攻城狮强墙电子2期

【技术连载19】强叔侃 技术简 【技术连载20】强叔侃 篇之 【技术连载21】强叔侃 篇 的诞生及演 【技术连载22】强叔侃 篇 - 【技术连载23】强叔侃 篇L2TPNAS- 【技术连载24】强叔侃 篇L2TPLAC-Auto- 【技术连载25】强叔侃 篇Internet四伏，IPSec闪亮登 【技术连载26】强叔侃 篇IPSec携手IKE，珠联璧合显神 篇IPSec模板海纳百川，不定对端有容乃 篇IPSec引入数字，认证简单便 篇IPSec兼容并济吸纳百家，GRE和L2TP改头 【技术连载19】强叔侃墙篇技术简问公司总部网络资源的问题，同时要求总部对、办事处Internet进行控制。大家都知道这种情况需要用（VirtualPrivateNetwork，虚拟私有网络）技术解决，但选哪种技术还是挺有讲究的，下面强叔就谈谈这方面的心得吧！是指在公用网络上建立一个私有的、的虚拟通信网络。在企业网络中广泛应用于分支机构和出差员工连接公司总部网络。网络和技术通常是如何分类的呢？ 网络：目前主要指租用运营商MPLS 线，比如、电信都提供MPLS 用E1、SDH专线）相比，MPLS 用户自建企业网络：目前最常用的就是基于Internet建立企业网络，具体技术包括GRE、L2TP、IPSec、SSL等。这种方案企业只需要支付设备购买费用和上网费用，没有专线租用费用；另外企业在网络控制方面享有的主动权、更方便企业进行网络调整。强叔要的正是这类。 （扩展的企业内部虚拟专网）：Extranet 码本地认证也可以通过RADIUS服务器认证。认证通过以后再给用户分配内部的IP地址，通过此IP地址对用户进行和管理。 IPSec：通过IKEv2拨号时，支持进行EAP认证。接入用户的用户名和可以本RADIUSIP通过此IP地址对用户进行和管理。另外IPSec还支持数据源认证，在下面的数 SSL：支持本地认证、认证和服务器认证。主要是对服务器进行认证，确认Web网页的。IPSec SSL：支持数据报文和协议报文加密。SSL采用公钥体制进行加密。公钥是如何实现的呢？它采用一种称为“”的技术。“”技术主要采用HASH函数将 使用IPSec的数据验证技术。 HMAC（Keyed-HashMessageAuthenticationCode）生成，提供数据的安全性。HMAC利用Hash函数，以一个对称密钥和一个数据CheckValue）。由于在Hash运算时包含了密钥，即使用户同时修改了数据和 SSL：支持对数据进行完整性验证和数据源验证。SSL采用公钥体制，利用Hash算法生成，再用私钥加密生成数字签名。利用公钥进行。利用GRE、L2TP、IPSecSSL 【技术连载20】强叔侃墙篇之在上一期，强叔为大家拉开了技术的帷幕，从本期开始强叔将带领小伙伴们逐一认识 中的第一位成员GRE。就像人生，欢乐大抵相似，痛苦各有不同。被Internet互联以后的私有网络就着以下Internet这个痛苦是性造成的，IPX和IP本就不是同一种网络协议，因此IP网络不转发IPX报…1994年GRE协议问世了，它被IETF纳入以后，RFC标号为RFC1701和RFC1702。悲情故事在今天不再重演。好奇的小伙伴肯定就要问了，GRE到底是用了什么方法竟然能够一一化解上述难题。其实说穿了也很简单，GRE用的就是当行的“马甲”技术。既Internet但凡一种网络封装技术，其基本的构成要素都可以分为3个部分：乘客协议、封装协议、协议，GRE的协议是IP协议。GREGREGRE装以后就可以在Internet上传输了。鼎鼎有名的Tunnel接口。Tunnel即隧道，从名字就可以看出来这个逻辑接口就是为隧道而生。由于Tunnel接口是一个通用的隧道接口，所以GRE协议在使用这个接，我们会要求将这个接口的封装协议设置为GRE协议。根据路由查找结果，找到出接口，并将流量发送到Internet。这就是对私网流量进行GRE封装和转发的全过程，很简单吧。配置Tunnel接口的封装参数（配置数据以Firewall_A为例）interfaceTunnelipaddress1.1.1.124tunnel-protocolgresource202.38.167.1TunnelGREGREOKGRETunnelIP来。其次，从GRE的封装过静态路由配置：iproute-static192.168.2.024Tunnel1动态路由配置：如果私网的是动态路由（例如OSPF），则只要把私网地址和Tunnel接口地址一起通过OSPF发布出去即可。ospfareanetwork1.1.1.0那我们就需要用一个新的OSPF进程来发布私网地址和Tunnel接口地址。发送GRE报文，那者不就可以Firewall_B中的资源了呢？那么Firewall_A和与本建立GRE隧道的对端设备发过来的GRE报文。具体做法就是建立GRE隧道的两台设备要设置一个“密钥”，这个密钥就是凭证，密钥信息被封装在GRE报文的头GRE0x0001e240是用户配置的密钥值。中被其他用户篡改，这又该怎么办？这里我们还得用到GRE头中的另一个字段checksum。GRE封装报文时，会根据报文信息计算校验和，并将这个校验和插入到checksum字段中。表示启用了校验和功能，下面checksum:0x6dbd是校验和对应的值。GREGREGRE隧道是一种无状态类型的隧道，所谓的无状态类型是指隧道本端并不与对端的状报文，以检测隧道对端状态。如果GRE隧道对端出现问题，则隧道源的Tunnel接口状态是GRE自身有个缺陷，就是GRE技术不带有安全加密功能。没有加密功能的GRE报文，用时，很少单纯使用GRE，而是经常与IPSec技术联用。由于IPSec技术具备很强的加密功能，就解决了GRE的安全性问题。这也就是我们经常听到的GREoverIPSec技术。 【技术连载21】强叔侃墙篇L2TP的诞生及演说到L2TP必须先将镜头切到互联网发展初期，我们还通过线上网的那个时代那企业用户大都通过线上网，当然企业分支机构和出差用户一般也通过“网络（学名叫PSTN（PublicSwitchedephoneNetwork）/ISDN（integratedservicesdigitalnetwork））”来总部网络，人们将这种基于PSTN/ISDN的命名为VPDN（VirtualPrivateDialNetwork）。L2TP是VPDNVPDN技术已经逐步在传统的基于PSTN/ISDNL2TP中，运营商在PSTN/ISDNIP专线服务，配套提供认证和计费功能。当分支机构和出差员工拨打L2TP接入号modemPPPLACPPP说明：LACLNSL2TPNASVPDN里的概念，在L2TPNAS随着IP网络的普及，PSTN/ISDN网络逐渐退出数据通信领域。企业和个人用户都可以自由通过以太网直接接入InternetL2TP也悄悄地向前“迈了两小步”——看似只有两小步，但这两小步却让L2TP这个留在了风云变化的IP舞台上。强L2TP两小步之一——PPP屈尊落户以太网：这是拨号网络向以太网演进过程中的必经之路，并非专门为L2TP设计，但L2TP确实是最大的受益者。