思科认证体系

CCIERSV40理论IPSECVPN目录隧道技术举例手动点对点GREIPSECVPN分类IPSEC特征加密术语加密算法数字签名IPSEC安全协议验证报头（AH）封装安全有效负载（ESP）密钥管理和安全关联IPSEC分组的处理配置步骤总结各类IPSEC范畴VPN普通LAN_TO_LANVPNDYNAMICLAN_TO_LANVPNDYNAMICMULTIPOINTVPNDMVPNEASYVPNEZVPN又名远程VPN或接入VPNSSLVPN隧道技术图1如上图所示，在普通情况下，穿越了公网的两个LAN的PC，是无法直接通过输入对方LAN的内网IP地址进行访问的，无法解决公司的某些办公问题和数据访问问题。图2如上图所示，如果两个LAN的路由器是直接相连，那么任何PC都可以直接输入对方LAN的内网IP地址进行访问，解决公司的办公和数据访问等任何问题。但是LAN和LAN之间，有时因为距离问题或成本问题，无法做到直接相连路由器，必须得穿越公网，这样就无法解决上述的访问需求，要解决此类问题，可通过隧道技术，对IP包头重新封装，保留内网地址同时对ISP隐藏，待穿越了ISP之后，到达目标LAN路由器，再还原IP包头，此时再查看最初的目的IP（即内网IP）。如下图返回目录举例返回目录手动点对点GRE通过手动TUNNEL来解决远程LAN之间使用内网地址互访返回目录IPSEC在穿越了公网的LAN需要直接使用内网地址访问对端PC时，可通过隧道技术来解决，而且隧道技术是当前解决此问题的唯一方法，隧道技术可在OSI二层的三层实施，隧道技术，正是VPN技术。然而，由于LAN与LAN之间传输的数据带有私密性，有时必须考虑到数据的安全性，需要对数据进行加密后再传输。所以在隧道技术VPN的环境下，最好能够在隧道中集成加密技术。而IPSEC，正是在这种需求下诞生的，IPSEC就同时集成了隧道技术和加密技术，称为IPSECVPN，而IPSEC，是定义隧道如何实现，加密如何实施，是一系列框架的总结，IPSEC并非一个单纯的协议。返回目录VPN分类二层VPN递送报头在二层，如ATM,帧中继三层VPN递送报头在三层，如GRE,MPLS,IPSECGRE通用路由选择封装由CISCO开发，并被标准化，但没有安全机制。MPLSVPN，也是CISCO倡导的，也被IETF标准化。IPSECVPN用户关心数据安全性，IPSEC是IETF开发的一组协议，支持身份验证，完整性，访问控制和机密性。在普通情况下，两个LAN之间建立隧道的VPN，称为LAN_TO_LANVPN，VPN另一方预先不知道的，可使用远程接入VPN，称为EASYVPNEZVPN。返回目录IPSEC特征安全协议验证报头（AH），封装安全有效负载（ESP）密钥管理ISAKMP,IKE,SKEME算法用于加密和身份验证返回目录加密以往的字母替换法。返回目录术语返回目录加密算法加密和解密的数学函数，数据安全是建立在密钥基础上的，知道算法没关系，没有密钥没用。加密算法分对称加密算法和非对称加密算法。对称加密算法发送方和接收方使用相同的密钥，使用什么加密，就使用什么解密，所以要有好的方法分发密钥，要不然被截取，依然不安全，常见算法有DES,3DES,AESDES56位，不推荐,24小时内可枚举破解。非对称加密算法也叫公钥算法，用两个密钥，加密的叫公钥，可以公开，解密的是私钥，在数学上是相关的，但无法推导。任何有公钥的人都可以加密，但只有有私钥的人才能解密，而私钥只有接受方才知道，可以不传出去。公钥算法没有完全取代对称算法，只是用作他们的密钥分发，因为自己慢，所以不会取代对称加密，只是他们的补充。返回目录数字签名公钥加密可以用来验证消息，叫做数字签名，有不可抵赖性，思想是将变长的消息转换成定长的压缩输出消息摘要，根据消息摘要无法重建原始消息。过程要发文件给对方，先计算一个摘要，然后公钥对摘要进行加密变成数字签名，将文件和签名一起发过去，如果对方根据文件计算出的摘要与原有不符，便认为被改过对消息摘要进行加密,称为加密的消息摘要,或叫消息验证码HMAC（HASH）返回目录IPSEC安全协议IPSEC提供访问控制,数据完整性,身份验证,防止重放和数据机密性。