IPsec ×××

IPsec ××× :

IPsec 是一系列为IP网络提供完整安全性的协议和服务的集合，因工做在IP层，从而为上层协议和应用提供透明的安全服务

IPsec ××× 仅适用于单播数据报文。

Because the IPsec Working Group has not yet addressed the issue of group key distribution, IPsec does not currently work with multicasts or broadcast IP datagrams.

NAT 应使用静态的 ，IPsec ×××才能正常工做。

且NAT应该在IPsec ×××完成封装以后，再发挥做用。即IPsec ×××应使用全局地址。

R5--R1---(R2)—R3--R4

site : R5 和 R4 Internet ： R2

R1,R2,R3,R4,R5的配置附件以下：

创建ipsec ×××以前先初始化基本配置：

R1： 模拟总部的出口路由器

Inter fa0/0

No shut

Ip address 172.16.1.1 255.255.255.0

Inter s2/0

No shut

Ip address 192.168.1.1 255.255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.1.2 只保证R1--àR3之间通讯

R2: 模拟Internet

Inter s2/0

No shut

Ip address 192.168.1.2 255.255.255.0

Inter s2/1

No shut

Ip address 192.168.2.1 255.255.255.0

R3: 模拟分公司的路由器

Inter s2/0

No shut

Ip address 192.168.2.2 255.255.255.0

Inter s2/1

No shut

Ip address 192.168.3.1 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.2.1 只保证R3-àR1之间通讯

R4: 模拟分公司的出口路由器

Inter s2/0

No shut

Ip address 192.168.3.2 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.3.1 保证能访问公网

R5: 模拟总部路由器

Inter fa0/0

No shut

Ip address 172.16.1.2 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 172.16.1.1 保证能访问公网

Site2site ×××的配置流程：

1.R1上定义IKE（ISAKMP）的策略

Crypto isakmp policy 1

Encryption 3des

Authentication pre-share

Group 2

Hash sha

说明：

定义了ISAKMP policy 1，加密方式为3des，hash算法为sha，认证方式为Pre-Shared Keys (PSK)，密钥算法（Diffie-Hellman）为group 2。

2.R1 上定义认证标识：

Crypto isakmp key cisco address 192.168.2.2 255.255.255.0

说明：

由于以前定义的认证方式为Pre-Shared Keys (PSK)，因此须要定义认证密码，这里定义与peer 192.168.2.2的认证密码为cisco，而且双方密码必须一致，不然没法创建IKE SA，其中0表示密码在running-config中显示为明文。

3.R1上定义transform set

Crypto ipsec transform-set ××× esp-aes esp-sha-hmac

说明：

配置transform-set为×××，其中数据封装使用esp加3des加密，而且使用esp结合sha作hash计算，默认的IPsec mode为tunnel。

4.R1上定义感兴趣流量

Access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.3.0 0.0.0.255

说明：这里须要被IPsec保护公司之间传输的的流量，即172.16.1.0/24发往 192.168.3.0/24的流量，切记不可以使用any来表示地址。

5.建立Crypto map ：

Crypto map ×××_MAP 1 ipsec-isakmp

Set peer 192.168.2.2

Set transform-set ×××

Match address 100

说明：

在R1上配置crypto map为×××_MAP，序号为1，即第1组策略，其中指定加密数据发往的对端为192.168.2.2，即和192.168.2.2,创建IPsec隧道，调用的IPsec transform为×××，而且指定ACL 100中的流量为被保护的流量。

6.将Crypto map应用于接口：

Inter s2/0

Crypto map ×××_MAP

说明：

将crypto map应用在去往对端公司的接口上。

同理：在R3上的配置相似R1

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key cisco address 192.168.1.1 255.255.255.0

crypto ipsec transform-set ××× esp-aes esp-sha-hmac

crypto map ×××_MAP 1 ipsec-isakmp

set peer 192.168.1.1

set transform-set ×××

match address 100

access-list 100 permit ip 192.168.3.0 0.0.0.255 172.16.1.0 0.0.0.255

interface Serial2/0

crypto map ×××_MAP

IPsec提供隧道和传输两种安全模式，知足不一样网络需求。

应用场合：

企业中心和分支机构之间提供安全隧道服务。

分支与分支之间或驻外办事处

出差用户异地发起IPsec隧道链接

传输模式： host2host报文处理

在原始IP头和上层协议之间插入ESP或AH协议头。

隧道模式： 转发设备上作封装设备处理

增长新的IP头，使原来的IP头成为负载。

AH： 提供数据据完整性检查。

在使用AH时，首先在原始数据前生成一个AH头部

传输模式： AH插在IP头以后，TCP等上层协议之间。

隧道模式： AH插在新IP头和原始报文之间

ESP： 提供数据加密，完整性

只加密有效载荷（上层传输协议，数据和ESP报尾），不含IP头部

不能保证IP头的篡改

（在端到端的通讯中，对原始数据进行加密）

AH侧重于认证 ESP侧重于加密 可组合使用以增强数据完整性和加密性

传输模式中的AH：

原IP头在左边，而后是插入AH，来实现传输模式。并对整个数据包进行散列运算来提供认证。新的数据包将不支持NAT，因包头改变IP会形成认证失败。可在AH封装前使用NAT。

传输模式中的ESP：

在原IP头和数据字段之间插入ESP头，数据段尾部插入ESP尾等信息。并不认证IP头，容许在数据包之上使用NAT。

隧道模式： AH+ESP结合使用

提供原始整个IP包的安全性。