基于h3c路由器的IPSECVPN.ppt

基于h3c路由器的 IPSEC VPN,目 录,VPN简介 IPSec VPN,IPSec基础 端到端IPSec VPN的工作原理及配置,VPN背景,总公司,租用专线,我们有很多分公司，如果用租用专线的方式把他们和总公司连起来，需要花很多钱,想节约成本的话，可以用VPN来连接,分公司,分公司,分公司,VPN简介,IP VPN (Virtual Private Network，虚拟专用网)就是利用开放的公众IP/MPLS网络建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。,IP/MPLS网,中心站点,分支机构,移动办公人员,隧道机制,IP VPN可以理解为：通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线 。 隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。,被封装的原始IP包,新增加的IP头,IPSec头,乘客协议,隧道协议,承载协议,原始IP包,经过IPSec封装后,乘客协议被封装的协议，如PPP、SLIP； 封装协议隧道的建立、维持和断开，如L2TP、IPSec等； 承载协议承载经过封装后的数据包的协议，如IP和ATM等。 目前因特网上较为常见的隧道协议大致有两类：第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSec。第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。其中GRE和IPSec主要用于实现专线VPN业务，L2TP主要用于实现拨号VPN业务，也可用于实现专线VPN业务。,隧道带来的好处,隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关,Internet,被封装的原始IP包,新增加的IP头,IPSec头,私网地址,公网地址,中心站点,分支机构,Internet根据这个地址路由,可以使用私网地址，感觉双方是用专用通道连接起来的，而不是Internet,隧道,按隧道类型对VPN分类,隧道协议如下： 第二层隧道协议，如L2TP 第三层隧道协议，如IPSec 介于第二层和第三层之间的隧道协议，如MPLS VPN,L2TP,L2TP封装的乘客协议是位于第二层的PPP协议。,原始数据包,新增加的IP头,L2TP头,可以是IP、IPX和AppleTalk,PPP封装,原始数据包,PPP头,L2TP封装,原始数据包,PPP头,可以是IP、ATM和帧中继,L2TP没有对数据进行加密。,L2TP的典型应用-VPDN,L2TP连接,PPP连接,用户发起PPP连接到接入服务器 接入服务器封装用户的PPP会话到L2TP隧道，L2TP隧道穿过公共IP网络，终止于电信VPDN机房的LNS 用户的PPP session经企业内部的认证服务器认证通过后即可访问企业内部网络资源,IPSec,IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是IP协议,必须是IP协议,IPSec可以对被封装的数据包进行加密和摘要等，以进一步提高数据传输的安全性,MPLS VPN的基本工作模式,在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的IP包 。,MPLS网,P1,P2,PE1,PE2,CE1,CE2,10.1.1.1,MPLS标签,10.1.1.1,10.1.1.1,MPLS VPN的特点,MPLS标签位于二层和三层之间,三层包头,MPLS 标签,二层包头,二层包头,三层包头,MPLS封装,三种VPN的比较,目 录,VPN简介 IPSec VPN,BGP/MPLS VPN,IPSec基础 端到端IPSec VPN的工作原理及配置 Easy VPN（远程接入VPN）的工作原理及配置,BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例,IPSec概述,IPSec是一种开放标准的框架结构，特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。,IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是IP协议,必须是IP协议,通过加密保证数据的私密性,私密性：防止信息泄漏给未经授权的个人 通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性,Internet,4ehIDx67NMop9eR U78IOPotVBn45TR,土豆批发价两块钱一斤,实在是 看不懂,4ehIDx67NMop9eR U78IOPotVBn45TR,土豆批发价两块钱一斤,对称加密,如果加密密钥与解密密钥相同，就称为对称加密 由于对称加密的运算速度快，所以IPSec使用对称加密算法来加密数据,对数据进行hash运算来保证完整性,完整性：数据没有被非法篡改 通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性,土豆两块钱一斤,Hash,4ehIDx67NMop9,土豆两块钱一斤,4ehIDx67NMop9,对数据和密钥一起进行hash运算,攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。 通过把数据和密钥一起进行hash运算，可以有效抵御上述攻击。,土豆两块钱一斤,Hash,fefe23fgrNMop7,土豆两块钱一斤,fefe23fgrNMop7,对称密钥交换,对称加密和hash都要求通信双方具有相同的密钥,问题：怎样在双方之间安全地传递密钥？,密钥,哈哈，要是敢直接传递密钥，我就只好偷看了,密钥,DH算法的基本原理,Router A,Router B,生成一个整数 p,生成一个整数 q,把 p发送到对端,p,把 q发送到对端,q,根据p、q生成g,根据p、q生成g,通过身份认证保证数据的真实性,真实性：数据确实是由特定的对端发出 通过身份认证可以保证数据的真实性。常用的身份认证方式包括： Pre-shared key，预共享密钥 RSA Signature，数字签名,预共享密钥,预共享密钥，是指通信双方在配置时手工输入相同的密钥。