安全协议有验证报头（AH），封装安全有效负载（ESP），为IP数据提供安全。有两种模式，传输模式和隧道模式。传输模式在IP报头和高层协议报头之间插入一个IPSEC报头（AH或ESP），IPSEC报头和数据都有加密验证，认为目的地是可达的，所以源不会修改目标IP地址，只能用于IP端点和IPSEC端点相同的情形。（比如就是两个点之间直接给自己使用VPN，而不是给别人使用）所以传输模式不能进行NAT转换。隧道模式保留原始IP报头，写入新报头，并加密其它。返回目录验证报头（AH）提供数据完整性,身份验证,防止重放，但没有机密性。它是一种IP协议，位置同ESP。返回目录封装安全有效负载（ESP）提供数据完整性,身份验证,防止重放和数据机密性，将原始的加密后封装在报头和报尾，保护IP分组。返回目录密钥管理和安全关联加密算法用的最多的是DES和3DES,所以要解决分发问题。生成，分发和存储统称为密钥管理，下面INTERNET密钥交换（IKE）协议就是协商密钥的。SA（安全关联）（IKE）ISAKMP在IOS上配置IKECRYPTOISAKMPPOLICY10ENCR3DESHASHMD5AUTHENTICATIONPRESHAREGROUP2加密算法包括DES，3DES，AES验证方法有4种预共享密钥（最多），数字签名（最多），2次公钥加密和4次公钥加密。预共享密钥必须双方一致，数字签名验证时，IOS只支持RSA，要用证书。返回目录IPSEC分组的处理安全策略数据库（SPD）安全关联数据库（SADB）安全策略数据库（SPD）决定了如何处理对等体之间的IP数据流安全关联数据库（SADB）包含每个活动安全关联参数安全策略数据库（SPD）包含目标IP，源IP，名称，数据敏感性等级，传输层协议，源和目标端口。安全关联数据库（SADB），每个条目都宣言了一个SA，有关以下参数序列号，序列号溢出，反重放窗口，SA寿命，模式传输还是隧道AH验证算法MD5还是SHAESP验证算法MD5还是SHAESP加密算法DES,3DES查看SASHCRYIPSECSA配置加密算法和封装方法（还可定义模式）CRYPTOIPSECTRANSFORMSETXXXESP3DESESPSHAHMAC使用安全协议ESP，用3DES来加密，用SHAHMAC来确保数据完整性，使用隧道模式来封装（默认），查看使用SHCRYIPSECTRANSFORMSET看IKE协商SHCRYISAKMPPOLICY配置AUTHENTICATIONPRESHAREGROUP2（默认组1，就是IKE相关算法）配置密钥CRYPTOISAKMPKEYCISCO123ADDRESS23113查看SHCRYISAKMPSA返回目录配置步骤总结一ISAKMPSA步骤1定义IKE（INTERNET密钥交换），即ISAKMP2配置密钥3配置加密和封装二IPSECSA步骤1创建邻居2调用ISAKMP的加密和封装3定义要穿越VPN的流量三应用IPSECSA到接口返回目录各类IPSEC范畴VPN返回目录1普通LAN_TO_LANVPN此类VPN，即两个穿越了ISP的LAN之间建立VPN连接，为其内网PC与远程LAN的PC直接通过内网IP进行互访。配置一ISAKMPSA步骤1定义IKE（INTERNET密钥交换），即ISAKMPROUTERCONFIGCRYPTOISAKMPPOLICY1ROUTERCONFIGISAKMPENCRYPTION3DESROUTERCONFIGISAKMPHASHMD5ROUTERCONFIGISAKMPAUTHENTICATIONPRESHAREROUTERCONFIGISAKMPGROUP2ROUTERCONFIGISAKMPEXIT2配置密钥ROUTERCONFIGCRYPTOISAKMPKEY0CISCO123ADDRESS121113配置加密和封装ROUTERCONFIGCRYPTOIPSECTRANSFORMSETABCESP3DESESPMD5HMACROUTERCFGCRYPTOTRANSEXIT二IPSECSA步骤ROUTERCONFIGACCESSLIST100PERMITIP1921681000025510110000255ROUTERCONFIGCRYPTOMAPVPN1IPSECISAKMP1创建邻居ROUTERCONFIGCRYPTOMAPSETPEER121112调用ISAKMP的加密和封装ROUTERCONFIGCRYPTOMAPSETTRANSFORMSETABC3定义要穿越VPN的流量ROUTERCONFIGCRYPTOMAPMATADDRESS100ROUTERCONFIGCRYPTOMAPEXIT三应用IPSECSA到接口ROUTERCONFIGINTF0/0ROUTERCONFIGIFCRYPTOMAPVPNROUTERCONFIGIFEXIT返回目录2DYNAMICLAN_TO_LANVPN此类VPN，用于当需要建立VPN的LAN多于两个，需要在多个场点之间建立连接，可能有的场点IP地址不固定，使用了DHCP服务。那么，在多个LAN之间建立LAN_TO_LANVPN时，其中一方必须固定IP地址，但其它均可浮动IP地址，只要保证两点之间，一方能够找到另一方即可。之前普通LAN_TO_LANVPN的某些规则在此便不适用，因为对端LAN是浮动IP时，本端无法为明确的对端配置预共享密钥，只能对任意IP配置。此类VPN，需要调用一个组的概念，而密钥和对端0000的IP均是在组下完成。并且将该组与加密和封装做好动态组映射，集成到IPSECSA中，最后应用到接口下HUB端配置HUB端（固定的IP地址）一ISAKMPSA步骤1定义IKE（INTERNET密钥交换），即ISAKMPROUTERCONFIGCRYPTOISAKMPPOLICY10ROUTERCONFIGISAKMPENCRYPTION3DESROUTERCONFIGISAKMPHASHMD5ROUTERCONFIGISAKMPAUTHENTICATIONPRESHAREROUTERCONFIGISAKMPGROUP2ROUTERCONFIGISAKMPEXI2配置密钥ROUTERCONFIGCRYPTOKEYRINGSPOKESROUTERCONFKEYRINGPRESHAREDKEYADDRESS00000000KEY0CISCO123ROUTERCONFKEYRINGEXI3配置加密和封装ROUTERCONFIGCRYPTOIPSECTRANSFORMSETMYSETESP3DESESPMD5HMACROUTERCFGCRYPTOTRANSEXIDYNAMIC部分1将邻居和密钥映射成动态框架ROUTERCONFIGCRYPTOISAKMPPROFILEL2LROUTERCONFISAPROFKEYRINGSPOKESROUTERCONFISAPROFMATIDENTITYADDRESS0000ROUTERCONFISAPROFEXI2创建动态组集合动态框架和加密封装方法ROUTERCONFIGCRYPTODYNAMICMAPMMM5ROUTERCONFIGCRYPTOMAPSETTRANSFORMSETMYSETROUTERCONFIGCRYPTOMAPSETISAKMPPROFILEL2LROUTERCONFIGCRYPTOMAPEXIT二IPSECSA步骤ROUTERCONFIGCRYPTOMAPVPN10IPSECISAKMPDYNAMICMMM三应用IPSECSA到接口ROUTERCONFIGINTS0/0ROUTERCONFIGIFCRYPTOMAPVPNROUTERCONFIGIFEXITSPOKE端（浮动的IP地址）配置同普通LAN_TO_LANVPN一ISAKMPSA步骤1定义IKE（INTERNET密钥交换），即ISAKMPROUTERCONFIGCRYPTOISAKMPPOLICY1ROUTERCONFIGISAKMPENCRYPTION3DESROUTERCONFIGISAKMPHASHMD5ROUTERCONFIGISAKMPAUTHENTICATIONPRESHAREROUTERCONFIGISAKMPGROUP2ROUTERCONFIGISAKMPEXIT2配置密钥ROUTERCONFIGCRYPTOISAKMPKEY0CISCO123ADDRESS121113配置加密和封装ROUTERCONFIGCRYPTOIPSECTRANSFORMSETABCESP3DESESPMD5HMACROUTERCFGCRYPTOTRANSEXIT二IPSECSA步骤ROUTERCONFIGACCESSLIST100PERMITIP1921681000025510110000255ROUTERCONFIGCRYPTOMAPVPN1IPSECISAKMP1创建邻居ROUTERCONFIGCRYPTOMAPSETPEER121112调用ISAKMP的加密和封装ROUTERCONFIGCRYPTOMAPSETTRANSFORMSETABC3定义要穿越VPN的流量ROUTERCONFIGCRYPTOMAPMATADDRESS100ROUTERCONFIGCRYPTOMAPEXIT三应用IPSECSA到接口ROUTERCONFIGINTF0/0ROUTERCONFIGIFCRYPTOMAPVPNROUTERCONFIGIFEXIT返回目录3DYNAMICMULTIPOINTVPNDMVPN背景多点GRENEXTHOPRESOLUTIONPROTOCOLNHRP配置HUB端配置INTERFACETUNNEL0IPADDRESS666612552552550IPMTU1440IPNHRPAUTHENTICATIONCISCO123双方必须相同IPNHRPMAPMULTICASTDYNAMIC没有这条，用组播的路由协议无法建立IPNHRPNETWORKID100双方标识符IPOSPFNETWORKPOINTTOMULTIPOINTTUNNELSOURCESERIAL1/1TUNNELMODEGREMULTIPOINTTUNNELKEY0TUNNELPROTECTIONIPSECPROFILECISCOCRYPTOISAKMPPOLICY10EN3DESHASHMD5AUTHENTICATIONPRESHAREGROUP2CRYPTOISAKMPKEYCISCO123ADDRESS00000000CRYPTOIPSECTRANSFORMSETSTRONGESP3DESESPMD5HMACCRYPTOIPSECPROFILECISCOSETSECURITYASSOCIATIONLIFETIMESECONDS120SETTRANSFORMSETSTRONGINTERFACETUNNEL0TUNNELPROTECTIONIPSECPROFILECISCOSPOKE配置INTERFACETUNNEL0IPADDRESS666632552552550IPMTU1440IPNHRPAUTHENTICATIONCISCO123IPNHRPMAPMULTICASTDYNAMICIPNHRPMAP6666112111向12111去请求GRE并注册IPNHRPMAPMULTICAST12111没有这条，用组播的路由协议无法建立IPNHRPNETWORKID100IPNHRPNHS66661配置下一跳服务器IPOSPFNETWORKPOINTTOMULTIPOINTTUNNELSOURCEFASTETHERNET0/0TUNNELMODEGREMULTIPOINTTUNNELKEY0TUNNELPROTECTIONIPSECPROFILECISCOCRYPTOISAKMPPOLICY10EN3DESHASHMD5AUTHENTICATIONPRESHAREGROUP2CRYPTOISAKMPKEYCISCO123ADDRESS00000000CRYPTOIPSECTRANSFORMSETSTRONGESP3DESESPMD5HMACCRYPTOIPSECPROFILECISCOSETSECURITYASSOCIATIONLIFETIMESECONDS120维护SA状态的时间，默认一小时SETTRANSFORMSETSTRONGINTERFACETUNNEL0TUNNELPROTECTIONIPSECPROFILECISCO查看命令SHOWIPPROTOCOL查看NHRPSHOWIPNHRPBRIEFSHOWIPNHRPIPSEC查看SHOWCRYPTOISAKMPSASHOWCRYPTOISAKMPPEERSSHOWCRYPTOSESSIONSHOWCRYPTOIPSECSA只能看到对端，不能看到后面LAN额外补充默认情况下，CDP不开，在TUNNEL下是看不到对端的但在SPOKE情况下，最好在外网接口不开CDP，因为开了，运行ODR时，会把外网地址发过去，然后HUB就会从TUNNEL到该外网地址，可TUNNEL是依靠外网地址的，成为死循环。