高级路由技术网络系统建设课件-第10章 网络系统安全

第10章网络系统安全学习目标和素质目标理解交换机接口安全的原理和掌握防MAC泛洪攻击的配置理解DHCPSnooping的原理和掌握防DHCP欺骗的配置理解动态ARP检测的原理和掌握防ARP欺骗的配置理解防IP源地址欺骗的原理掌握防IP源地址欺骗的配置理解IPSecVPN的概念和原理和掌握IPSecVPN的配置。培养爱国情怀和工匠精神。培养学生的网络安全意识。提高学生的灵活应变能力。10.1以太网安全以太网主要是由交换机组成，要保证以太网的安全就需要在交换机上做必要的安全措施，这些措施包含（但不仅限于）：接口安全、防DHCP欺骗、ARP安全、防IP源欺骗，这些措施将在本小节介绍。除此还有防止STP、VRRP、路由协议被攻击的措施，这些措施已经在相关章节介绍，不在本节介绍。10.1.1交换机的接口安全MAC泛洪攻击原理黑客在STA3上，发送具有虚假源MAC地址的帧（即：不是STA3的真实MAC），每发送一个帧，源MAC改变一次，MAC表就会多一条记录，如此反复直到交换机MAC地址表爆满，交换机就无法再学习新的MAC记录。图中交换机的MAC表爆满后，STA4开机，交换机将无法学习STA4在哪个接口。交换机进入称为“失效开放”的模式，开始像集线器一样工作，将要发往STA4的数据帧从除了源端口外的全部接口泛洪出去。10.1.1交换机的接口安全通过在交换机的特定接口上部署端口安全，可以限制接口的MAC地址学习数量，并且配置出现越限时的惩罚措施。安全MAC地址通常与安全保护动作结合使用，常见的安全保护动作有：Restrict：丢弃源MAC地址不存在的报文并上报告警。Protect：只丢弃源MAC地址不存在的报文，不上报告警。Shutdown：接口状态被置为error-down，并上报告警。类型定义特点安全动态MAC地址使能端口安全而未使能StickyMAC功能时转换的MAC地址。设备重启后表项会丢失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化。安全静态MAC地址使能端口安全时手工配置的静态MAC地址。不会被老化，手动保存配置后重启设备不会丢失。StickyMAC地址使能端口安全后又同时使能StickyMAC功能后转换到的MAC地址。不会被老化，手动保存配置后重启设备不会丢失。10.1.1交换机的接口安全配置接口安全防止MAC泛洪攻击进入接口视图，执行【port-securityenable】命令，使能接口安全功能。默认情况下，交换机的接口未使能接口安全功能。（可选）执行【port-securitymax-mac-nummax-number】命令，配置接口安全动态MAC学习限制数量。默认时，接口学习的MAC地址限制数量为1。（可选）执行【port-securityprotect-action{protect|restrict|shutdown}】命令，配置接口安全保护动作。默认情况下，接口安全保护动作为restrict。执行【port-securitymac-addresssticky】命令，使能接口自动StickyMAC功能。默认情况下，接口未使能StickyMAC功能。（可选）执行【port-securitymac-addressstickymac-addressvlanvlan-id】命令，手动配置一条sticky-mac表项。10.1.1交换机的接口安全Switch1GE0/0/1GE0/0/2GE0/0/3PC1PC2PC3PC4Switch2[Switch1]interfaceGigabitEthernet0/0/1[Switch1-GigabitEthernet0/0/1]port-securityenable[Switch1-GigabitEthernet0/0/1]port-securitymax-mac-num1[Switch1-GigabitEthernet0/0/1]port-securityprotect-actionrestrict[Switch1]interfaceGigabitEthernet0/0/3[Switch1-GigabitEthernet0/0/3]port-securityenable[Switch1-GigabitEthernet0/0/3]port-securitymax-mac-num2[Switch1-GigabitEthernet0/0/3]port-securityprotect-actionshutdown端口安全配置举例-安全动态MAC[Switch1]displaymac-addresssecurityMACaddresstableofslot0:----------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SI MAC-Tunnel---------------------------------------------------------------------------------------5489-98ac-71a91--GE0/0/3security -5489-98b1-7b301--GE0/0/1security -10.1.1交换机的接口安全SwitchGE0/0/1GE0/0/2GE0/0/3PC1PC2PC3[Switch]interfaceGigabitEthernet0/0/1[Switch-GigabitEthernet0/0/1]port-securityenable[Switch-GigabitEthernet0/0/1]port-securitymax-mac-num1[Switch-GigabitEthernet0/0/1]port-securitymac-addresssticky[Switch]interfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]port-securityenable[Switch-GigabitEthernet0/0/2]port-securitymax-mac-num1[Switch-GigabitEthernet0/0/2]port-securitymac-addresssticky端口安全配置举例-StickyMAC[Switch1]displaymac-addressstickyMACaddresstableofslot0:-------------------------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID VSI/SI MAC-Tunnel-------------------------------------------------------------------------------------------------------5489-98b1-7b301- - GE0/0/1sticky-5489-9815-662b1- - GE0/0/2sticky -10.1.2DHCPSnoopingDHCP服务是一个没有认证的服务，即客户端和服务器端无法互相进行合法性的验证。