分支机构用 ，在以太网上触发PPPoE拨号，在PPPoE LACPPPoServer）之间建立PPPoE会话。LAC和LNS之间的L2TP建立过程没有变化。两小步之二——L2TP延伸到用户PC：这种场景下，PC可以通过系统自带的L2TP客户端或第L2TP客户端软件直接拨号与LNS建立L2TP。L2TP L2TP（Internet）”自建，避开了运营商专线业务。为区分这两种L2TP，前者（LACL2TP）NAS-Initiated，后者（客户端直接拨号的L2TP）被称为-Initiated。下期强叔先介绍比较简单一点的-Initiated，由浅入难，如顺水行舟，日行千里【技术连载22】强叔侃 篇 其次是客户端。客户端的作用就是帮助用户在PC或PAD或上触发建立一也必须可以自由离开隧道——切换到直接Internet，这有点像是掌握了通往地球（总只有在消除了时空距离后方能体会，强叔用真实体验告诉大家-Initiated可以助的检查（检查毫不含糊，用户名称、、主机名称、隧道验证应有尽有）。LNS为通过验证的用户特别通行证（公司内网IP地址），对试图混入的人说bye-bye。-Initiated配置中体现的就这样一个简单的思路（本例仅给出本地认证配置L2TPlIPl登录用户（PPP）l登录用户（PPPl（l隧道验证（可选，有些客户端不支持）l2tpinterfaceLoopBack0ipaddress192.168.5.1interfaceVirtual-Temte1ipaddressunnumberedinterfacel2tp-group1undotunnelallowl2tpvirtual-temte1remote1//指定VT接口和对端主机名称。对端使用Windows自带的L2TP客户端时tunnelnameLNS tunneltimerolocal-userl2tp@radiuspassword%$%$y>z_1xG|mINC.~+P.b()4+"v%$%$local-userl2tp@radiusservice-typepppradiusippool010.21.80.1VTPPPL2TP通信、PPPEthernetL2TP中要开启VT互可不太简单。为了让大家一目了然，并方便跟下期的NAS-Initiated做对比，强叔画了一张简图，然后对着这对L2TP 与LNS之间的消息交互进行深入剖析。 和LNS通过交互三条消息协商隧道ID、UDP端口（LNS用1701端口响应隧道建立请求）、主机名称、L2TP的版本、隧道验证（ WIN7操作系统）ID跟我通信吧。ID跟我通信。2L2TP3 SessionIDLNS：OK。，采用37作SessionID发送的报文载荷大于对端的MRU，这个报文在传送时就会被分片。AAAEAPAAAEAP们等到IPSec部分再详解，此处仅给出最常用的CHAP验证过程：。LNS（或AAA服务器）上配置的用户名和是用来验证 “”完全一致，即要求L2TP 和LNS上配置的用户名和完全一致。这里详。如果在LNS上配置的为username（没有 ），则L2TP 用户名也要是username。如果在 LNS上配置的签证为 fullusername（username@default或 ），则L2TP 登录的用户名也要是username@default或username@ ，LNS（或AAA服务器）都支持根据 的IP地址是10.21.80.2，后续交互的报是由10.21.80.2——的私首先，VT网段，请将两者配置为不的地址，即VT接口地址不能包含在地址池地址中。L2TPLNSARP假设LNS连接总部网络的接口是GigabitEthernet1/1/16，开启ARP功能和L2TP虚interfaceipaddress192.168.0.1 L2TP 跟GRE 接的隧道，是没有状态的隧道，所以也无法查看隧道、检查隧道状态。但L2TP 想把都教授如何穿越虫洞的过程讲清楚很，但是把L2TP客户端的数据如何穿越L2TP程跟GRE报文穿“马甲”脱“马甲”的过程很相似，不同的是马甲的样式有点变化： LNSLNSIP这条自动生成的主机路由协议类型为UNR（UserNetworkRoute），下一跳为 身的地址，出接口是InLoopBack0。这条路由就是LNS上虫洞的，指引去往 已经不满足只总部网络，还想其他的，即 之间也可以自如。当然，前提是双方要知道LNS为对方分配的IP地址。- ，一种更强大的L2TP 可以正常连接到LNS吗？ Internet【技术连载23】强叔侃墙篇L2TPNAS-上一篇贴子中我们讲过，-Initiated可以让企业出差员工像都教授一样穿越“虫网络接入Internet，面对浩瀚的Internet海洋，没有能力找到“虫洞”的，只能望洋兴叹。即使拨号网络演进到以太网，也只是解决了本地接入Internet的问题，无法总幸好LAC横空出世，帮助分支机构解决了这一难题。一方面，LAC作为PPPoEServer，分支机构用户作为PPPoE 另一方面，LAC作为LNS的“中介”，为分支机构提供“虫洞”的，在分支机构用户看来，通过LAC这扇传送门就可以到达总部网络。VPDNLACNASL2TPNAS-。可能把NAS-InitiatedLAC-Initiated大家更习惯一些，因为组网图中明明标的是LAC，却非得叫一个已经搁置不用的“曾用名”，这对于后来者而言确实有 ：PPP屈尊落户以太网变为PPPoE后，为了在以太网上模拟PPP的拨号过程，PPPoE发明了两个虚拟接口——Dialer接口和VT接口。Dialer接口用于PPPoE 用于PPPoEServer（即LAC）侧，在这两个接口上配置PPPoE相关参数。PPPoEPPPoEinterfacedialer1dialeruseruser1dialer-group1dialerbundleipaddressppp-negotiate IP地址动态分配pppchapuseruser1//PPPoE的用户pppchappasswordcipherPassword1//PPPoE的dialer-rule1ippermitpppoe-dial-bundle-number1//在物接口上启用PPPoE并绑定dial-interfaceVirtual-Temte1pppauthentication-modechappppoe-serverbindvirtual-temte1 物理接口上启用PPPoEServer并绑定VT接口local-useruser1service-typepppAAA）LAC配址池（即使配置了地址池，在L2TP隧道已经分配PPPoEPPPoEServer 和PPPoEServer之间通过交PADI、PADO、PADRPADSPPPoE1PPPoE：播广播，接2PPPoEServer：PPPoE，找我3PPPoE：立PPPoE会话。4PPPoEServer：没问题，我把会话ID个IDPPPoELAC和LNS通过交互三条消息协商L2TP隧道，这个过程我们在“ 遍。