导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。 另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
IPSEC概述
IPSEC是一套比较完整成体系的×××技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解。 ×××国家标准: 标准制定单位:华为技术有限公司、中兴、深信服科技有限公司、无锡江南信息安全工程技术中心
通过Internet建立了一个通讯的隧道,通过这个通讯的隧道,就可以建立起网络的连接。但是这个模型并非完美,仍然有很多问题需要解决。
一个×××节点,可能是一台×××网关,也可能是一个客户端软件。在×××组网中间,属于组网的一个通讯节点。它应该能够连接 Internet,有可能是直接连接,比如adsl、电话拨号等等,也可能是通过nat方式,例如:小区宽带、cdma上网、铁通线路等等。
×××隧道:在两个vpn节点之间建立的一个虚拟链路通道。两个设备内部的网络,能够通过这个虚拟的数据链路到达对方。与此相关的信息是当时两个×××节点的IP地址,隧道名称、双方的密钥。
假如设备都是动态拨号方式的话,那么一定需要一个合适的静态的第三方来进行解析。一种是通过网页解析,一种是通过一个集中的服务器解析,另一中是通过DDNS(动态域名)解析。
建立隧道
IPsec vpn并不神秘。所有核心的工作无非就是围绕以下几个方面展开:
如何找到与本×××节点相关的其他节点。
协商出一个可以通讯的隧道。如果是nat之后,应该怎么处理。
建立隧道路由表,确定不同的目标地址,走不同的隧道。
安全
采用包封装协议,安全加密协议(MD5等)安全认证(des)身份认证等安全协议等一切可以确保安全的方法。下面进行的案例为分支机构公司常用的野蛮模式
案例一 野蛮模式
建立2.0与1.0的隧道以及3.0与1.0之间的隧道,其中fw2及fw3的1端口采用动态获得ip的方式
首先配置端口各个地址,并将FW2以及FW3上E0/1设置成dhcp动态获得模式,建立各自的默认路由
并在FW4上建立两个地址池
配置fw1:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 20 deny ip source any destination any
quit
acl number 3001
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
quit(定义ACL3000以及3001 对数据包进行过滤,继只处理到2.0 以及3.0网段的数据包 )
ipsec proposal an1(安全提议)
encapsulation-mode tunnel(模式)
transform esp
esp authentication-algorithm md5(加密方式)
esp encryption-algorithm des(认证)
ipsec proposal an2(定义安全提议)
encapsulation-mode tunnel
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
定义IKE的本地名称!
ike local-name F1
定义IKE的peer
ike peer peer1
exchange-mode aggressive(动态模式)
pre-shared-key simple 12345(公钥)
id-type name(采用name验证)
remote-name FW2
ike peer peer2
exchange-mode aggressive
pre-shared-key simple 12345
id-type name
remote-name FW3
ipsec policy policy 10 isakmp(定义安全策略)
sec acl 3000(将策略绑定)
proposal an1
ike-peer peer1
ipsec policy policy 20 isakmp(定义安全策略)
sec acl 3001
proposal an2
ike-peer peer2
interface Ethernet0/1(进入端口,将策略加入端口)
ipsec policy policy
配置fw2:
rule 10 permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule 20 deny ip source any dest any
ipsec propo an1
enca tunnel
trans esp
es auth md5
esp enc des
ike local-name FW2(本地IKe名称)
ike peer peer1(定义peer1)
pre-shared-key simple 12345(创建公钥)
id-type name(验证方式为名字验证)
remote-name F1
remote-address 1.1.1.1
ipsec policy policy 10 isakmp(建立安全策略)
sec acl 3000(绑定ACL)
propo an1
ike-peer pee1
inter Ethernet0/1
ipsec poli policy(将策略加入端口)
配置fw3:
rule 10 permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
quit(定义数据流过滤)
ipsec propo an2(创建安全提议)
trans esp (加密验证认证方式)
ike local-name FW3(本地ike名称)
ike peer peer2(定义ike)
pre-shared-key simple 12345(建立公钥)
propo an2
ike-peer peer2
ipsec poli policy(将策略加入端口)
配置完毕
查看配置
fw4产看地址分配
[F4]dis dhcp server ip-in-use all
Global pool:
IP address Client-identifier/ Lease expiration Type
Hardware address
2.1.1.1 3363-6535-2d61-3637- Mar 28 2012 18:09:46 PM Auto:COMMITTED
662d-3337-3462-4574-
6865-726e-6574-302f-
31
3.1.1.1 3363-6535-2d61-3663- Mar 28 2012 18:40:14 PM Auto:COMMITTED
652d-3138-3935-4574-
Interface pool:
--- total 2 entry ---
查看fw1配置
[F1]dis ike peer
---------------------------
IKE Peer: peer1
exchange mode: aggressive on phase 1
pre-shared-key: 12345
peer id type: name
peer ip address: 0.0.0.0 ~ 255.255.255.255
local ip address:
peer name: FW2
nat traversal: disable
dpd:
IKE Peer: peer2
peer name: FW3
---- More ----
[F1]dis ipsec proposal
IPsec proposal name: an2
encapsulation mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption des
IPsec proposal name: an1
[F1]
[F1]display ipsec policy
===========================================
IPsec Policy Group: "policy"
Using interface: {Ethernet0/1}
-----------------------------
IPsec policy name: "policy"
sequence number: 10
mode: isakmp
security data flow : 3000
selector mode: standard
ike-peer name: peer1
perfect forward secrecy: None
proposal name: an1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
sequence number: 20
security data flow : 3001
ike-peer name: peer2
proposal name: an2
测试结果