKe名稱)
ike peer peer1(定義peer1)
pre-shared-key simple 12345(建立公鑰)
id-type name(驗證方式為名字驗證)
remote-name F1
remote-address 1.1.1.1
ipsec policy policy 10 isakmp(建立安全政策)
sec acl 3000(綁定ACL)
propo an1
ike-peer pee1
inter Ethernet0/1
ipsec poli policy(将政策加入端口)
配置fw3:
rule 10 permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
quit(定義資料流過濾)
ipsec propo an2(建立安全提議)
trans esp (加密驗證認證方式)
ike local-name FW3(本地ike名稱)
ike peer peer2(定義ike)
pre-shared-key simple 12345(建立公鑰)
propo an2
ike-peer peer2
ipsec poli policy(将政策加入端口)
配置完畢
檢視配置
fw4産看位址配置設定
[F4]dis dhcp server ip-in-use all
Global pool:
IP address Client-identifier/ Lease expiration Type
Hardware address
2.1.1.1 3363-6535-2d61-3637- Mar 28 2012 18:09:46 PM Auto:COMMITTED
662d-3337-3462-4574-
6865-726e-6574-302f-
31
3.1.1.1 3363-6535-2d61-3663- Mar 28 2012 18:40:14 PM Auto:COMMITTED
652d-3138-3935-4574-
Interface pool:
--- total 2 entry ---
檢視fw1配置
[F1]dis ike peer
---------------------------
IKE Peer: peer1
exchange mode: aggressive on phase 1
pre-shared-key: 12345
peer id type: name
peer ip address: 0.0.0.0 ~ 255.255.255.255
local ip address:
peer name: FW2
nat traversal: disable
dpd:
IKE Peer: peer2
peer name: FW3
---- More ----
[F1]dis ipsec proposal
IPsec proposal name: an2
encapsulation mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption des
IPsec proposal name: an1
[F1]
[F1]display ipsec policy
===========================================
IPsec Policy Group: "policy"
Using interface: {Ethernet0/1}
-----------------------------
IPsec policy name: "policy"
sequence number: 10
mode: isakmp
security data flow : 3000
selector mode: standard
ike-peer name: peer1
perfect forward secrecy: None
proposal name: an1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
sequence number: 20
security data flow : 3001
ike-peer name: peer2
proposal name: an2
測試結果