IPSEC简介:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Ipsec 规定了一系列的协议标准,IPSEC协议不是一个单独的协议,它给出了应用于ip网络数据安全的一整套体系结构,在对等层选择包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密匙管理协议Internet Key Exchange(IKE)和用于网络认证和加密的一些算法等。
IPSEC协议有两大优点:
一个是IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。
第二是为了实现异地网络的的互连通。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
Ipsec在建立***过程中分为以下几个步骤:
首先将数据封装,使原本不能互相通信的局域网通过出口的IP地址封装实现异地lan-lan通讯。
然后使用安全协议把数据加密转换,将明文变成密文。
接下来对数据认证,使用加密算法对发送的报文特征进行加密产生一个数字签名,报文被接收方还原后,就会检查这个数字签名是否相同。如果不同则被修改过。
然后进行身份的认证,×××身份认证有预共享**(pre-shared-key),通讯双方实现约定加密解密的密码,直接通讯就可以了。
×××特点:
×××建立隧道以后,就确定隧道路由,即到哪里去,走哪个隧道。很多×××隧道配置的时候,就定义了保护网络,这样,隧道路由就根据保护的网络关系来决定。网络中间的其他用户都将无法访问到该网络。
下面在案例中介绍IPSEC在H3C设备上的配置方法:
设备需求:
本实验采用了3台H3C2600路由器,一台三层H3Cs3526e交换机。
试验要求:
使用IPSEC建立***使总公司与各个分公司能够互通,并且分公司之间也能互相通信
总公司路由配置:
[Router]int e1
[Router-Ethernet1]ip add 192.168.1.1 255.255.255.0
[Router-Ethernet1]int e0
[Router-Ethernet0]ip add 192.168.4.10 24
[Router-Ethernet0]quit
[Router]ip route 0.0.0.0 0 192.168.1.254【配置默认路由使3层交换机与3台路由器的外部节点模拟internet网络互通】
[Router]acl 3000【创建访问控制列表】
[Router-acl-3000]rule permit ip source 192.168.4.0 0.0.0.255 dest 192.168.5.0 0.0.0.255【允许4.0发出的数据包而且目的地为5.0的数据包通过】
[Router-acl-3000]rule permit ip source 192.168.6.0 0.0.0.255 dest 192.168.5.0 0.0.0.255【由于只建立2条×××隧道,为了实现两个分公司的通讯,由分公司2(6.0网段)发出的数据包想要到达分公司1(5.0网段),必须经过总公司(4.0网段)才能到达所以在总公司的路由器中要允许6.0到达5.0网段的数据包通过】
[Router-acl-3000]rule deny ip source any dest any 【拒绝其他所有的数据包通过】
[Router-acl-3000]quit
[Router]acl 3001
[Router-acl-3001]rule permit ip source 192.168.4.0 0.0.0.255 dest 192.168.6.0 0.0.0.255【允许从4.0到6.0的包通过】
[Router-acl-3001]rule permit ip source 192.168.5.0 0.0.0.255 dest 192.168.6.0 0.0.0.255【允许5.0到6.0的包通过】
[Router-acl-3001]rule deny ip source any dest any【拒绝其他的包通过】
[Router-acl-3001]quit
[Router]ipsec propo tran1【创建安全提议tran1】
[Router-ipsec-proposal-tran1]encap tunnel【选择隧道连接】
[Router-ipsec-proposal-tran1]transform esp【选择安全协议】
[Router-ipsec-proposal-tran1]esp encry des【选择加密算法】
[Router-ipsec-proposal-tran1]esp auth md5【选择加密方式】
[Router-ipsec-proposal-tran1]quit
[Router]ipsec policy celue1 10 isakmp【创建安全策略celue1并写入中第10句】
[Router-ipsec-policy-celue1-10]security acl 3000【将访问控制列表3000应用到该策略中】
[Router-ipsec-policy-celue1-10]proposal tran1【将安全提议tran1写入该安全策略中】
[Router-ipsec-policy-celue1-10]tunnel remote 192.168.2.1 【远端隧道的接口】
[Router-ipsec-policy-celue1-10]quit
[Router]ipsec policy celue1 20 isakmp【策略celue1的第20句】
[Router-ipsec-policy-celue1-20]security acl 3001【应用访问控制列表3001】
[Router-ipsec-policy-celue1-20]proposal tran1【应用安全提议tran1】
[Router-ipsec-policy-celue1-20]tunnel remote 192.168.3.1【远端直连***端口】
[Router-ipsec-policy-celue1-20]quit
[Router]int e1
[Router-Ethernet1]ipsec policy celue1
[Router-Ethernet1]quit
[Router]ike pre-sha fgs1 remote 192.168.2.1【预共享**,双方端口进行互相认证,在***双方都要配置相同的预共享**】
[Router]ike pre-s fgs2 remote 192.168.3.1【3.0网段的预共享**】
[Router]
三层交换机(模拟internet)
[s11]vlan 10【创建vlan】
[s11-vlan10]port e0/9 to e0/10
[s11-vlan10]vlan 20
[s11-vlan20]port e0/11 to e0/12