如果在网络中存在多台DHCP服务器，谁先应答，客户端就采用其供给的网络配置参数。假如非授权的DHCP服务器先应答，这样客户端最后获得的网络参数即是非授权的，客户端可能获取不正确的IP地址、网关、DNS等信息。1342发现阶段DHCPDISCOVER（广播）提供阶段DHCPOFFER（单播/广播）选择阶段DHCPREQUEST（广播）确认阶段DHCPACK（单播）DHCPClientDHCPServer二层广播域10.1.2DHCPSnoopingDHCPSnooping是DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCP服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。目前DHCP协议在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCPServer仿冒者攻击、DHCPServer的拒绝服务攻击、仿冒DHCP报文攻击等。DHCPSnooping主要是通过DHCPSnooping信任功能和DHCPSnooping绑定表实现DHCP网络安全。10.1.2DHCPSnoopingDHCP饿死攻击原理：攻击者持续大量地向DHCPServer申请IP地址，直到耗尽DHCPServer地址池中的IP地址，导致DHCPServer不能给正常的用户进行分配。DHCPServer向申请者分配IP地址时，无法区分正常的申请者与恶意的申请者。解决方案：对于饿死攻击，可以通过DHCPSnooping的MAC地址限制功能来防止。DHCPServerDHCPClientSwitchAttackerDHCPREQUESTCHADDR=ASourceMac=Mac-ADHCPREQUESTCHADDR=BSourceMac=Mac-BDHCPREQUESTCHADDR=CSourceMac=Mac-CDHCPREQUESTCHADDR=DSourceMac=Mac-D攻击者通过不断伪造源MAC地址不同的的DHCPdiscover报文，向服务器申请IP地址。正常主机用户向DHCPServer申请IP地址。DHCPACKCHADDR=BIPAddress10.1.1.1DHCPACKCHADDR=CIPAddress10.1.1.2DHCPACKCHADDR=DIPAddress10.1.1.3DHCPNAKCHADDR=AIPAddress0.0.0.0DHCPServer是根据请求报文中的CHADDR字段来为其分配IP地址，并最终被耗光，当合法用户请求时已经无地址可分配了。10.1.2DHCPSnoopingDHCP欺骗攻击原理：攻击者可以通过发送大量的DHCP请求，耗尽网络中合法DHCP服务器的资源，使得合法用户无法获得IP地址。在这种情况下，攻击者可以进一步进行欺骗攻击，伪装成合法的DHCP服务器以欺骗其他用户。解决方案：交换机上开启DHCPSNOOPING功能，通过建立和维护一个绑定表来过滤掉非信任的DHCP信息，只允许合法的DHCP应答通过。非法DHCPOFFER/ACK/NAK报文DHCP客户端请求报文DHCPClient1非法DHCPServerDHCPClient2合法DHCPServer10.1.2DHCPSnoopingDHCPSnooping的信任功能，能够保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCPSnooping信任功能将接口分为信任接口和非信任接口：信任接口正常接收DHCP服务器响应的DHCPACK、DHCPNAK和DHCPOffer报文。设备只将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器，不会向非信任接口转发。非信任接口收到的DHCPServer发送的DHCPOFFER、DHCPACK、DHCPNAK报文会被直接丢弃。DHCPClient1非法DHCPServerDHCPClient2合法DHCPServerDHCPSnooping信任接口DHCPSnooping非信任接口使能DHCPSnooping的接口合法DHCPOFFER/ACK/NAK报文非法DHCPOFFER/ACK/NAK报文DHCP客户端请求报文10.1.2DHCPSnooping二层接入设备使能了DHCPSnooping功能后，从收到DHCPACK报文中提取关键信息（包括PC的MAC地址以及获取到的IP地址、地址租期），并获取与PC连接的使能了DHCPSnooping功能的接口信息（包括接口编号及该接口所属的VLAN），根据这些信息生成DHCPSnooping绑定表。由于DHCPSnooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系，故通过对报文与DHCPSnooping绑定表进行匹配检查，能够有效防范非法用户的攻击。DHCPServerDHCPClient1192.168.1.98/24MAC-1DHCPClient2192.168.1.99/24MAC-2DHCPACKGE0/0/1GE0/0/2GE0/0/3IPMACVLAN接口Lease192.168.1.98MAC-11GE0/0/11192.168.1.99MAC-21GE0/0/2110.1.2DHCPSnooping配置DHCPSnooping防DHCP欺骗VLAN视图下使能DHCPSnooping功能的步骤：进入系统视图，执行【dhcpenable】命令，全局使能DHCP功能。执行【dhcpsnoopingenable】命令，全局使能DHCPSnooping功能。进入VLAN视图，执行【dhcpsnoopingenable】命令，使能VLAN的DHCPSnooping功能，这时该VLAN下的接口全部会使能DHCPSnooping功能。默认情况下，接口为“不信任”状态。（可选）进入接口视图。执行【dhcpsnoopingdisable】命令，可单独去使能VLAN下特定接口的DHCPSnooping功能。（可选）配置接口为信任状态。在VLAN视图下执行【dhcpsnoopingtrustedinterfaceinterface-type

