IPSec和IKE基础知识介绍_第1页
IPSec和IKE基础知识介绍_第2页
IPSec和IKE基础知识介绍_第3页
IPSec和IKE基础知识介绍_第4页
IPSec和IKE基础知识介绍_第5页
已阅读5页,还剩16页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

IPSec和IKE基础知识介绍IPSecIPSec(IPSecurity)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议IPSec有隧道(tunnel)和传送(transport)两种工作方式Page2IPSec的组成IPSec

提供两个安全协议AH

(Authentication

Header)报文认证头协议MD5(Message

Digest

5)SHA1(Secure

Hash

Algorithm)ESP

(Encapsulation

Security

Payload)封装安全载荷协议DES

(Data

Encryption

Standard)3DES其他的加密算法:Blowfish

,blowfish、cast…Page3IPSec的安全特点数据机密性(Confidentiality)数据完整性(Data

Integrity)数据来源认证(Data

Authentication)反重放(Anti-Replay)Page4IPSec基本概念数据流(Data

Flow)安全联盟(Security

Association)安全参数索引(Security

Parameter

Index)安全联盟生存时间(Life

Time)安全策略(Crypto

Map)安全提议(Transform

Mode)Page5AH协议数据IP

包头IP

包头AH数据新IP

包头AH原IP

包头数据传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631Page6ESP协议数据IP

包头传输模式IP

包头ESP头部加密后的数据ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据(可变)填充字段(0-255字节)填充字段长度下一个头验证数据ESP协议包结构隧道模式加密部分新IP

包头ESP头原IP

包头数据ESP尾部ESP验证Page7IKEIKE(Internet

KeyExchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥Page8IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发Page9IKE的交换过程SA交换密钥交换ID交换及验证身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略查找匹配的策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1发送本地IKE策略Peer2Page10DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=

cbmodp=gabmodp(g,p)Page11IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证Page12IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASAPage13IPSec配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用那种安全保护确定安全保护的强度InternetPage14IPSec的配置任务及命令(1)创建加密访问控制列表定义安全提议[Quidway]

ipsec

proposal

proposal-name设置安全协议对IP报文的封装模式[Quidway-ipsec-proposal-trans]

encapsulation-mode{

transport

|

tunnel

}选择安全协议[Quidway-ipsec-proposal-trans]

transform

{ah|

esp

|

ah-esp

}设置AH协议采用的认证算法ah

authentication-algorithm

{

md5

|

sha1

}ESP协议采用的认证算法esp

authentication-algorithm

{md5

|

sha1

}ESP协议采用的加密算法esp

encryption-algorithm

{

3des

|

des

|

aes

}IPSec的配置任务及命令(2)创建安全策略[Quidway]

ipsec

policy

policy-name

sequence-number

[manual|

isakmp

]

[

template

template-name

]配置安全策略引用的访问控制列表[Quidway-ipsec-policy-policy1-10]

security

acl

access-list-number配置安全策略中引用的安全提议[Quidway-ipsec-policy-policy1-10]

proposal

proposal-name1[

proposal-name2...proposal-name6

]指定安全隧道的起点和终点[Quidway-ipsec-policy-policy1-10]

tunnel

local

ip-address[Quidway-ipsec-policy-policy1-10]

tunnel

remote

ip-address在接口上应用安全策略组[Quidway-Serial0]

ipsec

policy

policy-namePage16IKE的配置任务及命令创建IKE安全提议[Quidway]

ike

proposal

policy-number选择加密算法[Quidway-ike-proposal-10]

encryption-algorithm

{

des-cbc

|3des-cbc

}选择认证方法[Quidway-ike-proposal-10]

authentication-method

{

pre-share

}选择哈希散列算法[Quidway-ike-proposal-10]

authentication-algorithm

{

md5

|

sha

}选择DH的组标识[Quidway-ike-proposal-10]

dh

{

group1

|

group2

}设置IKE协商安全联盟的生存周期[Quidway-ike-proposal-10]

sa

duration

seconds配置IKE

keepalive定时器[Quidway]

ike

sa

keepalive-timer

{

interval

|

timeout

}

secondsPage17IPSec的配置举例InternetS0:

202.38.162.1/24S0:202.38.163.1/24E0:

10.1.2.1/24E0:

10.1.1.1/24ABE0:

10.1.1.2/24E0:

10.1.2.2/24[RouterA-Ethernet0]

ip

address

10.1.1.1

255.255.255.0[RouterA-Serial0]

ip

address

202.38.163.1255.255.255.0[RouterA]

acl3000[RouterA

-acl-3000]

rule

permit

ip

source

10.1.1.0

0.0.0.255

destination10.1.2.00.0.0.255[RouterA

-acl-3000]

rule

deny

ip

source

any

destination

any[RouterA

]

ipsec

proposal

tran1[RouterA

-ipsec-proposal-tran1]

encapsulation-mode

tunnel[RouterA

-ipsec-proposal-tran1]

transform

esp[RouterA

-ipsec-proposal-tran1]

esp

encryption-algorithm

des[RouterA-ipsec-proposal-tran1]

esp

authentication-algorithm

sha1[RouterA

]

ipsec

policy

policy1

10

manual[RouterA

-ipsec-policy-policy1-10]

security

acl

3000[RouterA

-ipsec-policy-policy1-10]

tunnel

local

202.38.163.1[RouterA

-ipsec-policy-policy1-10]

tunnel

remote

202.38.162.1[RouterA

-ipsec-policy-policy1-10]

proposal

tran1[RouterA

]

ikeproposal

10[RouterA

-ike-proposal-10]

authentication-algorithm

md5[RouterA

-ike-proposal-10]

authentication-method

pre-share[RouterA

-ike-proposal-10]

dh

group1[RouterA

-ike-proposal-10]

sa

duration

5000[RouterA]

ikesa

keepalive-timer

interval

100[RouterA]

ike

sa

keepalive-timer

timeout300[RouterA

-Serial0]

ipsecpolicy

policy1[RouterA

]

ip

route-static

10.1.2.0

255.255.255.0

202.38.162.1Page18IPSec的监控与调试显示安全联盟的相关信息display

ipsec

sa

{

all

|

brief

|

remote

ip-address

|policy

policy-name

[

sequence-number

]

}[Quidway]

display

ipsec

sa

briefSrc

Address202.38.162.1202.38.163.1Dst

Address202.38.163.1202.38.162.1SPI5432112345Protocol

AlgorithmNEW_ESP

E:DES;

A:HMAC-SHA1-96;NEW_ESP

E:DES;

A:HMAC-SHA1-96;#IPSec调试信息开关debugging

ipsec

{

al

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论