首先来看一下LAC和LNS的具体配置：l2tp-grouptunnelauthentication//避免LAC接入LNStunnelpasswordcipherPassword1tunnelnamestartl2tpip1.1.1.2fullusernameuser1 l2tpl2tp-grouptunnelauthentication//避免LAC接入LNStunnelpasswordcipherPassword1tunnelnameallowl2tpvirtual-temte1remotelac l2tpID跟我通信吧。为TunnelID跟我通信。-LAC：LNS4，你也使用作为SessionID-4-5LNSLAC：LNSIP1、LNS&二次认证（可选LNSCHAP）务”（重新发起LCP协商，协商MRU参数和认证方式）。后两种方式统称为LNS二次认证，若LNS配置二次认证而PPPoE 将会导致L2TP无法建立。两种二次认证的共同特征是LNS都绕过了LAC直接验证 提供的用户信息，可以为业务提供了更高的安全保障。认证l2tp-group1LNS重新对用户进行CHAP验证，LNS发送，PPPoE 的发给LNS，LNS验证通过成功建立PPP连接。virtual-temte1chap//重协商后的验证方式在VT下指定l2tp-group1成功建立PPP连接。通过PPPIPCP协商，LNS为 关于地址池地址的规划问题，我们在“-Initiated”一篇中也讲过。同样，建议一网段，则必须在LNS连接总部网络的接口上开启ARP功能，并且开启L2TP虚拟转发功能，保证LNS可以对总部网络服务器发出的ARP请求进行应答。interfaceipaddress192.168.0.1 1LNSPPP1L2TP12LNS之间建立PPP连接2和L2TP会话2。 头、UDPIPLNS。LNS借助于LAC的力量，分支机构员工使用PPPoE 从总部服务器到PPPoE ”一篇中介绍过的UNR路由吧，NAS-Initiated 理的。LNS会为获得IP地址的PPPoE 自动下发了一条UNR路由，下一跳为 本身的地址，出接口是InLoopBack0，这条路由将指引回程报文进入隧道。回程报文进入隧道后被封装上公网IP地址，然后LNS将会以该公网IP地址为目的地址再LAC 为大家介绍LAC-Auto-Initiated，由LAC自动拨号到LNS，省去了分支机构员工拨号的过程，堪称最省事的L2TP，敬请期待。【技术连载24】强叔侃 篇L2TPLAC-Auto- 也叫做LAC自动拨号 ，顾名思义，在LAC上配置完成后，LAC会自LNS发起拨号，建立L2TP隧道和会话，不需要分支机构用户拨号来触发。LAC即可以使用L2TP隧道接入总部，与NAS-Initiated interfaceVirtual-Temte1pppchapuserlacpppchappasswordcipherPassword1ipaddressppp-negotiatecall-lnslocal-userlacbindingl2tp-group1//LACLNSl2tp-grouptunneltunnelnamelacstartl2tpip1.1.1.2fullusernamelac l2tpiproute-static192.168.0.0Virtual-Temte

interfaceVirtual-Temte1pppauthentication-modechapremoteaddresspool1l2tp-grouptunneltunnelnamelnsallowl2tpvirtual-temte1remotelac local-userlacservice-typepppippool1iproute-static172.16.0.0由，此处与-Initiated以及NAS-InitiatedVirtual-Temte1//配置去往分支机构网络的静态不同，LAC上必须配置该条路由，指引分支机构用户总路由，如果LAC上配置了源NAT，则无需配置该条路由详部网络的报文进入L2TP隧道 LAC-Auto-Initiated的建立过程与-Initiated类似，只不过在LAC-Auto-Initiated中，LAC取代了-Initiated中 ，强叔在这里就不多说了。需要注意的一点是，在阶段3中，LNS只对LAC进行验证，验证通过后为LAC的VT接口分配IP地址，而不是为分支机构用户分配IP地址。虽然LNS不为分支机构分配IP地址，但是并不代表分支机构的IP地址 永久的L2TP会话和PPP连接。L2TP会话和PPP连接只存在于LAC和LNS之间。LAC-Auto-InitiatedPPPL2TPLACLNS另外，还有一个需要重点关注的问题是回程报文如何进入隧道。与-Initiated以NAS-InitiatedLAC-Auto-Initiated中，LNS只下发了一条目的地LACVTUNRLNSIPLACVTiproute-static172.16.0.0255.255.255.0Virtual-TemteNAT吧！既然LNS只认他分配的IPLAC上配置源NAT功能，把分支LNSLACVTIPUNR入隧道转发，这样就无需在LNS上配置静态路由了。1、LAC收到分支机构用户总部服务器的原始报文后，根据目的地址查找路由，命中我们手动配置的静态路由，将报文发送至VT接口。2、LACVTNATVT报文发送至LNS。3、LNSPPPL2TP（此处为直连路、UNRVT将封装后的报文发送至LAC。、actionsource- teactionsource- te1source172.16.0.0 interzonetrustuntrust-L2TP和LNS协商建立L2TPL2TPPPPLNSL2TPL2TP会话，接入用户和LNS协商建立PPP连接LACLNS每个L2TP和LNS之间均建载一条L2TP会话和PPP连接LAC和LNS的连接可存在多条载多条L2TP会话LACLNSL2TPL2TP会话和PPP连接LNS对L2TP进行PPP认LACPPP配置easy-IP方式的源NATL2TP就告一段落了，接下来强叔将介绍功能强大配置复杂的IPSec，希望大家【技术连载25】强叔侃墙 篇Internet四伏，IPSec闪亮登随着GREL2TP的广泛应用，民间组织天地会也与时俱进，在总舵和各个分舵之间部署GREL2TPGREL2TP主帮众悉数被抓，一时间Internet上暗潮汹涌，天地会四伏。的隧道都没有任何安全加密措施，总舵和分舵之间的消息在GREL2TP隧道中都是搭建总舵到各个分舵的专线，所以还得利用现有的公共资源---Internet来想办法。技术，IPSec可以在Internet上建立安全稳定的线路。与GRE和L2TP相比，IPSecIPSecIPSec学门派所擅长的障眼之法，融会到自创的AH（AuthenticationHeader，验证头和ESP（EncapsulatingSecurityPayload，封装安全载荷）两大绝技中，既可改头换面瞒天总舵和分舵使用相同的密钥来加密和，这种方式也叫对称加密算法，主要包括DES、3DES和AESDataEncryption56168128192256低中高算法有MD5和SHA系列。