IPSEC×××的复习-创新互联

IPSEC ×××的复习

创新互联建站专注于企业营销型网站、网站重做改版、独山子网站定制设计、自适应品牌网站建设、H5建站商城网站建设、集团公司官网建设、外贸营销网站建设、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为独山子等各大城市提供网站开发制作服务。

拓扑图如上,启用R1 R2 R5三个路由器 ,R1的环回和R2的环回之间的访问走×××,R1的环回192.168.1.0/24

R2的环回192.168.2.0/24

R1#show version

Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2)  路由器的版本标识中如果有k标志,则说明该路由器可以使用RSA DH 生成公钥和私钥

实验结果

R1#show crypto isakmp sa  查看第一阶段数据库

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

25.1.1.1        15.1.1.1        QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

state 为QM的时候,代表隧道已经建立

R1#show crypto ipsec sa   查看第二阶段数据库

interface: Serial1/2

    Crypto map tag: openlab, local addr 15.1.1.1

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

   current_peer 25.1.1.1 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

    #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 1, #recv errors 0

     local crypto endpt.: 15.1.1.1, remote crypto endpt.: 25.1.1.1

     path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2

     current outbound spi: 0xC39B730(205109040)

     inbound esp sas:

      spi: 0xC1A0D62B(3248543275)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 1, flow_id: 1, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1379)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

      spi: 0xC39B730(205109040)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 2, flow_id: 2, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1377)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

inbound和outbound的配置是一样的

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

.!!!!(为是触发更新,隧道的建立需要流量的触发,所以第一个包会丢失)

Success rate is 80 percent (4/5), round-trip min/avg/max = 36/42/52 ms

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!

配置要点

1. 第一阶段的数据库

若选择的认证方式是共享密钥还需要配置共享密钥

2. 配置ACL

3. 配置第二阶段数据库

4. 最后使用一张MAP将以上配置组合在一起,并将map在接口上进行调用即可。

R1的配置

#show run

crypto isakmp policy 10   第一阶段数据库

 encr 3des

 hash md5

 authentication pre-share   认证方式选择的是共享密钥

 group 2

crypto isakmp key 6 cisco123 address 25.1.1.1    设置共享密钥  address写的是对端的IP地址

crypto ipsec transform-set xxx esp-3des esp-md5-hmac 第二阶段数据库

crypto map openlab 10 ipsec-isakmp   匹配到同一张map中

 set peer 25.1.1.1

 set transform-set xxx

 match address 100

interface Loopback0

 ip address 192.168.1.1 255.255.255.0

interface Serial1/2

 ip address 15.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab           调用在接口上

ip route 0.0.0.0 0.0.0.0 15.1.1.2

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   抓取走××× 的流量

R2的配置(和R1相同道理)

#show run

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key 6 cisco123 address 15.1.1.1

crypto ipsec transform-set xxx esp-3des esp-md5-hmac

crypto map openlab 10 ipsec-isakmp

 set peer 15.1.1.1

 set transform-set xxx

 match address 100

interface Loopback0

 ip address 192.168.2.1 255.255.255.0

interface Serial1/2

 ip address 25.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab

ip route 0.0.0.0 0.0.0.0 25.1.1.2

access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R5的配置

interface Loopback0

 ip address 5.5.5.5 255.255.255.0

interface Serial1/0

 ip address 15.1.1.2 255.255.255.0

 serial restart-delay 0

interface Serial1/1

 ip address 25.1.1.2 255.255.255.0

 serial restart-delay 0

抓取R1的S1/2的流量

IPSEC ×××的复习

只能看见公有地址,发现三层之后就变成ESP,所有的流量都被加密了。

2018.11.6 复习IPSEC ×××

××× 的分类

LAN-TO-LAN 两端的IP地址固定

包括:GRE,ATM,MPLS ×××,Frame Relay(帧中继)

Remote ××× 一端固定,另外一端不固定

包括:IPSec ×××,PPTP(Windows),L2TP+IPSEC(Windows),SSL ×××(主要用于网页)


IPSec ×××

安全性

私密,完整,源认证、不可否认

IPSEC框架

加密 DES 3DES AES

验证 MD5 SHA-1             完整性(校验)

封装协议 ESP(加密+校验) AH(只进行校验)

模式 transport(传输模式,从三层之后进行封装)tunnel(隧道模式,从四层之后开始封装)

密钥有效期 3600s 1800s

密码算法

对称算法 DES 3DES AES(包括128 192 256)

非对称算法 RSA DH

对称算法加密:同一密钥进行加密和解密  加密后数据变大较小

优点:速度快 安全 紧凑

缺点:明文传输密钥可能会被劫持或者窃听;密钥数量多(根据参与者数量成平方增长,指数增长);数量多,管理存储问题;不支持数字签名和不可否认

非对称算法加密:加密和解密用的不是同一个密钥;仅仅用于密钥签名和数字签名;加密后数据变大较多

优点:因为加密后数据大,所以更加安全;不必发送密钥给接收者,不用安心密钥会被中途劫持的问题;密钥数量和参与者的数量一样;不需要事先与参与者之间建立关系以进行交换密钥;支持数字签名和不可否认

缺点:加密速度慢;加密后数据长度大

2018.11.8

校验

(只进行比较前96位)MD5    128位 不等长的输入,等长的输出  经常使用的校验算法

SHA    160 256 384 512

散列函数的特点

固定大小、雪崩效应,单向,冲突避免(两个不一样的数据生成的值不一样),建议MD5,流量实际传递的过程中仅仅只携带96位的校验

流行的散列算法

MD5,SHA-1

ESP 可以对流量进行加密和校验

AH 只能对流量进行校验

IKE  建立×××的过程

CA证书机构 核实证书的真实性

2018年11月14日

IKE建立隧道,ESP加密,共享密钥保证不可否认性

EASY IP地址下放  1.5阶段

两个数据库进行核实,两边的一致就会建立×××

iskmp数据库  第一阶段 明文发送

(1)

A.数据包中含有的信息有:加密算法(默认DES)HASH算法(默认SHA) 身份认证方式 (数字签名进或者共享密钥) SA有效期 86400(一天更换一次)

B.  ** DH组号 1/2/5 2-1024位安全 只能使用DH算法

第一阶段的数据库是为了加密第二阶段的数据库

Iskmp sa第一阶段 前四个包为明文,后两个包为密文

1.2包 SA如果一样,建立×××

3.4包 DH算法的公钥互相交换,定义公钥长度

5.6包 流量被加密,密钥被DH加密。HASH,对端的IP地址,主机名称,使用数字签名(**共享密钥)

Ipsec sa  第二阶段

全部是加密的流量

**(1)ACL   (走××× 的流量)抓取流量,关注源IP和目标IP

**(2)P2 SA  第二阶段数据库

模式

超时时间

封装协议

加密算法

HASH算法

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站栏目:IPSEC×××的复习-创新互联
分享URL:http://hbruida.cn/article/ccdcej.html