,Hash_L,+ 路由器名等,本地,Hash,共享 密钥,远端,生成的Hash_L,Hash,=,+ 对端路由器名,共享 密钥,接收到的Hash_L,数字证书,RSA密钥对，一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。 用公钥加密过的数据只有对应的私钥才能解开，反之亦然。 数字证书中存储了公钥，以及用户名等身份信息。,数字 证书,我是Router A，我的公钥是.,数字签名认证,+ ID Information,加密,Hash_I,解密,Hash_I,私钥,公钥,本地,远端,Hash,=,+ 身份信息,Hash,对称 密钥,数字签名,+ 身份信息,Hash,1,2,数字 证书,+,Internet,对称 密钥,数字签名,数字 证书,IPSec框架结构,ESP,AH,DES,3DES,AES,MD5,SHA,DH1,DH2,IPSec框架,可选择的算法,IPSec安全协议,加密,数据摘要,对称密钥交换,IPSec安全协议,AH (Authentication Header) 只能进行数据摘要(hash) ，不能实现数据加密 ah-md5-hmac、ah-sha-hmac ESP (Encapsulating Security Payload) 能够进行数据加密和数据摘要(hash) esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、,IPSec安全协议描述了如何利用加密和hash来保护数据安全,IPSec封装模式,IPSec支持两种封装模式：传输模式和隧道模式 传输模式：不改变原有的IP包头，通常用于主机与主机之间。,IP头,数据,原始IP包,IP头,数据,AH头,AH,hash,AH对除了TTL等变化值以外的整个IP包进行hash运算,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,IPSec封装模式,IPSec支持两种封装模式：传输模式和隧道模式 隧道模式：增加新的IP头，通常用于私网与私网之间通过公网进行通信。,IP头,数据,原始IP包,IP头,数据,新IP头,AH,hash,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,AH头,新IP头,IPSec与NAT,AH模式无法与NAT一起运行 AH对包括IP地址在内的整个IP包进行hash运算，而NAT会改变IP地址，从而破坏AH的hash值。,IP头,数据,AH头,hash,hash,NAT：我要修改源/目的IP地址,AH：不行！我对IP地址也进行了hash,IPSec与NAT,ESP模式下： 只进行地址映射时，ESP可与它一起工作。 进行端口映射时，需要修改端口，而ESP已经对端口号进行了加密和/或hash，所以将无法进行。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT：端口号被加密了，没法改，真郁闷,IPSec与NAT,ESP模式下： 启用IPSec NAT穿越后，会在ESP头前增加一个UDP头，就可以进行端口映射。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT：可以改端口号了，太棒了,新UDP头,目 录,VPN简介 IPSec VPN,BGP/MPLS VPN,IPSec基础 端到端IPSec VPN的工作原理及配置 Easy VPN（远程接入VPN）的工作原理及配置,BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例,对上一节的回顾,IPSec协议框架包括加密、hash、对称密钥交换、安全协议等四个部分，这些部分都可以采用多种算法来实现。,问题1：要成功建立IPSec VPN，两端路由器必须采用相同 的加密算法、hash算法和安全协议等，但IPSec协议中并没有描述双方应如何协商这些参数。,问题2： IPSec协议中没有定义通信双方如何进行身份认证，路由器有可能会和一个假冒的对端建立IPSec VPN。,端到端IPSec VPN的工作原理,需要保护的流量流经路由器，触发路由器启动相关的协商过程。 启动IKE (Internet key exchange)阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道。 启动IKE阶段2，在上述安全通道上协商IPSec参数。 按协商好的IPSec参数对数据流进行加密、hash等保护。,Host A,Host B,Router A,Router B,什么是端到端的VPN？,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数,协商建立IKE安全 通道所使用的参数,IKE阶段1,协商建立IKE安全通道所使用的参数，包括： 加密算法 Hash算法 DH算法 身份认证方法 存活时间,IKE阶段1,Policy 10 DES MD5 DH1 Pre-share lifetime,Policy 15 DES MD5 DH1 Pre-share lifetime,Router A,Router B,host A,host B,Policy 20 3DES SHA DH1 Pre-share lifetime,Policy 25 3DES SHA DH2 Pre-share lifetime,双方找到相同的策略集,上述IKE参数组合成集合，称为IKE policy。IKE协商就是要在通信双方之间找到相同的policy。,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道,协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道,IKE阶段2,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数,协商IPSec安全参数,IKE阶段2,双方协商IPSec安全参数，称为变换集transform set，包括： 加密算法 Hash算法 安全协议 封装模式 存活时间,Transform 10 DES MD5 ESP Tunnel lifetime,Transform 20 3DES SHA ESP Tunnel lifetime,IKE与IPSec安全参数的比较,加密算法,Hash算法,存活时间,DH算法,身份认证,安全协议,封装模式,IKE,IPSec,IKE阶段2,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数 建立IPSec SA,协商IPSec安全参数 建立IPSec SA,安全联盟 SA 安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟。,IPSec SA,IPSec SA (安全关联，Security Association)： SA由SPD (security policy database)和SAD(SA database)组成。,两端成功协商IPSec参数,加密算法,hash算法,封装模式,lifetime,安全协议,SPD,加密,SPI,Hash,封装模式,lifetime,SAD,目的IP地址,SPI,安全协议,IPSec SA,IPSec SA (安全关联，Security Association)： SPI (Security Parameter Index)，由IKE自动分配 发送数据包时，会把SPI插入到IPSec头中 接收到数据包后，根据SPI值查找SAD和SPD，从而获知解密数据包所需的加解密算法、hash算法等。 一个SA只记录单向的参数，所以一个IPSec连接会有两个IPSec SA。,IPSec SA,IPSec SA (安全关联，Security Association)： 使用SPI可以标识路由器与不同对象之间的连接。,192.168.2.1 SPI12 ESP/3DES/SHA tunnel 28800,192.168.12.1 SPI39 ESP/DES/MD5 tunnel 28800,IPSec SA,IPSec SA (安全关联，Security Association)： 达到lifetime以后，原有的IPSec SA就会被删除 如果正在传输数据，系统会在原SA超时之前自动协商建立新的SA，从而保证数据的传输不会因此而中断。,SA示例,端到端IPSec VPN的配置流程,配置IPSec前的准备工作 配置IKE参数 配置IPSec参数 测试并验证IPSec是否正常工作,端到端IPSec VPN的配置步骤1,配置IPSec前的准备工作 确认在配置IPSec之前，网络是通的。 确认AH流量(IP协议号为50)、 ESP流量(IP协议号为51)和ISAKMP流量(UDP的端口500)不会被ACL所阻塞。,配置IPSec前的准备工作,在RouterA上ping路由器RouterB RouterA上要有到site2的路由， RouterB上有到site1的路由 有必要的情况下，在路由器中添加类似以下的ACL条目：,RouterA# show access-lists access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2 access-list 102 permit esp host 172.30.2.2 host 172.30.1.2 access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp,E0/1 172.30.1.2,Site 1,Site 2,E0/1 172.30.2.2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,端到端IPSec VPN的配置步骤2,配置IKE参数 启用IKE 创建IKE策略集policy 配置IKE身份认证的相关参数 验证IKE配置,启用IKE,RouterA(config)# no crypto isakmp enable RouterA(config)# crypto isakmp enable,router(config)#,no crypto isakmp enable,默认情况下，IKE 处于开启状态 IKE在全局模式下对所有端口启用 对于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，达到阻断IKE的目的,创建IKE策略,crypto isakmp policy priority,router(config)#,RouterA(config)# crypto isakmp policy 110 RouterA(config-isakmp)# encryption des RouterA(config-isakmp)# hash md5 RouterA(config-isakmp)# group 1 RouterA(config-isakmp)# authentication pre-share RouterA(config-isakmp)# lifetime 86400,Authentication-身份认证方式 Encryption-加密算法 Group-DH算法组 Hash-摘要算法 Lifetime-IKE生存期,IKE策略集的取值,86400 秒,86400 秒,IKE SA生存期,DH Group 2,DH Group 1,密钥交换算法,Rsa-sig,Pre-share,身份认证方式,SHA-1,MD5,摘要算法,3DES,DES,加密算法,更安全的取值,安全的取值,参数,(56bit密钥),(3次DES运算),(128bit密钥),(160bit密钥),(768bit密钥),(1024bit密钥),(共享密钥),(数字签名),IKE策略集的优先级,crypto isakmp policy 100 hash md5 authentication pre-share crypto isakmp policy 200 authentication rsa-sig hash sha crypto isakmp policy 300 authentication pre-share hash md5,RouterA(config)#,RouterB(config)#,crypto isakmp policy 100 hash md5 authentication pre-share crypto isakmp policy 200 authentication rsa-sig hash sha crypto isakmp policy 300 authentication rsa-sig hash md5,Priority表示策略集的优先级，该值越小表示优先级越高 