MessageDigestSecureHashAlgorithmSecureHashAlgorithm128160低中高功能，AH和ESP可以单独使用也可以配合使用。保护伞。在为了更好地利用这个保护伞，IPSec设计了两种封装模式：在隧道模式下，AH头或ESP头到原始IP头之前，另外生成一个新的报文头放到头或ESP标识符叫做SPI（SecurityParameterIndex）。密钥、验证算法、验证密钥，即手工方式建立IPSec安全。IPSec隧道，对总舵和分舵内部网络之间传递的消息进行保护，验证IPSec隧道的安全效12、配置IPSec3IPSec4、应用IPSec安全策略aclnumberrule5permitipsource192.168.0.0destination172.16.0.0aclnumberrule5permitipsource172.16.0.0destination192.168.0.0ipsecproposalpro1transformespespencryption-algorithmaesipsecproposalpro1transformespespencryption-algorithmaes 11securityacl3000proposalpro1tunnelremotesaspiinboundesp54321saspioutboundesp12345sastring-keyinboundesp@123sastring-keyoutboundesp@456 11securityacl3000proposalpro1tunnelremotesaspiinboundesp12345saspioutboundesp54321sastring-keyinboundesp@456sastring-keyoutboundesp@123interfaceipaddress1.1.1.1 interfaceipaddress2.2.2.2 盟保护。两个方向上IPSec安全的标识符SPI分别为0x3039（十进制12345）以及0xd431（十进制54321），与上文配置相符。为了对比ESP和AH的作用，天地会又使用IPSec中的另一绝技AH来建立安全。AH此，如果要实现加密，还是要使用ESP，或者AH和ESP配合使用。持总舵和分舵自动协商建立IPSec安全，该招式名为IKE。欲知IKE详情，请听下回分【技术连载26】强叔侃墙篇IPSec携手IKE，珠联璧合显神密钥管家IKE上回说到手工方式的IPSec帮助天地会解决了总舵和分舵之间通信的问题，但随配置的，为了保证IPSec的长期安全，需要经常修改这些密钥。分舵数量越多，密钥的配置和修改工作量越大。随着天地会的壮大，IPSec的管理工作越来越让人吃为了降低IPSec 天成——原来IPSec协议框架中早就考虑了这个问题——智能的密钥管家IKE（InternetKeyExchange）协议可以帮助解决这个问题。IKE综合了三大协议：ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）、Oakley协议和SKEME协议。ISAKMP主要定义了IKE伙伴（IKEPeer）之间合作关系（IKESA，跟IPSecSA类似）的建立过程。Oakley协议和SKEME协议的是DH（Diffie- 揭开ISAKMPIKEIPSecSA，署IKE之前，强叔先领大家认识一下ISAKMP报文。ISAKMP报文封装如下：配置的IP地址。IKE协议使用端500发起协商、响应协商。在总舵和分舵都有固定IP地址时，这个端NAT（NAT），IKE （SPI）和 ，在IKEv2版本 为IKE的SPI，唯一标识一个IKESA ExchangeType：IKE2ISAKMP 该字段为0。 2：IKEv11SA）IKE_SA_INIT、IKE_AUTH（CHILDSA）、CREATE_CHILD_SAIKE最适合于在总舵和众多分舵之间建立IPSec 显。为了讲解方便，这里仅给出总舵和一个分舵之间建立IPSec 相比手工方式，IKEIKEIKEIKE要用于配置建立IKESA用到的加密和验证算法。IKE对等体主要配置IKE版本、认证ikeproposalikeproposalikepeerike-proposalundoversion remote-address2.2.3.2//对端发起IKEpre-shared-keyikepeerike-proposalundoversion2 （remote-address1.1.1.1//对端aclnumberrule5permitipsource192.168.0.0destination172.16.2.0aclnumberrule5permitipsourcedestination192.168.0.0transformespencapsulation-modeespencryption-algorithmdestransformespespencryption-algorithmdes 111proposalaike-peer 11proposalpro1ike-peerainterfaceGigabitEthernet0/0/1 interfaceGigabitEthernet0/0/1ipaddress2.2.3.2255.255.255.0 闭IKEv2后采用IKEv1版本进行协商。配置完成之后，总舵和分舵之间有互访数据流时即可触发建立IPSec 通过抓包来为大家详解一下IKEv1的精妙之处。阶段2-建立IPSecSA：阶段2此采用快速模式协商。IPSecSA阶段1-建立IKESA（主模式）IKEv136ISAKMPIKESAA发起方的IKEPeer中了IKE发起方的IKEpeer中没有IKE如果没有匹配的安全提议则协商失败。IKEPeer双方安全提议匹配的原则为协商双方有相同的加密算法、认证算法、认证方法和DH组标识（不包括IKESA生存周期）。较小的一个，不必保证隧道两端设备配置的生存周期相同（saduration）。ExchangeDHnonceDHIKEPeerDHIKEPeer换密钥材料，以消息3为例：密钥材料交换完成后，IKEPeer双方结合自身配置的验证方法各自开始复杂的密钥计 IPSec 的ISAKMP消息，看不到消息的内容（）。以消息5为例：预共享密钥是最简单、最常用的认证方法。这种方式下设备的可以用IP地址或名称（FQDNUSER-FQDN）IKEPeerIP证和，只有先找到正确的预共享密钥才能计算出这两个密钥。但总舵网关为每个IKEPeerIKEPeerISAKMP的源IP地址（src）来查找预共享密钥，只要报文源地址与本端IKEPeer视图下remote-addressIPpre-shared-key舵1的预共享密钥。IPSecIKEPeerIPremote-addressIPIKEIP2IPSec2IKEv13ISAKMPIPSecSA。由于快速交换模式使用IKEv1阶段1中生成的密钥SKEYID_e对ISAKMP消息进行加密，所以我们抓到下面以网关A发起IPSec协商为例进行讲解。