返回目录4EASYVPNEZVPN又名远程VPN或接入VPN此类VPN可使用传输模式，突破NAT限制。配置SERVER配置AAAAUTHENTICATIONLOGINHYHYLOCALAAAAUTHORIZATIONNETWORKABCLOCALUSERNAMEAAAPASSWORDBBBCRYPTOISAKMPPOLICY1EN3DESHASHMD5AUTHENTICATIONPRESHAREGROUP2CRYPTOISAKMPCLIENTCONFIGURATIONGROUPGHDKEYCISCODOMAINCISCOCOMCNPOOLCCIEACL111CRYPTOIPSECTRANSFORMSETTTTESPDESESPMD5HMACIPLOCALPOOLCCIE1010101010101020ACCESSLIST111PERMITIPANYANY有类似DYNAMICVPN的部分创建动态组集合动态框架和加密封装方法CRYPTODYNAMICMAPJIAOJIAO1SETTRANSFORMSETTTTREVERSEROUTEIPSECSA步骤CRYPTOMAPVPNCLIENTAUTHENTICATIONLISTHYHYCRYPTOMAPVPNISAKMPAUTHORIZATIONLISTABCCRYPTOMAPVPNCLIENTCONFIGURATIONADDRESSRESPONDCRYPTOMAPVPN1IPSECISAKMPDYNAMICJIAOJIAOINTERFACESERIAL0/0CRYPTOMAPVPN返回目录5SSLVPNEZVPN在拨入时，PC需要安装CLIENT软件，通过软件来认证，SSLVPN则省略PC安装CLIENT软件的过程，认证过程采用登陆网页的方式来认证，但须支持JAVA。配置开AAAROUTERCONFIGAAAAUTHENTICATIONLOGINDEFAULTLOCALROUTERCONFIGAAAAUTHENTICATIONLOGINSSLLOCALROUTERCONFIGUSERNAMEAAAPASSWORDBBB上传软件ROUTERFORMATFLASHFORMATOPERATIONMAYTAKEAWHILECONTINUECONFIRMFORMATOPERATIONWILLDESTROYALLDATAIN“FLASH“CONTINUECONFIRMCURRENTLOWENDFILESYSTEMFLASHCARDINFLASHWILLBEFORMATTEDINTODOSFILESYSTEMFLASHCARDCONTINUECONFIRMPRIMARYPARTITIONCREATEDSIZE16MBDRIVECOMMUNICATION1STSECTORWRITEOKWRITINGMONLIBSECTORSMONLIBWRITECOMPLETEFORMATALLSYSTEMSECTORSWRITTENOKFORMATTOTALSECTORSINFORMATTEDPARTITION32736FORMATTOTALBYTESINFORMATTEDPARTITION16760832FORMATOPERATIONCOMPLETEDSUCCESSFULLYFORMATOFFLASHCOMPLETEROUTERCOPYFTPFLASHADDRESSORNAMEOFREMOTEHOST200112SOURCEFILENAMESSLCLIENTPKGDESTINATIONFILENAMESSLCLIENTPKGACCESSI