本篇文章主要讲解了IPsec VPN的一些基础概念和有关的协议,希望对网管员们能够有所帮助。
关于VPN有所了解的朋友,必定也知道IPsec VPN,那么这儿咱们就将IPsec VPN的一些根底概念和相关协议进行一下整理。IPsec VPN不是一个独自的协议,它包含:AH协议、ESP协议、 IKE协议以及用于加密和认证一些算法。
◆IPsec供给的安全服务
机密性:DES、3DES、AES
完整性:MD5 HMAC 、SHA HMAC (HMAC:散列算法)
源认证:带外域同享密钥、域同享非对称加密、数字证书(CA)
防重放:AH、ESP
◆IPsec地道形式和传输形式的差异:
1.地道形式中,整个IP数据包被用来核算附加包头,且被加密,附加包头和被加密的数据被封装在一个新的IP数据中。在传输形式中仅仅传输层(如TCP、UDP、ICMP)数据被用来核算附加包头,附加包头和加密的数据被放置在原IP报头后边。
2.传输形式中,源和意图IP地址以及一切的IP包头域都是不加密发送的。而在地道形式中,真实的IP源地址和意图地址都能够被躲藏为因特网发送的一般数据。
◆AH协议
一个用于供给用户数据完整性和认证的机制,经过在整个IP数据包中施行一个散列核算来供给完整性和认证服务。
在地道形式中,AH报头被刺进在原始的包头和新包头之间
◆ESP协议
封装安全载荷(Encapsulating Security Payload)协议经过加密算法供给了身份验证和数据机密性。
最首要的ESP规范是数据加密规范(DES),最高支撑56位密钥。3DES运用三倍密钥加密,相当于运用最高到168位的密钥。AES支撑128、 192 、256位密钥长度,是IPsecVPN中最常运用的加密算法,也是对称加密中最安全的算法。
◆安全联盟SA
在IPsec中运用AH和ESP时,协议将与一组安全信息和服务产生相关,称为安全联盟
SA界说了各种类型的安全措施,这些安全措施的内容包含了IP包加密解密和认证的相关信息。详细为:供给的服务、算法、密钥。
能够经过手动装备,也能够经过密钥办理协议主动洽谈。
◆Internet密钥交流IKE
IKE根据Internet安全联盟和密钥办理协议(ISAKAMP)界说的结构。
IKE在地道树立过程中将完结以下使命:
洽谈协议参数
交流公共密钥
对两边进行认证
在交流后对密钥进行办理
◆IPsecVPN 的装备
装备IKE的洽谈
1,启用IKE
- Router<config>#cryptoisakmpenable
2,树立IKE洽谈战略
- Router<config>#cryptoisakmppolicypriority
3,装备IKE洽谈参数
- Router<config-isakmp>#hash{md5|sha1}
- Router<config-isakmp>#encryption{des|3des}
- Router<config-isakmp>#authenticationpre-share
运用预先同享的密钥,此暗码是手艺装备的
- Router<config-isakmp>#lifetimeseconds
4.设置同享密钥和对端对址
- Router<config>#cryptoisakmpkeykeystringaddresspeer-address
装备IPsec相关参数
1,指定Crypto拜访列表
Crypto拜访列表不像一般拜访操控列表那样"答应"或 "回绝"流量,它在VPN地道中定议什么样的报文将被IPsec加密传输,什么样的报文不必被加密而直接传输。
Crypto拜访列表有必要是互为镜像的。比方:路由器A加密了一切流向路由器B的TCP流量,则路由器B有必要加密流回路由器A的一切TCP的流量。
- Router<config>access-listnumber{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard
2.装备IPsec传输形式
传输形式设置界说用于VPN地道的认证类型、完整性和负载加密。
- Router<config>#cryptoipsectransform-settransform-set-nametransform1
- AH验证参数:ah-md5-hmac、ah-sha-hmac
- ESP加密参数:esp-des、esp-3des、esp-null
- ESP验证参数:esp-md5-hma、esp-sha-hamc
装备端口的使用
设置Crypto Map
1,创立Crypto Map:
- Router<config>#cryptomapmap-nameseq-sumipsec-isakmp
- Router<config-crypto-map>#matchaddressaccess-list-number
- Router<config-crypto-map>#setpeerip-address
- Router<config-crypto-map>#settransform-setname
2,使用到接口上
- Router<config>#interfaceinterfaceslot/port
- Router<config-if>cryptomapmap-name
IPsec VPN装备的查看
- Router#showcryptoisakmppolicy
- Router#showcryptoisakmpsa
- Router#showcryptoipsecsa
- Router#showcryptomap
IKE形式
|
Isakmp/ike形式 |
状况 |
描绘 |
|
IKE阶段一首要形式 |
MM-NO-STATE |
IKE阶段一的首要形式中,在路由器上现已树立了办理sa,但和长途对等体还没有洽谈任何参数。 |
|
MM-SA-SETUP |
IKE阶段一的首要形式中,两个IPsec对等体成功地洽谈IKE战略参数。 |
|
|
MM-KEY-EXCH |
IKE阶段一的首要形式中,产生了DH交流,并生成了同享密钥。 |
|
|
MM-KEY-AUTH |
IKE阶段一的首要形式中,成功完结了两个对等体的身份认证,IKE阶段二现在能够开端了。 |
|
|
IKE阶段一活跃形式 |
知优网 » IPsec VPN根底:IPsec VPN相关概念与协议