IPSecIPSecSAIPSecIPSecIKEIKEv1ACLACLIPSecSAIPSec对等体两端交换密钥材料（SKEYID_d、SPI和协议1、nonce等参数），然后各自IPSecSAIPSecSA独一无二的密钥。由于IPSecSA的密钥都是由SKEYID_d衍生的，一旦SKEYID_d将可能导致IPSec受到。为提升密钥管理的安全性，IKE提供了PFS（完美向前保的IPSecSA密钥，提高了IPSecSA的安全性。检查IPSec <FW_A>disyikecurrentikesanumber: IKESA（v1:1）IPSecSA（v1:2）的状态，RDSA<FW_A>disyipsecsabriefcurrentipsecsanumber:2currentipsectunnelnumber:1Src Dst Protocol IPSecSA<FW_A>disyfirewallsession11:01:45CurrentTotalSessions:esp:public-->public1.1.1.1:0--icmp:public-->public172.16.2.2:7264-->192.168.0.2:2048icmp:public-->public172.16.2.2:7520-->192.168.0.2:2048icmp:public-->public172.16.2.2:7776-->192.168.0.2:2048icmp:public-->public172.16.2.2:8032-->192.168.0.2:2048icmp:public-->public172.16.2.2:8288-->192.168.0.2:2048IPSec建立了会话表（1.1.1.1:0-->2.2.3.2:0）发起方和响应方把IKE安全提议、密钥相关信息和一股脑地全放在一个ISAKMP验证过程，IKESA的安全性降低了。既然这样不够安全，为什么野蛮模式还会出现？在IPSec出现的早期，由于主模式+预共享密钥认证方式下，IPSec需要通过对端的IP地址来在本地查找预共享密钥（主模式中已经详细解释了这个问题）。这种密钥查找方式在对端没有固定IP地址的情况下（比如IPSecNAT穿越场景，网络出口动态获取IP没有加密，IPSec就直接用对端发送来的来查找预共享密钥即可。所以在IPIPSec的问题。现在，IPSec解决这个问题有很多方法，不安全的野蛮模式已经不是最好的选择了。IKEv1IPSecSA3（IKESA）+3（IPSecSA）=6用户进行AAA认证。IKEv2EAPIKEv2，IKEv1IKEv2IKEv1。IKEv2协商IPSecSA的过程跟IKEv1有很大差别：时随机数（nonce）和DH值。 以上都通过SKEYID_e加密。IKEv1，IKEv1TSACL）候，需要使用创建子SA交换来协商后续的IPSecSA。IKEv2PFSSADHIPSecSA密钥。主模式+快速模式需要9条信息建立IPSecSA。6IPSecSA。数字信封（较少使用数字信封（较少使用通过L2TPoverIPSec将IKE应用于IPSec 决了。但一些小型分舵IP地址不固定或只有私网IP地址，用常规的IKE方式部署IPSec【技术连载27】强叔侃墙 IPSecIKEIPSecIPSecIPIPInternetIP会每次要申请一个固定公网IP地址都要大费周折。于是天地会提出疑问：配置IPSec的通信双方必须使用固定的公网IP当然不是。下面强叔就给大家介绍一种新的IPSec安全策略：模板方式IPSec安全策略。址（单个IP），可以宽泛指定对端IP地址（IP地址段）也可以干脆不指定对端IP（意味着对端IP可以是任意IP）。IPSecIPIP、动态地址、私网IP统统不在话下。放马过来，来多少都照单全收。正因为这种大将风范，IPSecIPSecIPSec略组中。所谓IPSec安全策略组就是一组名称相同的IPSec安全策略。在一个IPSec安全否则接入请求被模板接收了，优先级低的IKE方式IPSec策略则无法施展。切记！12IPSec的组网图如下所示。本图中分舵12隧道，分舵1跟分舵2之间也可以通过IPSec通信。配置IKE议ikeproposalikeproposal配置IKEikepeerikepeer通以通以以rule5permitiprule10permitip172.16.2.0172.16.2.0ipsecproposalipsecproposalipsec-temtetem11proposalaike-peer 112 11securityacl3000proposalaike-peerinterfaceGigabitEthernet0/0/1ipaddress1.1.1.1255.255.255.0 interfaceGigabitEthernet0/0/1ipaddress2.2.2.2255.255.255.0 1auto-neg 参数。由分舵1的PC2分舵2的PC3，无法通<FW_B>disyikesacurrentikesanumber:2 v2:2 v2:1currentsaNum:0分舵2跟总部之间没有建立安全。原因在于总部配置了模板方式IPSec安全策略，只能响应协商。所以分舵1到总舵的安全正常创建了，而总舵到分舵2的安全没法盟自动创建。由于分舵1到总舵、总舵到分舵2之间的安全都已创建好，所以分舵1跟分舵2可以通信。同样总舵可以通分舵。IPSecUSG9000系列支持IPSec模板中只能一个IKEPeer。而一个IKEPeer中只能配置一个预共享密钥，因此的预共享密钥，则所有其他网关的IPSec安全都受到。IPikepeerikepeerikepeerlocal-id-typeiplocal-id-typeip-总舵在全局下为每个分舵配置remote-id和pre-shared-key即可。ikepeerlocal-id-typeipikepeerlocal-id-typefqdn//通过-ikelocal-nameikeremote-idikeremote-idtdhfd1-安全策略解决问题的方法：对端IPremote-address，但总部可以通过其他方式间接获知IP地址，比如通过。即总部可以用指定 代替remote-address；分部配置DNS获得和IP地址之间的映射关系，开启DDNS保证映射关系能够实时更新。当然配置动态的方式也适用于模板方式IPSec策略。ikepeerpre-shared-keytiandihui1dnsdnsserver2、配 ddnsabcddnsddnsserverddnsusernameabc123passwordddnsenableinterfacedialer1ddnsapply此方案的局限在于动态接入方必须有固定，另外增加了DNS和DDNS的配置，有点全策略和IKE方式IPSec安全策略联合才能全线告捷：IKEIPSec（指定对IPIKEIPSec（指定对看似通过上面三大方案基本可以完美应对总舵-分舵IPSec的各种场景了，但实际上是江湖之所以为江湖就是因为会有点风浪：分舵申请不到公网IP地址，只能配置私网IP【技术连载28】强叔侃 IPIPSec无论是拥有固定公网IP的分舵还是动态获得公网IPIPSec安全地有，只能先由网络中的NAT设备进行地址转换，然后才能Internet，此时分舵能否正常总舵？