[s11-vlan20]vlan 30
[s11-vlan30]port e0/13 to e0/14
[s11]int Vlan-interface 20
[s11-Vlan-interface20]
[s11-Vlan-interface20]
[s11-Vlan-interface20]ip add 192.168.2.254 255.255.255.0
[s11-Vlan-interface20]
[s11-Vlan-interface20]
[s11-Vlan-interface20]int vlan 30
[s11-Vlan-interface30]
[s11-Vlan-interface30]ip add 192.168.3.254 255.255.255.0【为3个vlan分别配置IP地址】
分公司1配置信息
[Router]int e1
[Router-Ethernet1]ip add 192.168.2.1 255.255.255.0【连接外网的端口ip】
[Router-Ethernet1]int e0
[Router-Ethernet0]ip add 192.168.5.10 255.255.255.0【连接企业内网】
[Router-Ethernet0]quit
[Router]ip route 0.0.0.0 0 192.168.2.254【默认路由】
[Router]acl 3000
[Router-acl-3000]rule permit ip source 192.168.5.0 0.0.0.255 dest 192.168.4.0 0.0.0.255【允许从5.0到4.0的包通过】
[Router-acl-3000]rule permit ip source 192.168.5.0 0.0.0.255 dest 192.168.6.0 0.0.0.255【允许从5.0到6.0的包通过】
[Router-acl-3000]rule deny ip source any dest any【拒绝其他数据包通过】
[Router-acl-3000]quit
[Router]ipsec proposal tran2【创建提议tran2】
[Router-ipsec-proposal-tran2]encap tunnel 【采用隧道连接】
[Router-ipsec-proposal-tran2]transform esp【选择安全协议】
[Router-ipsec-proposal-tran2]esp encry des【加密算法】
[Router-ipsec-proposal-tran2]esp auth md5【加密方式】
[Router-ipsec-proposal-tran2]quit
[Router]ipsec policy celue2 10 isakmp【创建安全策略celue2并写入第10句,采用自动协商spi、string-key的方式】
[Router-ipsec-policy-celue2-10]security acl 3000【创建访问控制列表3000】
[Router-ipsec-policy-celue2-10]proposal tran2【采用安全提议tran2】
[Router-ipsec-policy-celue2-10]tunnel remote 192.168.1.1【远端***接口合法ip192.168.1.1】
[Router-ipsec-policy-celue2-10]quit【到这里安全策略celue2就写完并生成了】
[Router]ike pre-shar fgs1 remote 192.168.1.1【预配置共享秘钥,密码为fgs1,这样就能与总公司密码为fgs1的隧道进行协商,它的建立隧道的先决条件】
[Router]int e1【进入e1端口】
[Router-Ethernet1]ipsec policy celue2【在该接口采用安全策略celue2】
[Router-Ethernet1]quit
分公司2的配置信息:(由于两个分公司的配置原理是相同的,这里就不再多做重复介绍,注意预共享**需要与总公司相匹配)
[Router]int e1
[Router-Ethernet1]ip add 192.168.3.1 255.255.255.0
[Router-Ethernet1]int e0
[Router-Ethernet0]ip add 192.168.6.10 255.255.255.0
[Router-Ethernet0]quit
[Router]ip route 0.0.0.0 0 192.168.3.254
[Router]acl 3000
[Router-acl-3000]rule permit ip source 192.168.6.0 0.0.0.255 dest 192.168.4.0 0.0.0.255
[Router-acl-3000]rule permit ip source 192.168.6.0 0.0.0.255 dest 192.168.5.0 0.0.0.255
[Router-acl-3000]rule deny ip source any dest any
[Router-acl-3000]quit
[Router]ipsec proposal tran3
[Router-ipsec-proposal-tran3]encap tunnel
[Router-ipsec-proposal-tran3]transform esp
[Router-ipsec-proposal-tran3]esp encry des
[Router-ipsec-proposal-tran3]esp auth md5
[Router-ipsec-proposal-tran3]quit
[Router]ipsec policy celue3 10 isakmp
[Router-ipsec-policy-celue3-10]security acl 3000
[Router-ipsec-policy-celue3-10]proposal tran3
[Router-ipsec-policy-celue3-10]tunnel remote 192.168.1.1
[Router-ipsec-policy-celue3-10]quit
[Router]ike pre-sha fgs2 remote 192.168.1.1
[Router]int e1
[Router-Ethernet1]ipsec policy celue3
[Router-Ethernet1]quit
测试结果:
分别在4.0、5.0、6.0网络中安置4.1、5.1、6.1主机
从分公司1到总公司:(5.1到4.1)
从分公司2到总公司:(6.1到4.1)
从分公司1到分公司2:(5.1到6.1)
至此静态***试验完成,由于时间紧迫,动态***在下次分享。
未完待续。。。
转载于:https://blog.51cto.com/zhangc/959645