安全的定义包含以下:

1、私密性(加密)

A、对称秘钥算法,如凯撒密码,key加密到对方key解密,每次交换key不同,常用的DES(56位)、3DES、AES和RH4

B、非对称秘钥加密算法---接收方发送公钥给发送方,发送方使用该公钥加密,接收方使用私钥解密

RSA、Diffie-Hellman、ECC

2、完整性(确保文件没有被篡改)

一般使用HASH确保完整性,发送方通过散列函数,HASH出来一个HASH摘要,将密文和HASH摘要发送给接收方,接收方解密密文,同样做HASH,HASH出来一个HASH摘要,比对发送过来的HASH值确认完整性。 MD5长度为128位,SHA-1长度为160位

R1#verify /md5 nvram:startup-config

.MD5 of nvram:startup-config Done!

verify /md5 (nvram:startup-config) = 43b237f52e62dcb0420a57bc23849b9c

3、源认证(确保发送方不是伪装的源)

数字签名,主要用于解决源认证的问题的重要性

IPSec的组成部分:

A、 ESP (负载安全封装,端口50)协议

B、认证头(AH)协议

C、Internet秘钥交换协议(IKE)

4、不可否认性(不可否认自己发送过)

IPSec两种传输模式

1、Transport Mode 传输模式 (主机到主机)

2、Tunnel Mode 隧道模式 (站点到站点)

Tunnel Mode实例分析:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(1)

Transport Mode实例分析:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(2)

=======================================================

ESP中包含一个字段SPI,标识单向的IPSEC SA(在某个方向上加密数据)

两种SA

IKE SA(双向的)-1个(ISAKMP,互联网安全关联key管理协议,IKE SA生存时间是24小时)

IPSec SA(单向的)-2个(生存时间是1小时)

ESP包结构:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(3)

大数据库:

SPD(感兴趣流),三种处理方式:1、加密2、丢地3、旁路bypass

SADB(安全关联)

================================================

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(4)

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(5)

IKE第一阶段汇总:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(6)

IKE第二阶段:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(7)

点到点IPsec VPN配置:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(8)

1、前提Site1和Site2之间公网IP可达

2、两个站点有到对端通信网段的路由及本网段私网的路由可达

PC1(config)#ip route 2.2.2.0 255.255.255.0 10.1.1.10

SITE1(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.1

SITE1(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10

SITE1(config)#ip route 61.128.1.0 255.255.255.0 202.100.1.10

SITE2(config)#ip route 1.1.1.0 255.255.255.0 61.128.1.10

SITE2(config)#ip route 202.100.1.0 255.255.255.0 61.128.1.10

下面进行IPsec VPN配置:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(9)

lifetime为一天,不建议修改

SITE1(config)#crypto isakmp policy 10 --配置策略,序号为10 (本地有效)

SITE1(config-isakmp)#encryption 3des ---默认DES,3DES加密更加安全

SITE1(config-isakmp)#hash md5 ---哈希MD5,默认SHA

SITE1(config-isakmp)#authentication pre-share ---认证使用预共享秘钥(需要密码)

SITE1(config-isakmp)#group 2 --默认组1,改为组2

SITE1(config)#crypto isakmp key 0 CCIE address 61.128.1.1 ---配置预共享秘钥

SITE2(config)#crypto isakmp key 0 CCIE address 202.100.1.1

以上第一阶段已经完成,配置第二阶段策略:

定义感兴趣流

SITE1(config)#ip access-list extended VPN

SITE1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

SITE2(config)#ip access-list extended VPN

SITE2(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

配置第二阶段策略,命名为Trans esp(加密头部) 加密方式为aes 完整性校验为md5

SITE1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac

SITE1(config)#crypto map Cry-map 10 ipsec-isakmp ---定义一个map(名称等本地有效)

SITE1(config-crypto-map)#match address VPN---关联ACL

SITE1(config-crypto-map)#set transform-set Trans--关联第二阶段的策略

SITE1(config-crypto-map)#set peer 61.128.1.1--指定对端地址

SITE1(config)#int e0/1

SITE1(config-if)#crypto map Cry-map--接口调用map

站点SITE2配置:

SITE2(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac

SITE2(config)#crypto map Cry-map 10 ipsec-isakmp

SITE2(config-crypto-map)#match address VPN

SITE2(config-crypto-map)#set transform-set Trans

SITE2(config-crypto-map)#set peer 202.100.1.1

SITE2(config)#int e 0/0

SITE2(config-if)#crypto map Cry-map

PC1可以ping通PC2 lo0 :

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(10)

SITE1查看ISAKMP下:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(11)

查看IPSEC SA:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(12)

查看加密解密数据:

CCIE-41-IPSEC-VPN的理论及配置详解(CCIE-41-IPSEC-VPN的理论及配置详解)(13)

欢迎关注和转发,更多精彩内容下期继续分享!

,