另外，分舵除了总舵之外，还有Internet的需求，有些分舵在网关IPSecNAT，两者能否和平共处？如何解决上述这两个问题，且听强叔一先来看网络中存在NAT设备的情况，如下图所示，分舵网关B的出接口IP是私网地址，NATIPAIPSecIPSecISAKMP的，而ISAKMP消息是经过UDP封装的，源和目的端均是500，NAT设备可以转换该消息的IPISAKMPNAT转换，成功协商IPSec面分别看一下AH和ESP报文能否通过NAT设备。NATIPAHHash值。AHNATESPTCPNAT，ESPnattraversal）。NATNATESPUDP4500UDP根据NATIPNATIPAA使用模板方式来配置IPSec，同时总舵和分舵的网关上都要开启NAT穿越功能。ipsecproposalipsecproposalikepeerike-proposal10ikepeerike-proposal10remote-addresssecurityacl3000proposalpro1 11securityacl3000proposalpro1ike-peer 11isakmptemte该场景中，NATBGE0/0/1IPNATIPNAT址可知，所以总舵网关A上可以使用模板方式也可以使用IKE方式来配置IPSec。向的，分舵“隐藏”在NAT设备之后，无法实现总舵--->分舵方向的。如果要实现总舵主动分舵网关B的私网地址，则需要在NAT设备上配置NATServer功能，我T地T地ipsecproposalipsecproposalikepeerike-proposal10remote-address2.2.2.10//对端地址为NAikepeerike-proposal10remote-address 1securityacl3000proposalpro1ike-peerfenduo 11securityacl3000proposalpro1ike-peer该场景中，NAT设备位于分舵网络之内，提供NATServer功能，对外发布的地址是2.2.2.20BGE0/0/1172.16.0.1AServer2.2.2.20UDP5004500172.16.0.1UDP500natserverprotocoludpglobal2.2.2.20500inside172.16.0.1natserverprotocoludpglobal2.2.2.204500inside172.16.0.1NATNATServerServer-mapB也可以主总舵发起。报文到达NAT设备后，匹配反向Server-map表，源地址转换为2.2.2.20，即可实现分舵--->总舵方向的。transformesptransformespikepeerike-proposal10ikepeerike-proposal10remote-address 1securityacl3000proposalpro1ike-peerfenduo 11securityacl3000proposalpro1ike-peer开启NAT穿越时，IKEv1协商第一阶段的前两个消息会发送标识NAT穿越（NAT信双方是否支持NAT-T。34（23）NAT-D（NATDiscovery）IPHash则表示它们之间没有NAT。否则，则说明传输过程中对IP或端口进行了NAT转换。Hash转换为4500。ISAKMP报文标识了“Non-ESPMarker”。NATIKEIPSec：UDP装隧道模式报文（UDP-Encapsulated-Tunnel）和UDP封装传输模式报文报文端修改为4500。NAT，IKEIKE_SA_INITNATNAT_DETECTION_SOURCEIP中的源IP和端口的Hash值，则说明对端位于NAT网关后面。如果接收到的NAT_DETECTION_DESTINATION_IPIPIPHash值，则意味着本端位于NAT网关之后。识“Non-ESPMarker”。文的外层IP头和增加的UDP头进行地址和端转换。UDP报文 修改为4500SA的建立情况：<FW_A>disyikesacurrentikesanumber:2 v1:2v1:1<FW_A><FW_A> yfirewallsessionCurrentTotalSessions: :public-->public2.2.2.10:2050-- :public-->public2.2.2.10:2054--在分舵网关B<FW_B>disyfirewallsessionCurrentTotalSessions:/ :public-->public172.16.0.1:4500--/前面讲了IPSec穿越NAT的情况，当IPSec和NAT同时配置在一台上时，由于两IPSecNAT，IPSecNATInternet的流量。按理说两种流量应该是泾渭分明，互不相干。其实不然，在处理流程中，NAT在上游，IPSecIPSecNATIPSecNAT NATIPSec的话，IPSecNAT转换的策略，地址不会被转换，也就不会影响下面IPSec环节的处理，而需要进行NAT处理的流量也可以命中其他策略正常转换。 0 interzonetrustuntrust actionno- 5 source172.16.1.0mask24 destination192.168.0.0masksource172.16.1.0maskBNATServerNATServerServer-map干扰IPSec流量。分舵中的服务器总舵时，流量会命中反向Server-map表，然后进IPSecACLIPSecNATServerno-reverseServer-map题的具体说明请参见“NATServer三十二字真言（上篇）”。【技术连载29】强叔侃墙 实现原理和获取方法之前，我们先来了解一下公钥学和PKI框架的知识。在Internet四伏，IPSec闪亮登场一篇中，我们提到过对称学，即总舵和分舵使LenAdleman）和DSA（DigitalSignatureAlgorithm）。是其组成部分，而IKE借用了PKI中的机制来进行对等体的认证。颁发机构 Authority）：是一个的、可信任的第和分舵网关就可以从CA获取到代表自己的。CA“自签名”的称为CA，又叫根，代表了CA的。式从CA获取：FlashSCEPSimpleProtocol）和CMP（ 或CMP的情况，同时依赖于网关与CA之间网络的连通状态。首先，网关生成请求文件，该文件通过磁盘、电子邮件等方式将该文件发送情况，或者网关与CA之间无法通过网络互访的情况。首先，在网关FWA和FWB上创建各自的公私密钥对，在申请时会用到公钥信息。