网络安全项目二任务四 Site IpsecVlan配置

网络安全技术吴伟项目二任务四：IPSecVPN一、任务介绍二、IPSecVPN基础三、IPSecVPN应用四、site-to-siteIPSecVPN配置五、任务配置一、任务介绍

根据任务网络拓扑及企业网络需求，应用IPSecVPN实现任务要求，理解IPSecVPN特点、结构，理解IKE、SA、AH、ESP在IPSec中的作用，掌握IPSecVPN两种模式的配置过程，学会应用IPSecVPN为企业构建远程传输网络。

二、IPSecVPN基础GREVPN缺陷： 隧道密钥验证，数据明文 只能实现site-to-siteVPNGREVPN实现: PCtunnel:source:(动态) destination: Routertunnel:source:destination:(动态)

二、IPSecVPN基础IPsecVPN是网络层的VPN技术是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增加了对IPv4的支持，它独立于应用程序；通过使用现代密码学方法支持保密和认证服务，使用户能有选择地使用，以AH或ESP协议封装原始IP信息，实现数据加密、带验证机制，安全性较高。支持VPN类型site-to-siteVPNRemoteAccessVPN连接类型PC-PCPC-VPN网关VPN网关-VPN网关二、IPSecVPN基础VPN核心：两层封装：隧道数据分流:VPN与非VPNIPSEC：数据加密、数据验证二、IPSecVPN基础主要协议集：安全协议认证报文头（AuthenticationHeader,AH)封装安全载荷（EncapsulatingSecurityPayload,ESP）Internet密钥交换（InternetKeyExchange,IKE）主要概念：安全关联（SecurityAssociation，SA）传输方式：传输模式和隧道模式二、IPSecVPN基础隧道模式隧道模式下数据包最终目的地不是安全终点。通常情况下，只要IPSec双方有一方是安全网关或路由器，就必须使用隧道模式。加密整个IP数据包括头部传输模式传输模式下，IPSec主要对上层协议即IP包的载荷进行封装保护，通常情况下，传输模式只用于两台主机之间的安全通信。只加密整个IP数据负载部分二、IPSecVPN基础AH为IP包提供数据完整性校验和身份认证具备可选择的重放攻击保护保护上层协议（传输模式）或完整的IP数据包（隧道模式）二、IPSecVPN基础ESP为IP报文提供数据完整性校验、身份认证、数据加密以及重放攻击保护等。二、IPSecVPN基础传输模式二、IPSecVPN基础隧道模式二、IPSecVPN基础SA安全关联（SecurityAssociation）SA是构成IPSec的基础，是两个通信实体经协商建立起来的一种协定，它们决定了用来保护数据包安全的安全协议（AH协议或者ESP协议）、转码方式、密钥及密钥的有效存在时间等。单向逻辑连接SPI、目的IP地址、安全协议二、IPSecVPN基础Internet密钥交换协议（IKE）IKE是IPSec默认的安全密钥协商方法密钥交换协议，AH和ESP协议提供密钥交换管理SA管理二、IPSecVPN基础二、IPSecVPN基础三、IPSec应用Site-to-SiteVPN隧道模式RemoteAccessVPN隧道模式（End-Site）传输模式（End-End）三、IPSecVPN应用Site-to-SiteIPSecVPN参与设备：两端VPN网关隧道建立:sa第一阶段区分VPN数据与非VPN：传输VPN数据，sa第二阶段数据加密、数据验证三、IPSecVPN应用

——IPSECVPN封装IPSec封装-PC1:IP原始数据包，R1Fa0/0:路由处理，内网IP无路由（ISP屏蔽），根据ACL识别VPN数据（感兴趣流）并交给IPSEC驱动程序进行封装,建立VPN隧道，sa第一阶段；隧道建立好后，利用隧道进行VPN数据传输，sa第二阶段R1IPSEC驱动程序:根据sa中定义安全协议、加密算法、验证算法对数据进行封装R1S0/0/0:根据新IP包目的地址进行路由转发TCPDATATCPDATAAH/ESP路由VPN封装二、虚拟专用网(VPN)基础

——IPSecVPN解封装IPSec解封装-R2S0/0/0:若sa协商成功，成功建立通道IP包与接口地址相同，接收去除IP头，根据IP包头信息交与相应IPSEC驱动程序处理

R2IPSEC驱动程序:根据sa中定义参数对数据包进行解密、验证R2Fa0/0:如有路由则进行二层通信进行ARPTCPDATATCPDATAAH/ESP路由VPN封装4、site-to-siteIPSecVPN配置1：配置IKE

R1(config)#cryptoisakmpenable

//启用IKE(默认是启动的)R1(config)#cryptoisakmppolicy100

//建立IKE策略,优先级为100R1(config-isakmp)#authenticationpre-share

//使用预共享的密码进行身份验证R1(config-isakmp)#encryptiondes

//使用des加密方式R1(config-isakmp)#group1

(可选)

//指定密钥位数，group2安全性更高，但更耗cpuR1(config-isakmp)#hashmd5

//指定hash算法为MD5(其他方式：sha，rsa)R1(config-isakmp)#lifetime86400

(可选)

//指定SA有效期时间。默认86400秒，两端要一致

以上配置可通过showcryptoisakmppolicy显示。VPN两端路由器的上述配置要完全一样。

4、site-to-siteIPSecVPN配置2：配置Keys

R1(config)#cryptoisakmpkeycisco1122address

//(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)

3：配置IPSEC

R1(config)#cryptoipsectransform-setabcesp-des

esp-md5-hmac

//配置IPSec交换集abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。

R1(config)#cryptoipsecsecurity-associationlifetime86400

(可选)

//ipsec安全关联存活期，也可不配置，在下面的map里指定即可

R1(config)#access-list110permitip5555

//定义感兴趣数据，IPSECVPN地址为双方内网IP地址4、site-to-siteIPSecVPN配置4.配置IPSEC加密映射

R1(config)#cryptomapmymap100ipsec-isakmp

//创建加密图R1(config-crypto-map)#matchaddress110

//用ACL来定义加密的通信

R1(config-crypto-map)#setpeer

//标识对方路由器IP地址

R1(config-crypto-map)#settransform-setabc

//指定加密图使用的IPSEC交换集

R1(config-crypto-map)#setsecurity-associationlife