.jpg)
實驗配置步驟:
第一階段:iaskmp SA(IKE SA要保護(hù)的對象是與密鑰有關(guān)的)
IKE并不直接關(guān)心用戶的數(shù)據(jù),并且IKE SA是為安全協(xié)商IPSec SA服務(wù)的
1、共享密鑰或數(shù)字證書
IKE采用了Diffie-Hellman算法、密鑰通過對等體推算出自己的密鑰
group1 密鑰長度為768bit
group2 密鑰長度為1024bit
group5 密鑰長度為1536bit
用于數(shù)據(jù)加密的密鑰的值是靠算法計算出來的,是不能由管理員定義和修改的
2、驗證鄰居(建立鄰居)
第二階段:IPsec SA(用戶的數(shù)據(jù)流量真正是在IPSec SA上傳遞的)
IPSec SA直接為用戶數(shù)據(jù)流服務(wù),IPSec SA中的所有安全策略都是為了用戶數(shù)據(jù)流的安全
1、數(shù)據(jù)封裝協(xié)議(ESPAH為安全協(xié)議)
2、工作模式(傳輸透明)
3、加密算法(DES3DESAES)
4、認(rèn)證方式(MD5SHA)
第三階段:定義感興趣流(通訊網(wǎng)段,基于擴(kuò)展ACL)
第四階段:安全關(guān)聯(lián)(SA)
1、驗證鄰居
2、數(shù)據(jù)加密方式
3、感興趣流
第五階段:接口調(diào)用
R1
Router>enable??????????????????????????????????????? ?
Router#configure terminal
Router(config)#hostname R1??????????????????????????? ?
R1(config)#no ip domain-lookup??????????????????????? ?
R1(config)#service timestamps debug datetime localtime
R1(config)#service timestamps log? datetime localtime
R1(config)#interface f0/1?????????????????????? ?
R1(config-if)#ip address 10.1.1.1 255.255.255.0???? ?
R1(config-if)#no shutdown??????????????????? ?
R1(config-if)#exit??????????????????????????????? ?
R1(config)#interface f0/0????????????????? ?
R1(config-if)#ip address 12.1.1.1 255.255.255.0??????? ?
R1(config-if)#no shutdown ?
R1(config-if)#exit???? ?
R1(config)#interface loop0????????????????? ?
R1(config-if)#ip address 1.1.1.1 255.255.255.0??????? ?
R1(config-if)#no shutdown ?
R1(config-if)#exit????????????????????? ?
R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2???? ?
R1(config)#interface tunnel10??????????????? ?
R1(config-if)#tunnel source 12.1.1.1
R1(config-if)#tunnel destination 23.1.1.3? ?
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)#tunnel mode gre ip ?
R1(config-if)#no shutdown ?
R1(config)#ip route 192.168.1.0 255.255.255.0 tunnel10
R1(config)#crypto isakmp policy 10? IKE第一階段認(rèn)證策略(保證密鑰安全)
R1(config-isakmp)#authentication pre-share?? 認(rèn)證方式
R1(config-isakmp)#encryption des IKE第1.5階段加密(數(shù)據(jù)加密,加密方式,默認(rèn)為DES)
R1(config-isakmp)#group 2 密鑰算法(Diffie-Hellman)
group1(768bit)、group2(1024bit)、group5(1536bit),默認(rèn)是group1
R1(config-isakmp)#hash md5 認(rèn)證方式
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 6 cisco address 23.1.1.3 255.255.255.0 身份驗證
R1(config)#crypto isakmp keepalive 10 3?? 每10s發(fā)送DPD檢測×××建立、3s之內(nèi)沒回復(fù)再發(fā)3次
R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac isakmp策略,數(shù)據(jù)封裝模式
R1(cfg-crypto-trans)#mode tunnel? 模式,默認(rèn)是tunnel mode 模式
R1(cfg-crypto-trans)#exit
R1(config)#ip access-list extended interested 定義感興趣流
R1(config-ext-nacl)#permit gre host 12.1.1.1 host 23.1.1.3 本端通信的主機(jī)和對端通信的主機(jī)
R1(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 tunnel mode定義感興趣流
R1(config-ext-nacl)#exit
R1(config)#crypto map IPSec*** 10 ipsec-isakmp 安全關(guān)聯(lián)(關(guān)聯(lián)以上數(shù)據(jù)封裝方式、感興趣流)
R1(config-crypto-map)# set peer 23.1.1.3
R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#match address interested ?
R1(config-crypto-map)#exit
R1(config)#interface f0/0?????????? ?
R1(config-if)#crypto map IPSec***
R1(config)#ip access-list extended nat
R1(config-ext-nacl)#10 permit ip 1.1.1.0 0.0.0.255 any
R1(config-ext-nacl)#exit
R1(config)#int loop0
R1(config-if)#ip nat inside
R1(config-if)#int s0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#ip nat inside source list nat int f0/0 overload
R1(config)#ip nat inside source static udp 192.168.2.2 4500 interface f0/0 4500
R1(config)#ip nat inside source static udp 192.168.2.2 500 interface f0/0 500
R3
Router>enable??????????????????????????????????????? ?
Router#configure terminal
Router(config)#hostname R3??????????????????????????? ?
R3(config)#no ip domain-lookup??????????????????????? ?
R3(config)#service timestamps debug datetime localtime
R3(config)#service timestamps log? datetime localtime
R3(config)#interface f0/0?????????????????????? ?
R3(config-if)#ip address 192.168.1.3 255.255.255.0???? ?