创FWA上创建公私密钥对：[FWA]rsalocal-key-pairThekeynamewillbe:Therangeofpublickeysizeis(512~NOTES:Ifthekeymodulusisgreaterthan ItwilltakeafewInputthebitsinthemodulus[default=Generating [FWA]rsalocal-key-pairThekeynamewillbe:Therangeofpublickeysizeis(512~NOTES:Ifthekeymodulusisgreaterthan ItwilltakeafewInputthebitsinthemodulus[default=Generating 申请时，网关FWA和FWB必须向CA提供能够证明自己的信息，实体信息代表的就是网关的，包括：通用名称（CommonName）、FQDN（FullyQualifiedName）名称、IP地址、电子邮箱地址等。其中，通用名称是必须配置的，而其上述信息都将会包含在中，在IKE对等体中配置ID类型时，就可以根据中包含的实体信息来决定使用哪种ID类型来进行认证。实体信息配置完成后，还需要在PKI域中实体信息。下面给出网关FWA和FWB上实体信息和PKI域的配置情况：pkientitycommon-namefwa//通用名称 //FQDN名称ip-address1.1.1.1//IP地址//地址pkientitycommon-namefwb//通用名称 //FQDN名称ip-address3.3.3.3//IP地址//地址PKIpkirequestentityfwa//PKIpkirequestentityfwb//PKI[FWA]pkifwa requestInfo: requestfile[FWB]pki[FWA]pkifwa requestInfo: requestfile[FWB]pkifwb requestInfo: requestfile称、IP地址和电子邮箱地址，以及FWA的公钥信息。[FWA] ypkicert-reqfilename Request: Version:0 SubjectPublicKey PublicKeyAlgorithm: RSAPublicKey:(2048 Modulus(2048 Exponent:65537 Requested X509v3SubjectAlternative IP SignatureAlgorithm: 为网关FWA和FWB制作。除了网关FWA和FWB的之外，CA还会提供自身CA制作的过程在此不详细介绍，常用的WindowsServer操作系统就可以作为CA来以及CA本身的ca.cer。下图展示了网关FWA的fwa.cer的内容：储设备中，然后还需要将分别导入到FWA和FWB上。[FWA][FWA]pki cafilenameca.cerInfo:Importfile[FWA][FWA]pki localfilenamefwa.cerInfo:Importfile[FWB][FWB]pki cafilenameca.cerInfo:Importfile[FWB][FWB]pki localfilenamefwb.cerInfo:Importfile和FWB就可以通过来认证对方的。目前可以在IKE对等体中使用DN（DistinguishedName）、FQDN、User-FQDN和IP四种ID类型。这四种ID类型对应的中字段以及FWA和FWB上的取值如下表所示。IPikeproposalauthentication-methodrsa-sig//采用认ikeproposalauthentication-methodrsa-sig//采用认证ikepeerlocal-filenamefwa.cer ike-proposallocal-id-type remote-idCN=fwb//FWBremote-address3.3.3.3//FWBIPikepeerlocal-filenamefwb.cer ike-proposallocal-id-typedn //ID类型为DNremote-id/CN=fwb//FWA的DNremote-address1.1.1.1//FWAIP于采用方式时，两端交互的ISAKMP消息（主模式是第5、6条ISAKMP消明外IPSec连接时，只需要在同一个CA为该分舵申请，然后分舵和总舵就可以通过来明外 GREL2TP将介绍GRE、L2TP以及移动接入场景中IPSec的相关内容，敬请期待。【技术连载30】强叔侃墙篇IPSec兼容并济吸纳百家，GREL2TP在的分舵，它们已经通过GRE或L2TP方式接入总舵，如何在不改变原有接入方式的基础上使这些分舵也可以使用IPSec与总舵安全通信呢？IPSecGREL2TPIPSecIPSecGRE式相当于是两种不同类型的隧道叠加，也叫做GREoverIPSec和L2TPoverIPSec。GREoverIPSec之外再封装IPSec隧道，对总舵和分舵的通信进行加密保护。头或ESPIPSecGRE文头：原始报文头、GRE报文头和IPSec报文头，Internet上的设备根据最外层的IPSecGREIPSecGRELoopback私网地址，然后在GRE中借用Loopback接口的地址来封装。GREoverIPSecIPSec采用传输模式还是隧道模式，都可以保护两个网络之间出总舵网关FWA和分舵网关FWB的关键配置。interfacetunnel-protocolgresource1.1.1.1destination3.3.3.3//使用公网地址封装interfaceLoopBack1ipaddress172.16.0.1interfaceipaddress10.1.1.1255.255.255.0tunnel-protocolgresourceLoopBackdestination172.16.0.2//FWB的Loopback1interfacetunnel-protocolgresource3.3.3.3destination1.1.1.1interfaceLoopBack1ipaddress172.16.0.2interfacetunnel-protocolgresourceLoopBackdestination172.16.0.1//FWALoopback1iproute-static0.0.0.00.0.0.01.1.1.2//iproute-staticiproute-static0.0.0.00.0.0.03.3.3.1//iproute-staticaclnumberrule5permitipsource1.1.1.1destination3.3.3.30GRE为172.16.0.1，目的地址应为172.16.0.2aclnumberrule5permitipsource3.3.3.3destination1.1.1.10GREikeproposal1ikeproposal1ikepeerike-proposal1remote-addressikepeerike-proposal1remote-addresstransformespencapsulation-modeespencryption-algorithmaestransformespespencryption-algorithmaes：： 11securityacl3000ike-peerfwbproposal1 11securityacl3000ike-peerfwaproposal1interfaceGigabitEthernet0/0/1 interfaceGigabitEthernet0/0/1 GREoverIPSecGREIPSecACLGRE定义报文的源地址为GRE隧道的源地址，目的地址为GRE隧道的目的地址。