版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
IPSec和IKE基础知识介绍IPSecIPSec(IPSecurity)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议IPSec有隧道(tunnel)和传送(transport)两种工作方式Page2IPSec的组成IPSec
提供两个安全协议AH
(Authentication
Header)报文认证头协议MD5(Message
Digest
5)SHA1(Secure
Hash
Algorithm)ESP
(Encapsulation
Security
Payload)封装安全载荷协议DES
(Data
Encryption
Standard)3DES其他的加密算法:Blowfish
,blowfish、cast…Page3IPSec的安全特点数据机密性(Confidentiality)数据完整性(Data
Integrity)数据来源认证(Data
Authentication)反重放(Anti-Replay)Page4IPSec基本概念数据流(Data
Flow)安全联盟(Security
Association)安全参数索引(Security
Parameter
Index)安全联盟生存时间(Life
Time)安全策略(Crypto
Map)安全提议(Transform
Mode)Page5AH协议数据IP
包头IP
包头AH数据新IP
包头AH原IP
包头数据传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631Page6ESP协议数据IP
包头传输模式IP
包头ESP头部加密后的数据ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据(可变)填充字段(0-255字节)填充字段长度下一个头验证数据ESP协议包结构隧道模式加密部分新IP
包头ESP头原IP
包头数据ESP尾部ESP验证Page7IKEIKE(Internet
KeyExchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥Page8IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发Page9IKE的交换过程SA交换密钥交换ID交换及验证身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略查找匹配的策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1发送本地IKE策略Peer2Page10DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=
cbmodp=gabmodp(g,p)Page11IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证Page12IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASAPage13IPSec配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用那种安全保护确定安全保护的强度InternetPage14IPSec的配置任务及命令(1)创建加密访问控制列表定义安全提议[Quidway]
ipsec
proposal
proposal-name设置安全协议对IP报文的封装模式[Quidway-ipsec-proposal-trans]
encapsulation-mode{
transport
|
tunnel
}选择安全协议[Quidway-ipsec-proposal-trans]
transform
{ah|
esp
|
ah-esp
}设置AH协议采用的认证算法ah
authentication-algorithm
{
md5
|
sha1
}ESP协议采用的认证算法esp
authentication-algorithm
{md5
|
sha1
}ESP协议采用的加密算法esp
encryption-algorithm
{
3des
|
des
|
aes
}IPSec的配置任务及命令(2)创建安全策略[Quidway]
ipsec
policy
policy-name
sequence-number
[manual|
isakmp
]
[
template
template-name
]配置安全策略引用的访问控制列表[Quidway-ipsec-policy-policy1-10]
security
acl
access-list-number配置安全策略中引用的安全提议[Quidway-ipsec-policy-policy1-10]
proposal
proposal-name1[
proposal-name2...proposal-name6
]指定安全隧道的起点和终点[Quidway-ipsec-policy-policy1-10]
tunnel
local
ip-address[Quidway-ipsec-policy-policy1-10]
tunnel
remote
ip-address在接口上应用安全策略组[Quidway-Serial0]
ipsec
policy
policy-namePage16IKE的配置任务及命令创建IKE安全提议[Quidway]
ike
proposal
policy-number选择加密算法[Quidway-ike-proposal-10]
encryption-algorithm
{
des-cbc
|3des-cbc
}选择认证方法[Quidway-ike-proposal-10]
authentication-method
{
pre-share
}选择哈希散列算法[Quidway-ike-proposal-10]
authentication-algorithm
{
md5
|
sha
}选择DH的组标识[Quidway-ike-proposal-10]
dh
{
group1
|
group2
}设置IKE协商安全联盟的生存周期[Quidway-ike-proposal-10]
sa
duration
seconds配置IKE
keepalive定时器[Quidway]
ike
sa
keepalive-timer
{
interval
|
timeout
}
secondsPage17IPSec的配置举例InternetS0:
202.38.162.1/24S0:202.38.163.1/24E0:
10.1.2.1/24E0:
10.1.1.1/24ABE0:
10.1.1.2/24E0:
10.1.2.2/24[RouterA-Ethernet0]
ip
address
10.1.1.1
255.255.255.0[RouterA-Serial0]
ip
address
202.38.163.1255.255.255.0[RouterA]
acl3000[RouterA
-acl-3000]
rule
permit
ip
source
10.1.1.0
0.0.0.255
destination10.1.2.00.0.0.255[RouterA
-acl-3000]
rule
deny
ip
source
any
destination
any[RouterA
]
ipsec
proposal
tran1[RouterA
-ipsec-proposal-tran1]
encapsulation-mode
tunnel[RouterA
-ipsec-proposal-tran1]
transform
esp[RouterA
-ipsec-proposal-tran1]
esp
encryption-algorithm
des[RouterA-ipsec-proposal-tran1]
esp
authentication-algorithm
sha1[RouterA
]
ipsec
policy
policy1
10
manual[RouterA
-ipsec-policy-policy1-10]
security
acl
3000[RouterA
-ipsec-policy-policy1-10]
tunnel
local
202.38.163.1[RouterA
-ipsec-policy-policy1-10]
tunnel
remote
202.38.162.1[RouterA
-ipsec-policy-policy1-10]
proposal
tran1[RouterA
]
ikeproposal
10[RouterA
-ike-proposal-10]
authentication-algorithm
md5[RouterA
-ike-proposal-10]
authentication-method
pre-share[RouterA
-ike-proposal-10]
dh
group1[RouterA
-ike-proposal-10]
sa
duration
5000[RouterA]
ikesa
keepalive-timer
interval
100[RouterA]
ike
sa
keepalive-timer
timeout300[RouterA
-Serial0]
ipsecpolicy
policy1[RouterA
]
ip
route-static
10.1.2.0
255.255.255.0
202.38.162.1Page18IPSec的监控与调试显示安全联盟的相关信息display
ipsec
sa
{
all
|
brief
|
remote
ip-address
|policy
policy-name
[
sequence-number
]
}[Quidway]
display
ipsec
sa
briefSrc
Address202.38.162.1202.38.163.1Dst
Address202.38.163.1202.38.162.1SPI5432112345Protocol
AlgorithmNEW_ESP
E:DES;
A:HMAC-SHA1-96;NEW_ESP
E:DES;
A:HMAC-SHA1-96;#IPSec调试信息开关debugging
ipsec
{
al
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- Unit 6 Rain or Shine (Period 6)单元复习课 (2)同步练2025-2026学年人教版英语七年级下册
- 2026年传媒公司行政测试题及答案
- 2026年高考选专业测试题及答案
- 2026年小升初甲乙相除商测试题及答案
- 2026年测试爱情心理的测试题目及答案
- 2026年围棋趣味入门测试题及答案
- 2026年最佳合格男友测试题及答案
- 2026年有关自卑的测试题及答案
- 2026年益智数学测试题及答案
- 总包管理施工方案
- 黄水院水工建筑物基础课件第6章 土石坝
- 清远岭南文化课件下载
- 2024年内蒙古呼伦贝尔农垦集团有限公司招聘真题
- 夏季脑血管病预防
- DL-T5181-2017水电水利工程锚喷支护施工规范
- 《职业卫生》模拟考试题与参考答案
- 【课件】半偏法测量电表内阻(课件)
- 重庆市国企招聘考试真题及答案
- 碧桂园-物业保洁综合技能培训课件
- 《美国1787年宪法》实用的教学设计
- 子课题申报表
评论
0/150
提交评论