路由器将首先比较优先级最高的策略集是否匹配，因此本例中虽然三个策略集都匹配，但路由器只会采用policy 100 建议把最安全的策略集设为最高优先级,使用共享密钥进行身份认证,RouterA(config)# crypto isakmp key cisco1234 address 172.30.2.2,router(config)#,crypto isakmp key keystring address peer-address,crypto isakmp key keystring hostname hostname,router(config)#,共享密钥 Cisco1234,Site 1,Site 2,172.30.2.2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,两端路由器使用的共享密钥必须相同 可以用IP地址 或 主机名来指定对端,验证IKE配置,RouterA# show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit,show crypto isakmp policy,router#,显示已配置的和缺省的策略集,端到端IPSec VPN的配置步骤3,配置IPSec参数 配置IPSec变换集 用ACL定义需要IPSec保护的流量 创建crypto map 把crypto map 应用到路由器的端口上,配置IPSec变换集,crypto ipsec transform-set transform-set-name transform1 transform2 transform3 router(cfg-crypto-trans)#,router(config)#,RouterA(config)# crypto ipsec transform-set mine esp-des RouterA (cfg-crypto-trans)#mode tunnel,每个变换集中可以包含AH变换、ESP变换和封装模式(隧道模式或传输模式) 每个变换集中最多可以有一个AH变换和两个ESP变换,IOS支持的变换,RouterA(config)# crypto ipsec transform-set transform-set-name ? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth esp-null ESP transform w/o cipher,用ACL定义需要IPSec保护的流量,access-list access-list-number dynamic dynamic-name timeout minutes deny | permit protocol source source-wildcard destination destination-wildcard precedence precedencetos tos log,router(config)#,RouterA(config)# access-list 110 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255,Site 1,Site 2,定义哪些流量需要IPSec保护 Permit=要保护/deny=不用保护,两端路由器要配置对称的ACL,RouterA(config)# access-list 110 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255,RouterB(config)# access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255,Crypto map的主要配置参数,需要IPSec保护的流量的ACL VPN对端的IP地址 使用的IPSec变换集 协商建立IPSec SA的方式(手工或通过IKE) IPSec SA的存活期,创建crypto map,crypto map map-name seq-num ipsec-manual,crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name,router(config)#,Site 1,Site 2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,RouterA(config)# crypto map mymap 110 ipsec-isakmp,Site3,B,10.0.3.3,RouterC,每个路由器端口只能应用一个crypto map 当一个端口有多个VPN对端时，就使用seq-num来区分,Crypto map 配置示例,RouterA(config)# crypto map mymap 110 ipsec-isakmp RouterA(config-crypto-map)# match address 110 RouterA(config-crypto-map)# set peer 172.30.2.2 RouterA(config-crypto-map)# set peer 172.30.3.2 RouterA(config-crypto-map)# set pfs group1 RouterA(config-crypto-map)# set transform-set mine RouterA(config-crypto-map)# set security-association lifetime 86400,Site 1,Site 2,172.30.2.2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,172.30.3.2,B,RouterC,Internet,可配置多个vpn对端进行冗余,应用crypto map到路由器端口上,RouterA(config)# interface ethernet0/1 RouterA(config-if)# crypto map mymap,E0/1 172.30.1.2,Site 1,Site 2,E0/1 172.30.2.2,A,B,10.0.1.3,10.0.2.3,RouterA,RouterB,mymap,router(config-if)#,crypto map