interface-number】命令；或者接口视图下执行【dhcpsnoopingtrusted】命令。执行【

displaydhcpsnoopinginterface】命令，查看接口下DHCPSnooping的配置信息。执行【displaydhcpsnoopinguser-bindall】命令，查看接口的DHCPSnooping动态绑定表信息。10.1.2DHCPSnoopingDHCPSnooping配置举例DHCPClient1DHCPClient2DHCPServerVLAN2VLAN2SwitchGE0/0/1GE0/0/2GE0/0/3配置方式一：接口视图[Switch]dhcpsnoopingenableipv4[Switch]interfaceGigabitEthernet0/0/1[Switch-GigabitEthernet0/0/1]dhcpsnoopingenable[Switch]interfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]dhcpsnoopingenable[Switch]interfaceGigabitEthernet0/0/3[Switch-GigabitEthernet0/0/3]dhcpsnoopingenable[Switch-GigabitEthernet0/0/3]dhcpsnoopingtrusted配置方式二：VLAN视图[Switch]dhcpsnoopingenableipv4 [Switch]vlan2[Switch-vlan2]dhcpsnoopingenable [Switch]interfaceGigabitEthernet0/0/3[Switch-GigabitEthernet0/0/3]dhcpsnoopingtrusted [Switch]displaydhcpsnoopinginterfaceGigabitEthernet0/0/3DHCPsnoopingrunninginformationforinterfaceGigabitEthernet0/0/3:DHCPsnooping :Enable

Trustedinterface :Yes

Dhcpusermaxnumber :1024(default)Currentdhcpusernumber :0-----more------10.1.3ARP安全ARP攻击原理黑客所控制的计算机B收到计算机A的请求（ARP请求是广播），计算机B人为稍作延时再发送ARP响应，保证这个响应迟于网关的响应到达计算机A，计算机B回答：10.1.1.1和10.1.1.3的MAC均为B.B.B。由于ARP条目会采用最新的响应，因此计算机A就误认为10.1.1.3的MAC为B.B.B了，路由器也误认为10.1.1.1的MAC为B.B.B。10.1.3ARP安全动态ARP检测（DAI）原理DAI基于DHCPSnooping来工作，DHCPSnooping绑定表包括IP地址与MAC地址的绑定信息，并将其与VLAN、交换机端口相关联，DAI可以用来检查接口的ARP请求和应答(主动式ARP和非主动式ARP)，确保请求和应答来自真正的MAC、IP所有者。交换机通过检查接口记录的DHCP绑定信息和ARP报文的信息决定是否合法的ARP报文，不合法的ARP报文将被拒绝转发。图中，交换机知道计算机B的IP地址为10.1.1.2、MAC地址为B.B.B、在哪个接口，计算机B发送的虚假ARP报文将被丢弃。10.1.3ARP安全配置DAI防止ARP中间人攻击DAI依赖于DHCPSnooping来实现它的功能。设备使能DHCPSnooping功能后，当DHCP用户上线时，设备会自动生成DHCPSnooping绑定表。对于静态配置IP地址的用户，设备不会生成DHCPSnooping绑定表，所以需要手动添加静态绑定表，在系统视图下执行【user-bindstatic{{ip-addressip-address&<1-10>}|mac-addressmac-address}*[interfaceinterface-type