R3(config-if)#no shutdown??????????????????? ?
R3(config-if)#exit??????????????????????????????? ?
R3(config)#interface f0/1???????????????? ?
R3(config-if)#ip address 23.1.1.3 255.255.255.0??????? ?
R3(config-if)#no shutdown ?
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R3(config)#interface tunnel11????????????????? ?
R3(config-if)#tunnel source 23.1.1.3
R3(config-if)#tunnel destination 12.1.1.1? ?
R3(config-if)# ip address 172.16.1.3 255.255.255.0
R3(config-if)#tunnel mode gre ip ?
R3(config-if)#no shutdown ?
R3(config-if)#exit
R3(config)#ip route 10.1.1.0 255.255.255.0 tunnel11
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption des
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 6 cisco address 12.1.1.1 255.255.255.0
R3(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#ip access-list extended interested ?
R3(config-ext-nacl)#permit gre host 23.1.1.3 host 12.1.1.1
R3(config-ext-nacl)#exit
R3(config)#crypto map IPSec*** 10 ipsec-isakmp
R3(config-crypto-map)#set peer 12.1.1.1
R3(config-crypto-map)#set transform-set cisco
R3(config-crypto-map)#match address interested
R3(config-crypto-map)#exit
R3(config)#interface serial 0/1
R3(config-if)#crypto map IPSec***
IPSec也具有配置復(fù)雜、消耗運(yùn)算資源較多、增加延遲、不支持組播等缺點
查看策略:
show crypto isakmp policy 定義域共享密鑰建立***連接
show crypto engine connections active? 查看加密解密數(shù)據(jù)包的數(shù)量
clear? crypto isakmp 清除IKE第一階段
clear? crypto sa? 清除IKE第二階段
流量優(yōu)化:
access-list 101 permit? esp host 12.1.1.1 host 23.1.1.3
access-list 101 permit? udp host 12.1.1.1 host 23.1.1.3? eq isakmp
access-list 101 permit? ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
首先第一階段有MM(主模式)和野蠻模式,第二階段才有QM(快速模式)
其次,主模式的最后兩條消息有加密,可以提供身份保護(hù)功能
而野蠻模式消息集成度過高,因此無身份保護(hù)功能
野蠻模式(該情況下,響應(yīng)者無法根據(jù)IP地址選擇對應(yīng)的預(yù)共享密鑰,即不依賴IP地址標(biāo)識身份,使得野蠻模式具備更好的靈活性)
通過display ike sa 查看結(jié)果
1、第一階段ike sa已經(jīng)成功建立
3、ike使用的是版本v1
peer此安全聯(lián)盟的狀態(tài)
flag顯示此安全聯(lián)盟的狀態(tài)
RD(ready)表示SA已建立成功
ST(stayalive)表示此端是通道協(xié)商發(fā)起方
RL(Replaced)表示此通道已經(jīng)被新的通道替代,一段時間后將被刪除
FD(Fading)表示此通道以發(fā)生過一次軟超時,目前還在使用,在硬超時時會刪除此通道
TO(timeout)表示此SA在上次keepalive超時發(fā)生后還沒有收到keepalive報文,如果在下次keepalive超時發(fā)生時仍沒有收到keepalive報文,此SA將被刪除
TD(deleting)表示該條SA即將被刪除
NEG(negotiating)表示IKE SA正在協(xié)商中,是由隧道兩端設(shè)置的某些參數(shù)不一致導(dǎo)致
D(DPD)表示開啟了DPD檢測功能,并正在做DPD檢測
M(active)表示IKE SA狀態(tài)為主
S(standby)表示IKE SA狀態(tài)為備
A(alone)表示IKE SA狀態(tài)為Alone,IPSec隧道之間不備份
此SA所屬階段:Phase1:建立安全通道進(jìn)行通信的階段,此階段建立ISAKMP SA Phase2:協(xié)商安全服務(wù)的階段。此階段建立IPSec SA
安全聯(lián)盟由三元素唯一標(biāo)識(安全協(xié)議號(AH或ESP)、目的IP地址、安全參數(shù)索引(SPI,Security Parameter Index))
安全參數(shù)索引是為唯一標(biāo)識SA而生成的一個32bite的數(shù)值,它在IPsec頭中傳輸
IPSec-IKE野蠻模式
1、隧道兩端協(xié)商慢的問題
2、發(fā)起者源地址不確定問題
(當(dāng)發(fā)起者的IP地址是動態(tài)分配獲得的時候,由于發(fā)起者的IP地址不可能被響應(yīng)者提前知道,而且雙方都打算采用預(yù)共享密鑰驗證方法)
ESP報文在隧道模式下,可以實現(xiàn)對原IP頭數(shù)據(jù)的機(jī)密性
配置預(yù)共享密鑰,必須在兩端都進(jìn)行配置,兩邊的密鑰必須一致
IPSEC中隧道模式下,ESP對新IP報文頭字段不做驗證(隧道模式封裝新的報頭,對其不做驗證)
IKE默認(rèn)使用DH group2默認(rèn)組
AH可以實現(xiàn)的特性(AH協(xié)議,AH是報文頭驗證協(xié)議,主要提供的功能有數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗和防報文重放功能)
AH并不加密所保護(hù)的數(shù)據(jù),所有不能完成機(jī)密性
IKE互聯(lián)網(wǎng)密碼交換協(xié)議:IKE協(xié)議用于自動協(xié)商AH和ESP所使用的密碼算法
.png)
