JavaShuo
8.4、IPSec原理与配置
时间 2021-01-09
标签
HCIA
# 8、访问控制介绍
运维
网络
8.4、IPSec原理与配置
前言
企业与企业之间,为了保证数据的保密性。以前使用的是专用网络,专门拿一根通道来进行传输通信,这样就保证了高速率和高安全性。
随着网络的发展,用户越来越多,我们要是用专用网络时,从可实用性和价格上进行对比,显然现在是不可能的,所以在以太网上实现专用网络的技术。
企业和企业之间这里面的数据依然是没有进行加密的,我们难免在传输过程中会传输一些比较私密的信息,如果私密的信息被其他人获取到,安全性很低,对企业会造成很大的危害。
我们要想在通道过程中传输数据,能不能进行加密呢?
使用的就是IPSec。IPSec可以保证IP数据报文在网络上传输的机密性、完整性和防重放
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放
IPSec应用场景
企业分支可以通过IPSec接入到企业总部网络
IPSec常用场景
企业分支和企业总部要建立一个专用的网络,通常采用的是隧道技术,来进行一对一的传输。但是在传输数据时难免会传输一些比较重要的数据,比较私密的数据如果被其他人获取到,会对公司产生很大的影响。
要想为公司传输数据做一个加密,需要使用IPSec建立一个安全的传输隧道接入到企业的总部网络当中
IPSec架构
IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送
IKE协议提供密钥协商,建立和维护安全联盟SA等服务
IPSec架构
IPSec不是一个协议,而是一个架构,包括了很多的协议
通过三个协议来实现IP报文安全传送
AH
提供数据的认证,保证数据的完整性
ESP
提供对IP报文的加密功能
IKE
提供秘钥进行协商数据,建立和维护安全联盟SA等服务
安全联盟SA
安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数
安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA
建立SA的方式有两种
手动方式
SA联盟所有的信息必须手工配置,适用于小型网络
IKE动态协商方式
需要通信对等体之间配置好IKE协商参数,由IKE来进行自动协商参数和维护SA即可
IPSec传输模式
在传输模式下,AH或ESP报头位于IP报头和传输层之间
IPSec封装方式
传输模式
隧道模式
IPSec传输模式
对于IPSec传输模式,在IP报文和高层协议之间,需要插入AH或ESP的头部
AH协议
将AH报头封装在IP报头和高层协议(TCP报头)之间,然后通过AH协议对整个报头进行认证
ESP协议
在IP报头和TCP报文之间加入一个ESP报头
在尾部加入ESP尾部和认证方式
ESP主要可以包含一部分ESP认证功能,还包含了加密功能,所以可以对TCP报头和ESP尾部进行加密,可以对ESP头部到尾部之间进行认证
AH-ESP
对于AH协议只进行认证,但不能对数据加密
ESP可以对数据进行加密,但是只能对ESP到ESP尾部进行认证,通常我们会把这两个协议结合进行使用
两者协议进行使用过之后,可以看到分别在IP头部和TCP头部之间分别加入了AH报头和ESP报头
然后再尾部加入一个ESP尾部和ESP认证方式
整个数据既可以认证,又可以加密。这种方法对于数据来讲是比较安全的
1、针对ESP头部和尾部进行加密
2、对AH头部和ESP尾部之间进行认证
3、对整个数据帧进行认证
IPSec隧道模式
在隧道模式下,IPSec会另外生产一个新的IP报头,并封装在AH或ESP之前
隧道模式中,因为IPSec主要运用在公网之间,以Site-to-Site的方式。
隧道模式会在封装在原始的IP报文头部之前,而且还会生产一个新的IP报头,封装AH或ESP。新的IP报头使用的是公网地址,其他的协议封装过程是一样的
IPSec隧道模式
AH协议
封装在IP报头之前,然后生产一个新的IP报头。对整个部分进行认证
ESP协议
封装在IP报头之前,生成一个新的IP报头。分别进行加密和认证
AH-ESP协议
在IP头部之前加AH头部和ESP头部,在尾部添加ESP尾部和认证方式。然后生成新的IP报头来进行加密和认证
IPSec配置步骤
配置步骤
配置网络可达
保证底层能够通信
配置ACL识别兴趣流
通过ACL可以限制、筛选,通过要求去控制哪些流量可以通过,哪些流量不可以通过
创建安全提议
创建安全策略
应用安全策略
IPSec配置
配置
RTA和RTB之间是一个公网,建立一个IPSec Tunnel隧道
RTA
配置静态路由指向RTB
配置ACL
允许源地址是10.1.1.0网段,目的地址是10.1.2.0的网段
创建IPSec提议
配置IPSec认证算法
配置验证
通过命令查看安全协议参数
名称
个数
认证的秘钥
安全认证和加密的方法
IPSec对等体配置的安全提议参数必须一致
IPSec配置
安全策略将要保护的数据流和安全提议进行绑定
RTA
配置安全策略
策略为P1 10
采用手动的方式
对符合ACL 3001的流量使用安全策略
指定IPSec策略引用的提议
配置tunnel
对等体地址是20.1.1.2
本地地址是20.1.1.1
配置安全联盟安全参数索引
出方向
54321
注意
对等体在入方向是54321,相对一致
入方向
12345
配置安全联盟IKE的秘钥
出方向
配置为huawei
入方向
配置为huawei
策略配置完成后,进入物理端口
将策略应用到物理端口上
配置验证
查看信息
策略名称
P1
策略序号
10
符合的安全数据流
ACL 3001
Tunnel
本地地址
20.1.1.1
对等体地址
20.1.1.2
采用提议的名字
Tran1
查看信息
ESP认证信息
入方向
认证信息
12345
秘钥
huawei
出方向
认证信息
54321
秘钥
huawei
总结
安全联盟的作用是什么?
安全联盟
定义了IPSec通信对等体之间使用的数据封装模式是什么、认证、加密算法、秘钥等参数
IPSec将会对过滤后的感兴趣数据流如何操作?
对过滤后的感兴趣数据流通过SA协商的各种参数进行处理和封装,之后通过IPSec隧道进行转发