interface-number][vlanvlan-id[ce-vlance-vlan-id]]】命令。进入接口视图，或者进入VLAN视图，执行【arpanti-attackcheckuser-bindenable】命令，使能ARP报文检查功能。默认情况下，接口或VLAN未使能对ARP报文的检查功能。进入接口视图，执行【arpanti-attackcheckuser-bindcheck-item{ip-address|mac-address|vlan}*】命令；或者VLAN视图下执行【arpanti-attackcheckuser-bindcheck-item{ip-address|mac-address|interface}*】命令，配置ARP报文检查方式。默认情况下，对IP地址、MAC地址、VLAN和接口都进行检查。使用【displayarpanti-attackconfiguration{arp-rate-limit|arpmiss-rate-limit|arp-speed-limit|arpmiss-speed-limit|entry-check|gateway-duplicate|log-trap-timer|packet-check|all}】和【displayarpanti-attackconfigurationcheckuser-bindinterfaceinterface-typeinterface-number】命令查看当前ARP防攻击配置。10.1.3ARP安全配置DAI防止ARP中间人攻击案例[S1]dhcpsnoopingenable[S1]vlan1[S1-vlan1]dhcpsnoopingenable//在VLAN1使能DHCPSnooping[S1-vlan1]user-bindstaticip-address192.168.1.100mac-address5489-9389-03BDinterfaceg0/0/4vlan1//手动添加静态绑定表[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingtrusted//配置接口为可信任接口[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]arpanti-attackcheckuser-bindenable//使能ARP报文检查功能[S1-GigabitEthernet0/0/2]arpanti-attackcheckuser-bindcheck-itemip-addressmac-addressvlan//配置ARP报文检查方式，对IP地址、MAC地址、VLAN和接口都进行检查G0/0/3、G0/0/4接口配置和G0/0/2的一样DHCPClient1DHCPClient2DHCPServerS1GE0/0/2GE0/0/3GE0/0/1192.168.1.100GE0/0/410.1.4IP源防护IP源地址欺骗是黑客进行DoS攻击时经常同时使用的一种手段，黑客发送具有虚假源IP地址的数据包。IP源防护（IPSourceGuard，IPSG）可以防止局域网内的IP地址欺骗攻击。和DAI类似，IPSG也是基于DHCPSnooping进行工作，DHCPSnooping绑定表包括了IP地址与MAC地址的绑定信息，并将其与VLAN、交换机端口相关联，交换机根据DHCPSnooping绑定表的内容来过滤IP报文。客户端发送的IP数据包，只有其源IP地址、MAC地址、VLAN和DHCPSnooping绑定表相符才会被发送，其他IP数据包都将被丢弃。IPSG技术概述IP地址欺骗攻击中，攻击者通过伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制，可以有效阻止此类网络攻击行为。IP源防攻击（IPSG，IPSourceGuard）是一种基于二层接口的源IP地址过滤技术。它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。InternetSwitchRouter合法主机1合法主机2非法主机IP:10.1.1.1IP:10.1.1.2IP:10.1.1.10规定：只允许IP地址为10.1.1.1和10.1.1.2的主机可以上网合法主机1和2可以上网，但是关机了非法主机的IP地址为10.1.1.10，不能上网，改为10.1.1.1就可以上网了在Switch的接入用户侧的接口或VLAN上部署IPSG功能匹配通过伪造合法IP不匹配丢弃IPSG工作原理IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。常见的绑定表有静态绑定表和DHCPSnooping动态绑定表。合法主机IP:10.1.1.1MAC:5489-98C2-1486非法主机IP:10.1.1.10MAC:5489-98AB-22A7InternetSwitchRouter规定：只允许IP地址为10.1.1.1的主机可以访问InternetSwitchDHCPSnooping绑定表使能IPSG的二层接口GE0/0/1GE0/0/2GE0/0/35489-98AB-22A7SIP:10.1.1.1DataVLAN15489-98C2-148610.1.1.1DataVLAN1IPMACVLAN接口10.1.1.15489-98C2-14861GE0/0/110.1.1.105489-98AB-22A71GE0/0/2IPSG配置举例IPSG配置举例#在接入交换机上配置静态绑定表[Switch1]user-bindstaticip-address10.1.1.1mac-address5489-98C2-1486[Switch1]user-bindstaticip-address10.1.1.10mac-address5489-98AB-22A7#使能GE0/0/1接口IPSG和IP报文检查告警功能[Switch1]interfaceGigabitEthernet0/0/1[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindenable[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmenable[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmthreshold100#接口GE0/0/2配置与GE0/0/1类似，此处省略InternetSwitch2Switch1GE0/0/1GE0/0/2GE0/0/3IP:10.1.1.1/24MAC:5489-98C2-1486IP:10.1.1.10/24MAC:5489-98AB-22A7PC1PC2[Switch1]displaydhcpstaticuser-bindallDHCPstaticBind-table:Flags:O-outervlan,I-innervlan,P-Vlan-mappingIPAddressMACAddress VSI/VLAN(O/I/P)Interface-------------------------------------------------------------------------------------------------10.1.1.15489-98C2-1486 --/--/----10.1.1.105489-98AB-22A7 --/--/-----------------------------------------------------------------------------------------------------Printcount:2Totalcount:210.2VPN对于规模较大的企业来说，网络访问需求不仅仅局限于公司总部网络内，分公司、办事处、出差员工、合作单位等也需要访问公司总部的网络资源，可以采用VPN（VirtualPrivateNetwork，虚拟专用网络）技术来实现这一需求。VPN可以在不改变现有网络结构的情况下，建立虚拟专用连接。因其具有廉价、专用和虚拟等多种优势，在现网中应用非常广泛。VPN技术的基本原理是利用隧道技术，对传输报文进行封装，利用VPN骨干网建立专用数据传输通道，实现报文的安全传输。企业总部企业分支VPN网关1VPN网关2Internet原始报文VPN隧道解封装后的报文封装后的报文封装解封装10.2.1VPN简介在VPN出现之前，企业分支之间的数据传输只能依靠现有物理网络（例如Internet）。由于Internet中存在多种不安全因素，报文容易被网络中的黑客窃取或篡改，最终造成数据泄密、重要数据被破坏等后果。除了通过Internet，还可以通过搭建一条物理专网连接保证数据的安全传输，但其费用会非常昂贵，且专网的搭建和维护十分困难。办事处企业总部企业分支出差员工Internet黑客企业内部数据直接使用共享且不安全的Internet传输数据，可能导致数据被盗取、篡改。采用Internet传输数据办事处企业总部企业分支出差员工专网企业内部数据搭建专网传输数据有效保证企业数据传输安全性，但面临使用成本高、使用率低、部署不灵活等问题。10.2.1VPN简介VPN即虚拟专用网，泛指通过VPN技术在公用网络上构建的虚拟专用网络。VPN用户在此虚拟网络中传输私网流量，在不改变网络现状的情况下实现安全、可靠的连接。办事处企业总部企业分支出差员工专网/Internet公共网络虚拟专用网络专用（Private）VPN网络是专门供VPN用户使用的网络，对于VPN用户，使用VPN与使用传统专网没有区别。VPN能够提供足够的安全保证，确保VPN内部信息不受外部侵扰。VPN与底层承载网络（一般为IP网络）之间保持资源独立，即VPN资源不被网络中非该VPN的用户所使用。虚拟（Virtual）VPN用户的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。TunnelTunnelTunnel10.2.1VPN简介按照用途分类远程接入VPN（AccessVPN）内联网VPN（IntranetVPN）外联网VPNVPN（Extranet）企业总部运营商MPLSVPN专线企业分支2企业分支1VPN分类-根据建设单位不同根据建设单位分类租用运营商VPN专线搭建企业VPN网络最常见的场景为租用运营商MPLSVPN专线。自建企业VPN网络基于Internet建立企业VPN网络，常见的如IPSecVPN、L2TPVPN、SSLVPN等。VPN网关为运营商所有企业总部企业分支Internet出差员工VPN网关VPN网关企业分部VPN分类-根据组网方式不同根据组网方式分类远程访问VPN（RemoteAccessVPN）适用于出差员工VPN拨号接入的场景，员工可在任何能接入Internet的地方，通过VPN接入企业内网资源。常见的有L2TPVPN、SSLVPN等。局域网到局域网VPN（Site-to-siteVPN）适用于公司两个异地机构的局域网互连。常见的有MPLSVPN、IPSecVPN等。企业总部Internet出差员工A地企业总部InternetVPN网关出差员工B地VPN网关VPN分类-根据实现的网络层次根据实现的网络层次分类应用层TCP/IP参考模型传输层网络层数据链路层物理层SSLVPNIPSecVPN、GREVPNL2TPVPN、PPTPVPNMPLSVPN10.2.2加密学基础数据加密可以避免数据转发时被读取。数据加密一般有两种方案：对称加密：使用同一个密码加密/解密，效率很高，但是对称加密在互相交互密钥时存在密钥被截取的风险。非对称加密：使用公钥加密，私钥解密，安全性很高但是加解密效率很低。对称加密数据数据密钥A密钥A预先配置或传递相同密钥被加密数据被加密数据数据转发RT1RT2非对称加密数据数据公钥B私钥B被加密数据被加密数据数据转发RT1RT2加密解密公钥加密私钥解密公钥B私钥B密钥对设备自动生成公钥与私钥传递公钥交互密钥10.2.2加密学基础IPsec同时使用对称加密与非对称加密，保证了安全也兼顾了性能。