ipsec工作原理.doc

一、IPSec如何工作的1,定义interesting traffic如access-list 101 permit ip 55 552,IKE Phase 1IKE Phase 1的目的是鉴别IPsec对等体，在对等体之间设立安全通道，以使IKE能够进行信息交换。IKE Phase 1执行以下的功能：鉴别和保护IPSec对等体的身份在对等体之间协商一个相匹配的IKE安全关联策略。执行一个被认证过的Diffie-Hellman交换，其结果是具有匹配的共享密钥。建立安全的通道，以协商IKE Phase 2中的参数IKE Phase 1有两种模式：master modeaggressive mode3,IKE Phase 2IKE Phase 2的目的是协商IPSec安全关联（SA），以建立IPSec通道。IKE Phase 2执行以下功能： 协商受已有IKE SA 保护的IPSec SA参数 建立IPSec SA 周期性的重新协商IPSec SA 以确保安全性4,IPSec 加密隧道在IKE Phase 2结束之后，信息就通过IPSec隧道被交换5,隧道终止当被删除或生存期超时后，IPSec就终止了。当指定的秒数过去或指定的字节数通过隧道后，安全关联将超时。当SA终结后，密钥会被丢弃。当一个数据流需要后续的IPSEC SA时，IKE就执行一个新的IKE Phase2和IKE Phase 1协商，产生新的SA密钥，新的SA密钥可以在现有的SA超时之前被建立。二IPSec安全关联（SA） IPSec 提供了许多选项用于网络加密和认证。每个IPSec连接能够提供加密、完整性、认证保护或三者 的全部。两个IPSEC必须精确确定要使用的算法（如DES或3DES用于加密，MD5或SHA用于完整性验证）。在 确定算法事，两个设备必须共享会话密钥。用于IPSEC 的安全关联是单向的。双向通信由两个安全关联 组成。 NOIOS每个数据包-;加密？-;从接口送出 | | |YES |IPSEC | |是否有IPSEC SA|YES | IPSEC SA?-;加密数据包并发送 | | |NO |KEYSIKE | YES | IKE SA ?-;通过IKE SA协商IPSEC SA | | | | |NO NO | 用CA进行认证?-;与另一个对等体协商IKE SA | | | |CA认证 |YES | 获得CA的公钥，产生自已的公钥私钥三、CISCO VPN 产品系列VPN产器主要包括：Cisco VPN路由器，Cisco PIX防火墙，Cisco VPN集中器系列，Cisco Secure VPN客户端Cisco Secure 入侵检测系统,Cisco Secure 策略管理器四、配置应用预共享密钥使用预共享密钥来验证会话比较容易配置，但是扩展性不太好。分配给ISAKMP是UDP的端口500,ESP是IP协议号50,AH是IP协议号51，确保这些数据流没有被限制。如:access-list 111 permit ahp host host access-list 111 permit esp hot host access-list 111 permit udp host host eq isakmp可以show access-list查看。1、激活IKE crypto isakmp enable2、建立策略crypto isakmp policy prioritycisco(config)#crypto isakmp policy 100hash md5 -消息完整性（散列）算法authentication pre-share -对等体签别预共享密钥encryption des -加密算法group 2 -共享密钥交换lifetime 10000 -SA的生存时间3、配置预共享密钥缺省情况下软件使用地址作为身份标识方法。如果要使用主机名作为身份标识，要配置crypto isakmp identity address|hostname.如crypto isakmp identity hostname,如果使用的主机名没有解析的话还要加ip host 用crypto isakmp key来配置预共享密钥。如crypto isakmp key keystring hostname peer-hostname4、 验证IKE的配置show crypto isakmp policy命令来显示配置了的策略。5、配置IPSec配置变换集crypto ipsec transform-set transform-set-name transform1transform2transform3最多3个变换如crypto ipsec transform-set noAH esp-md5-hmac esp-des上例使用MD5算法ESP认证，采用DES算法的ESP加密和隧道模式(缺省）现在AH很少用了配置IPsec SA的生存时间crypto ipsec serurity-association lifetime seconds |kilobytes配置加密图crypto map map-name seq-num ipsec-isakmp如crypto map mymap 10 ipsec-isakmpmatch addresspeertransform-setsecurity-association配置实例:RotuerA#show runcrypto isakmp policy 10hash md5authentication pre-sharecrypto isakmp key cisco address !crypto ipsec transform mine esp-des!crypto map mymap 110 ipsec-isakmpset peer set transform-set minematch address 110!interface Ethernet0/1ip address ip access-group 101 incrypto map mymap!access-list 101 permit ahp host host access-list 101 permit esp host host access-list 101 permit udp host host eq isakmpaccess-list 110 permit ip 55 55access-list 110 deny any anyRotuerB#show runcrypto isakmp policy 100hash md5authentication pre-sharecrypto isakmp key cisco address !crypto ipsec transform mine esp-des!crypto map mymap 110 ipsec-isakmpset peer set transform-set minematch address 102!interface Ethernet0/1ip address ip access-group 101 incrypto map mymap!access-list 101 permit ahp host host access-list 101 permit esp host 172