eNSP之IPsec 虚拟专用网配置
eNSP之IPsec 虚拟专用网配置
VPN的定义
1、互联网存在各种安全隐患
— 网上传输的数据有被窃听的风险
— 网上传输的数据有被篡改的危险
— 通信双方有被冒充的风险
2、VPN (Virtual Private Network,虚拟专用网)
3、VPN建立“保护”网络实体之间的通信
— 使用加密技术防止数据被窃听
— 数据完整性验证防止数据被破坏、篡改
— 通过认证机制确认身份,防止冒充
VPN类型
1、站点到站点
2、远程访问VPN
站点到站点的VPN配置——IPsec VPN
拓扑
需求
不允许研发小组与研发服务器通过互联网传输数据。
通过建立IPsec VPN使得异地的研发小组与研发服务器传输数据。
配置步骤
1、基础IP信息配置
(基础配置大家小学就学过了,这里不做演示。)
2、配置路由
[R1]ip route-static 0.0.0.0 0 100.0.0.2
[R2]ip route-static 0.0.0.0 0 200.0.0.2
3、IPSec VPN配置
1) 加密、认证算法介绍
· 加密与解密
- 加密:明文数据 ‘m’ --> 密文数据 ‘c’
- 解密:密文数据 ‘c’ --> 明文数据 ‘m’
· 加密算法分类
- 对称加密算法
对称加密算法使用同一个共享密钥参与加密与解密的计算,计算速度快,但这种方法安全性较低。
如下图,加密时,使用加密函数 E(共享密钥‘k’,明文‘m’)生成密文 ‘c’,解密时使用解密函数 D(共享密钥‘k’,密文‘c’) 生成明文‘m’。
> DES(Data Encryption Standard,数据加密标准)
> 3DES
> AES(Advanced Encryption Standard,高级加密标准)
- 非对称加密算法
非对称加密算法有公钥与私钥之分,公钥可以公开,用于对数据加密,私钥只有自己知道,用于对数据解密。
比如,A要发送数据给B,A就用B的公钥对数据进行加密再发给B,B收到后用自己的私钥对其进行解密。
即使传输过程中数据被窃取,没有私钥也不能知道数据里的具体信息。
并且,公钥与私钥相互不能通过计算推导出来,这就很大程度上保证了数据的安全性。
缺点:计算效率比对称加密算法低很多,大约要慢1500倍左右。
> RSA(三位数学家名字的首字母)
· 认证算法
- 哈希(HASH)
> MD5算法
MD5 (Message-digest Algorithm 5,信息-摘要算法)
创建了一个128位(16字节)的签名,很多协议都使用该算法做验证
目前,已有人证明不同的输入数值通过MD5计算可以得到相同的数字签名,
说明MD5的签名可能具有一定程度的虚假性
MD5执行速度较快,但其安全性相对SHA稍差一点
> SHA算法
SHA (Secure Hash Algorithm,安全散列算法)
已成为美国国家标准,它可以产生160位的签名(20字节的长度)
为了更加安全,现在已经开发了SHA-256和SHA-512等
> DH算法
DH (Diffie-Hellman,迪菲-赫尔曼)
— 一般被用来实现IPSec中的Internet密钥交换
— DH算法将对称加密算法和非对称加密算法综合在一起
DH算法支持可变的密钥长度
— 其中DH组1为768,DH组2为1024,DH组5为1536,DH组14为2048
— 密钥的有效长度越长,安全性也就越强,同时CPU的资源占用率也就越高
- 校验文件
> 网站下载的文件(例如www.kali.org)
2)配置IKE(Internet Key Exchange,因特网密钥交换协议)安全提议
该步骤主要是设置算法保证数据传输的安全,这些算法会形成相应的密钥,如果算法各自管理自己的算法会很麻烦,于是IKE便可以将这些密钥集合统一自动管理。
***创建IKE安全提议***
[R1]ike proposal 1 //创建IKE提议,编号为1
[R1-ike-proposal-1]encryption-algorithm aes-cbc-256 //设置加密算法为AES
[R1-ike-proposal-1]authentication-algorithm sha1 //设置认证算法为SHA
[R1-ike-proposal-1]authentication-method pre-share //设置认证方法为预共享密钥
[R1-ike-proposal-1]dh group2 //设置DH组2,支持密钥长度为1024bit
***配置IKE对等体***
[R1]ike peer 200.0.0.1 v1 //创建IKE对等体,对等体名称为 '200.0.0.1',用于标记远端设备,并且只能支持版本1的SA
[R1-ike-peer-200.0.0.1]pre-shared-key cipher mr-sss //设置预共享密钥为密文格式的‘mr-sss’,两端密钥要相同。
[R1-ike-peer-200.0.0.1]ike-proposal 1 //应用前面创建的IKE安全提议1
[R1-ike-peer-200.0.0.1]remote-address 200.0.0.1 //设置建立VPN的远端设备地址。
[R1-ike-peer-200.0.0.1]quit
---R3的配置与上面差不多,要注意的就是明确对等体名称和建立VPN的远端地址---
ike proposal 1
encryption-algorithm aes-cbc-256
authentication-algorithm sha1
authentication-method pre-share
dh group2
ike peer 100.0.0.1 v1
pre-shared-key cipher mr-sss
ike-proposal 1
remote-address 100.0.0.1
2)配置ACL
该步骤主要用于访问控制,匹配在隧道中可以传输的流量。
[R1]acl number 3000
[R1-acl-adv-3000]rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 10.10.33.0 0.0.0.255
[R3]acl 3000
[R3-acl-adv-3000]rule permit ip source 10.10.33.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
3)配置IPSec安全提议
[R1]ipsec proposal 1 //创建IPSec安全提议,名称为1
[R1-ipsec-proposal-1]esp authentication-algorithm sha1 //认证算法为SHA1
[R1-ipsec-proposal-1]esp authentication-algorithm sha2-256 //加密算法为SHA2
[R1-ipsec-proposal-1]transfor esp //指定用于转换数据包的安全协议为ESP
[R3]ipsec proposal 1
[R3-ipsec-proposal-1]esp authentication-algorithm sha1
[R3-ipsec-proposal-1]esp authentication-algorithm sha2-256
[R3-ipsec-proposal-1]transform esp
4)配置IPSec安全策略
[R1]ipsec policy yanfa 1 isakmp //创建IPSec策略,名称为‘yanfa’,序列号为1,安全连接和密钥管理协议为用IKE建立IPSec SA(isakmp)
[R1-ipsec-policy-isakmp-yanfa-1]security acl 3000 //应用ACL3000
[R1-ipsec-policy-isakmp-yanfa-1]proposal 1 //应用前面创建的IKE安全提议1
[R1-ipsec-policy-isakmp-yanfa-1]ike-peer 200.0.0.1 //应用名为‘200.0.0.1’的IKE对等体
[R1-ipsec-policy-isakmp-yanfa-1]quit
[R3]ipsec policy yanfa 1 isakmp
[R3-ipsec-policy-isakmp-yanfa-1]security acl 3000
[R3-ipsec-policy-isakmp-yanfa-1]proposal 1
[R3-ipsec-policy-isakmp-yanfa-1]ike-peer 100.0.0.1
[R3-ipsec-policy-isakmp-yanfa-1]quit
5)在接口应用IPsec安全策略
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy yanfa //在出接口应用IPsec安全策略‘yanfa’
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy yanfa
4、访问测试
客户端可以访问研发部服务器,但不能访问Internet。
查看IPSec建立情况