将对称加密所用的密钥，使用非对称算法加密并传递。数据通过交互后的对称密钥加密。IPsec加解密基本思路IPsec设备IPsec设备非对称加密对称密钥对称密钥非对称加密用户数据用户数据对称加密对称加密交互对称密钥公钥加密私钥解密公钥加密私钥解密交互用户数据通过对称密钥加解密通过对称密钥加解密IPsec隧道交互对称密钥后，通过对称密钥加解密数据1210.2.2加密学基础DH（Deffie-Hellman）密钥交换是最常用的密钥交换算法之一，它使得通信的双方能在Internet这样的非安全信道中安全地交换密钥，用于加密后续的通信。常用的DH算法有Group1、Group2、Group5等。DH算法的原理是依赖于计算离散对数的难度。10.2.2加密学基础防止数据在传输过程中被篡改可以通过HASH算法实现。HASH也称为散列函数，能够把任意长度的输入通过运算变换成固定长度的散列值（通常是128位、168位、256位等）。HASH算法有个特点是输入明文很容易运算得到散列值，但是不能从散列值反推出明文，我们可以把HASH理解成一个单向函数。常用的HASH算法有MD5、SHA-1、SHA-256、SHA-384、SHA-512等。10.2.2加密学基础事先通过密钥交换在收、发双方产生一个共同的密钥，发送方把要发送的消息、密钥做HASH运算得到HASH值，把消息和HASH值发送给对方。接收方收到消息后，把收到的消息、密钥做HASH运算得到自己的HASH值，然后把这个HASH值和收到的HASH做比较，如果两个HASH值相同，则表明数据在传输过程中没有被篡改；如果两个HASH值不相同，则表明数据在传输过程中被篡改。Hash算法Hash算法数据转发RT1RT2Hash计算Hash计算数据Hash值A数据Hash值AHash值B对比Hash值10.2.2加密学基础身份认证可以保证数据发送者的身份真实性，以防止假冒者发送数据。身份认证主要有两种方式：数字证书和预共享密钥。10.2.2加密学基础IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等协议。安全协议加密验证密钥交换ESPDES3DESAESSM1/4AH不支持MD5SHA1SHA2SM3MD5SHA1SHA2SM3IKE（ISAKMP，DH）IPSec协议体系10.2.3IPSec基本概念IPSec（InternetProtocolSecurity）是IETF（InternetEngineeringTaskForce）制定的一组开放的网络安全协议，在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。数据来源认证：接收方认证发送方身份是否合法。数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。数据完整性：接收方对接收的数据进行认证，以判定报文是否被篡改。抗重放保护：接收方会拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。10.2.3IPSec基本概念IPSec对等体：即建立IPSecVPN的双方。端点可以是网关路由器，也可以是主机。IPSec隧道：提供对数据流的安全保护，IPSec对数据的加密是以数据包为单位的。发送方对要保护的数据包进行加密封装，在Internet中传输，接收方采用相同的参数对报文进行认证、解封装，以得到原始数据。企业总部企业分支VPN网关1VPN网关2Internet原始报文VPN隧道解封装后的报文封装后的报文封装解封装10.2.3IPSec基本概念安全联盟（SecurityAssociation，SA）是出于安全目的而创建的一个单向逻辑连接，是通信的对等体间对某些要素的约定。对等体间需要通过手工配置或IKE协议协商匹配的参数才能建立起安全联盟。对等体之间的双向通信需要建立一对SA，这一对SA对应于一条IPSec隧道。SA由安全参数索引、目的IP地址和使用的安全协议三元组来唯一标识。两种方式建立SA：手工方式、IKE动态协商方式。10.2.3IPSec基本概念IPsec有两种传输层协议提供认证或加密服务：AH（AuthenticationHeader,认证头），ESP（EncapsulatingSecurityPayload,封装安全载荷）。AH仅支持认证功能，不支持加密功能。ESP支持认证和加密功能。AH报文头部结构ESP报文头部结构NextHeaderPayloadLenReservedSecurityParametersIndex(SPI)SequenceNumberAuthenticationData(Variable)IntegrityCheckValue(ICV)32bitSecurityParametersIndex(SPI)SequenceNumberPayloadData(Variable)Padding(0-255Octets)PadLenNextHeaderAuthenticationData(Variable)IntegrityCheckValue(ICV)32bitESPHeaderESPTrailerEncryptedESPAuthenticationAuthentication10.2.3IPSec基本概念封装模式是指将AH或ESP相关的字段插入到原始IP报文中，以实现对报文的认证和加密，封装模式有传输模式和隧道模式两种。传输模式中：AH头或ESP头被插入到IP头与传输层协议头之间。在隧道模式下：AH头或ESP头被插到原始IP头之前。隧道模式传输模式IPHeaderAHHeaderDataIPHeaderESPHeaderDataESPTrailerESPAuthdataIPHeaderAHHeaderESPHeaderDataESPTrailerESPAuthdataAHESPAH-ESPNew

