创建IPSec ×××

IPSec只能保护ip层以上（传输层和用户数据），无法将其扩展到数据链路层。

 

IPsec使用的3个主要协议：

1.    IKE（internet key exchange，互联网密钥交换）；

2.    ESP（encapsulating security payload，封装安全净荷）；

3.    AH（authentication header，认证头）；

 

IKE是一种协商和交换安全参数和认证密钥的体系框架，密钥交换机制由IKE来提供。

ESP是一种为IPSec提供数据机密性、完整性、数据源验证和可选的防重放功能特性的体系框架。协议号50。

AH和ESP相比不提供给数据机密×××。协议号51。

 

IKE是一种动态更改IPSec参数和密钥的机制。IKE使用其他协议来完成对等体验证和密钥生成工作：

1.    ISAKMP（internet security association and key management protocol，互联网安全关联和密钥管理协议）完成建立、协商、修改和删除SA的过程，如头部验证和净荷封装。ISAKMP可以实现对等体验证，但不提供密钥交换机制。

2.    Diffie-Hellman管理IPSec SA的密钥交换，允许两个端点通过不安全的通道交换共享密钥。

 

IPSec端点建立SA（security Association，安全关联），SA是两个对等体之间协商好的参数。

 

IKE阶段1（强制性阶段），协商ISAKMP，主模式或积极模式，在对等体之间建立双向SA，进行对等体验证，确认身份。还要完成参数协商，如哈希分发和变换集。IPSec参数和安全策略；Diffie-Hellman公钥交换；ISAKMP会话验证。

IKE阶段2（强制性阶段），协商IPSec SA，快速模式，利用阶段1协商的参数，实现两个单向的IPSec SA。用于对经IPSec连接传送的数据进行加密，为这些SA管理密钥交换。

 

 

创建IPSec ×××的5个步骤：

1.    指定兴趣流量

       R2：access-list 170 permit ip 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255

       R3：access-list 155 permit ip 4.4.4.0 0.0.0.255 1.1.1.0 0.0.0.255

2.    IKE阶段1，包括5个参数：（配置ISAKMP策略）

IKE加密算法（des,3des,aes）;

IKE验证算法（md5,sha-1）；

IKE密钥（预共享密钥，RSA密钥（PKI实例，证书），临时数（nonce，只能用一次的数，OTP的一种形式））；

Diffie-Hellman版本（1,2,5）；

IKE隧道生命期（时间/比特）

 

R2：

crypto isakmp policy 10

 encryption des

 hash md5

 authentication pre-share

group 1

 lifetime 3600

crypto isakmp key cnca address 23.1.1.3 255.255.255.0

R3：

crypto isakmp policy 25

 encryption des

 hash md5

 authentication pre-share

group 1

 lifetime 3600

crypto isakmp key cnca address 23.1.1.2 255.255.255.0

3.    IKE阶段2 (建立IPSec隧道)

       通过IPSec变换集协商安全参数；

a)         IPsec协议（ESP或AH）；         属于SAD

b)        IPSec加密类型（des，3des，aes）  属于SPD

c)         IPSec验证（MD5，sha-1）         属于SPD

d)        IPSec模式（隧道模式或传送模式）  属于SPD

e)         IPSec SA生命期（秒或千字节）     属于SPD

       建立IPSec SA（单向隧道）；（使用临时数为共享密钥，防重放***）

       周期性协商IPSec SA以保证安全性； （切换SA数据不会丢失）

       额外的diffie-hellman交换（可选）

       R2：crypto ipsec transform-set set-70 esp-3des esp-sha-hmac mode tunnel

              crypto ipsec security-association lifetime seconds 1800

       R3：crypto ipsec transform-set set-55 esp-3des esp-sha-hmac mode tunnel

crypto ipsec security-association lifetime seconds 1800

4.    安全数据传送

       R2：

crypto map to-central 70 ipsec-isakmp

 set peer 23.1.1.3

       set transform-set set-70

       match address 170

 

interface FastEthernet1/0

 ip address 23.1.1.2 255.255.255.0

crypto map to-central

 

R3：

crypto map to-remote 55 ipsec-isakmp

 set peer 23.1.1.2

       set transform-set set-55

match address 155

 

interface FastEthernet1/0

 ip address 23.1.1.3 255.255.255.0

crypto map to-remote

5.    IPSec隧道终结

 

判断IPSec ×××是否在正常工作：

R2#sh crypto ipsec sa

 

interface: FastEthernet1/0

    Crypto map tag: to-central, local addr. 23.1.1.2

 

   protected vrf:

   local  ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (4.4.4.0/255.255.255.0/0/0)

   current_peer: 23.1.1.3:500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 12, #pkts encrypt: 12, #pkts digest 12（被加密解密数据包大于0）

    #pkts decaps: 12, #pkts decrypt: 12, #pkts verify 12

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 2, #recv errors 0

 

     local crypto endpt.: 23.1.1.2, remote crypto endpt.: 23.1.1.3

     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0

     current outbound spi: 0

 

实验拓扑图：