配置完成后，在分舵中的PC可以通总舵的PC，在Internet上抓包只能看到加密后的信息，无法获取到真实的消息：[FWA] yfirewallsession[FWA] yfirewallsessionCurrentTotalSessions: :public :public-->public3.3.3.3:500-- :public-->public3.3.3.3:0-- :public-->public3.3.3.3:0-- :public-->public192.168.1.2:2862--L2TPoverIPSec在之前的L2TP系列贴子中我们介绍了L2TP有三种类型，分别是-Initiated、NAS-Initiated和LAC-Auto-Initiated。其中-Initiated属于单独的移动用户接入，在下文中的接入部分介绍。NAS-Initiated和NAS-Initiated为例来介绍FWAFWBNAS-InitiatedL2TP道，现需要在L2TP隧道之外再封装IPSec隧道，对总舵和分舵的通信进行加密保护。l头或ESP文头：原始报文头、L2TPIPSecInternetIPSecL2TPoverIPSecL2TP文，所以无论IPSec采用传输模式还是隧道模式，都可以保护两个网络之间通信的消息。出总舵网关FWA和分舵网关FWB的关键配置。l2tpinterfaceVirtual-Temte1remoteaddresspool0l2tp-grouptunneltunnelpasswordcipherTiandihui123allowl2tpvirtual-temte1remoteippool0192.168.1.2192.168.1.10l2tpenabletunnelauthenticationstartl2tpip1.1.1.1fullusernametunnelnameiproute-static0.0.0.01.1.1.2//假设下一跳为iproute-static0.0.0.03.3.3.1//假设下一跳为aclnumberrule5permitipsource1.1.1.1destination3.3.3.30L2TPaclnumberrule5permitipsource3.3.3.3destination1.1.1.10L2TPikeproposal1ikeproposal1ikepeerike-proposal1remote-addressikepeerike-proposal1remote-addresstransformespencapsulation-modeespencryption-algorithmaestransformespespencryption-algorithmaes 11securityacl3000ike-peerfwbproposal1 11securityacl3000ike-peerfwaproposal1interfaceGigabitEthernet0/0/1 interfaceGigabitEthernet0/0/1 GREoverIPSecL2TPoverIPSecACL时，不能再以总舵和分舵内部隧道的源地址，目的地址为L2TP隧道的目的地址。配置完成后，分舵中的PPPoE 行IPSec协商，建立IPSec隧道，然后在IPSec隧道的保护下进行L2TP协商，建立L2TP隧道。同样，在Internet上抓包也只能看到加密后的信息，无法获取到L2TP隧道中传输果堂主正在路途中，就只能通过-InitiatedL2TP信的安全性无法保证。而借助于IPSec，就可以保证移动用户接入场景中的通信安全移动用户使用L2TPoverIPSec接入总在L2TP中，-Initiated方式专门适用于移动用户接入的场景。在此基础上，使用IPSec来对L2TP隧道进行加密保护，这也是一种L2TPoverIPSec的应用。FWAFWB已经建立了-Initiated方式的来拨号。如果使用 -方式的L2TP隧道的封装效果与上文介绍过的NAS-Initiated Windows7FWA l2tpinterfaceVirtual-Temte1remoteaddresspool0l2tp-group1//使用L2TPundotunnelauthenticationallowl2tpvirtual-temte1//在L2TP组1中无需设置local-userl2tpuserpasswordcipherPassword1local-userl2tpuserservice-typepppippool0192.168.1.2aclnumberrule5permitudpsource-porteq1701//定义L2TPikeproposaldhgroup2ikepeerike-proposal1transformespencapsulation-modetransportespauthentication-algorithmsha1espencryption-algorithmsecurityacl3000proposal1 11isakmptemteinterfaceGigabitEthernet0/0/1ipaddress1.1.1.1255.255.255.0 L2TPIKE加密算法：3DESDH组：中(2)ESP加密算法：3DES设置IP安全策略。的客户端不支持隧道验证，所以还需要在总舵网关FWA上关闭L2TP的隧道验证功能。InternetL2TP隧道中传输的消息。虽然IPSec可以对 即SSL来实现。部署SSL 观。关于SSL的内容，在IPSec系列技术贴完成后推出至此，IPSecIPSec，天地会解决了一个又一个的问题，提高可靠性的内容，这也将是IPSec系列的最后一篇贴子，敬请期待。【技术连载31】强叔侃墙篇对等体检测洞察先机，双链路备份有IPSec通信呢？这就需要用到IKE对等体检测机制和IPSec可靠性了。IKE变化，才可以尽快恢复IPSec通信。<FW_A>disyikecurrentikesanumber: v1:2v1:1<FW_B>disyikecurrentsaNumPC2会采用原有的安全，而无法触发FW_A与FW_B之间建立新的安全联IPSecIPSecKeepalive机制通过IKE对等体周期性发送o消息来告诉对方自己处于活动状态。若在超时时间内没有收到o报文，则认为对端不可达。此时将删除该IKESA及DPD（DeadPeerDetection）机制不用周期性发送oIPSec送DPD报文探测对端的状态。若发送几次DPD报文后一直没有收到对端的回应，则认为对端不可达，此