IPHeaderAHHeaderRawIPHeaderDataNewIPHeaderESPHeaderRawIPHeaderDataESPTrailerESPAuthdataNewIPHeaderAHHeaderESPHeaderRawIPHeaderDataESPTrailerESPAuthdataAHESPAH-ESP认证范围认证范围加密范围ESP认证范围加密范围AH认证范围认证范围认证范围加密范围ESP认证范围加密范围AH认证范围10.2.4IKE协议IPsec基本工作流程IPsec设备IPsec隧道IPsec设备IKE模块用户数据用户数据加密认证模块IKESA协商交互用户数据IKE模块加密认证模块基于IPsecSA对用户数据进行加解密，认证IKESAIPsecSAIPsecSA协商基于IKESA加密IPsecSA协商报文IKE协商第一阶段IKE协商第二阶段IPsecSA设备对于被保护流进行加解密10.2.4IKE协议IKE协议建立在Internet安全联盟和密钥管理协议（InternetSecurityAssociationandKeyManagementProtocol，ISAKMP）定义的框架上，是基于UDP的应用层协议。它为IPSec提供了自动协商交换密钥、建立SA的服务，能够简化IPSec的使用和管理。采用IKEv1协商安全联盟主要分为两个阶段：第一阶段，通信双方协商并建立IKE协议本身使用的安全通道，即建立一个IKESA；第二阶段，利用第一阶段已通过认证与安全保护的安全通道，建立一对用于数据安全传输的IPsecSA。IKE模块IKESA协商IKE模块IKESAIPsecSA协商基于IKESA加密IPsecSA协商报文IKE协商第一阶段IKE协商第二阶段IKEv1协商基本过程10.2.4IKE协议IKEv1协商第一阶段的目的是建立IKESA。IKESA建立后对等体间的所有ISAKMP消息都将通过加密和验证，这条安全通道可以保证IKEv1第二阶段的协商能够安全进行。IKEv1协商第一阶段支持两种协商模式：主模式（MainMode）和野蛮模式（AggressiveMode）。主模式协商过程野蛮模式协商过程发送IKE安全提议查找匹配的提议接受提议发送确认的IKE安全提议发送密钥生成信息生成密钥生成密钥发送密钥生成信息发送身份和验证数据身份验证和交换过程验证身份验证和交换过程验证发送身份和验证数据协商发起方协商响应方124635发起IKE安全提议，密钥生成信息和身份信息查找匹配的提议算法，身材密钥和身份验证接受提议和生成密钥发送密钥生成信息、身份信息和验证数据发送验证数据交换过程验证协商发起方协商响应方123已加密数据10.2.4IKE协议IKEv1协商第二阶段的目的是建立用来安全传输数据的IPsecSA，并为数据传输衍生出密钥。第二阶段采用快速模式（QuickMode）。该模式使用IKEv1协商第一阶段中生成的密钥对ISAKMP消息的完整性和身份进行验证，并对ISAKMP消息进行加密，故保证了交换的安全性。快速模式协商过程发送IPsec安全提议、身份和验证数据查找匹配的安全提议，生成密钥接收安全提议和生成密钥发送确认的安全提议、身份和验证数据发送验证数据接收信息协商发起方协商响应方123已加密数据10.2.5IPSecVPN配置IPSecVPN配置方式：ACL方式虚拟隧道接口方式以EfficientVPN策略在采用ACL方式建立IPSec隧道之前，需完成以下任务：实现源接口和目的接口之间的路由可达。确定需要IPSec保护的数据流。确定数据流被保护的强度，即确定使用的IPSec安全提议的参数。确定IPSec隧道是基于手工方式还是IKE动态协商方式建立。10.2.5IPSecVPN配置采用ACL方式建立IPSec隧道配置流程如下：定义需要保护的数据流。配置IPSec安全提议。配置IKE安全提议。配置IKE对等体。配置安全策略。接口上应用安全策略组。检查配置结果。10.2.5IPSecVPN配置1.定义需要保护的数据流ACL规则中的permit关键字表示与之匹配的流量需要被IPSec保护，而deny关键字则表示与之匹配的流量不需要被保护。一个ACL中可以配置多条规则，首个与数据流匹配上的规则决定了对该数据流的处理方式。操作步骤如下。进入系统视图。执行【acl

[

number

]

acl-number

[

match-order

{

config

|

auto

}]】命令，创建一个高级ACL（acl-number为3000～3999）并进入其视图。执行【rule

[

rule-id

]{

deny

|

permit

}

ip

[

destination

{

destination-addressdestination-wildcard

|

any

}|

source

{

source-addresssource-wildcard

|

any

}

|

vpn-instance

vpn-instance-name

|

dscp

dscp

]

*】命令，在ACL视图下，配置ACL规则。10.2.5IPSecVPN配置2.配置IPSec安全提议执行【ipsecproposal

proposal-name】命令创建IPSec安全提议并进入IPSec安全提议视图。执行【transform

{

ah

|

esp

|

ah-esp

}】命令配置安全协议。默认IPSec安全提议采用ESP协议。配置安全协议的认证/加密算法。执行【ahauthentication-algorithm

{

md5

|

sha1

|

sha2-256

|

sha2-384

|

sha2-512

|

sm3

}】命令，设置AH协议采用的认证算法。默认情况下，AH协议采用SHA-256认证算法。执行【espauthentication-algorithm

{

md5

|

sha1

|

sha2-256

|

sha2-384

|

sha2-512

|

sm3

}】命令，设置ESP协议采用的认证算法。默认情况下，ESP协议采用SHA-256认证算法。执行【espencryption-algorithm

[

3des

|

des

|

aes-128

|

aes-192

|

aes-256

|

sm1

|

sm4

]】命令，设置ESP协议采用的加密算法。默认情况下，ESP协议采用AES-256加密算法。执行【encapsulation-mode

{

transport

|

tunnel

}】命令，选择安全协议对数据的封装模式。默认情况下，安全协议对数据的封装模式采用隧道模式。10.2.5IPSecVPN配置3.配置IKE安全提议进入系统视图。执行【ikeproposal

proposal-number】命令，创建一个IKE安全提议，并进入IKE安全提议视图。执行【authentication-method

{