IPSec简介
起源
随着Internet的发展,越来越多的企业直接通过Internet进行互联,但由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。
为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。
定义
IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。
通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全性。
受益
IPSec通过加密与验证等方式,从以下几个方面保障了用户业务数据在Internet中的安全传输:
- 数据来源验证:接收方验证发送方身份是否合法。
- 数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
- 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
- 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
配置Efficient VPN采用Client模式建立IPSec隧道示例
组网图形
组网需求
如图1所示,Switch为企业远程小型分支网关,Router为企业总部网关,分支与总部通过公网建立通信,并且总部与分支的网络未做统一规划。
企业希望通过网管系统(NMS)管理分支网关,并对分支网关与NMS之间相互访问的流量进行安全保护,并且分支网关配置能够尽量简单,由总部网关对分支网关进行集中管理。此时,可以在分支网关与总部网关之间采用Efficient VPN Client模式建立一个IPSec隧道来实施安全保护,便于IPSec隧道的建立与维护管理。
Efficient VPN Client模式下,Switch向Router申请IP地址用于建立IPSec隧道,同时申请DNS域名、DNS服务器地址和WINS服务器地址,提供给分支使用。
华为S交换机仅支持作为Efficient VPN的Remote端,本举例使用AR3200系列路由器作为Efficient VPN的Server端,以V200R008版本的AR3260路由器给出配置。现网中请根据实际情况选择Efficient VPN的Server端设备,并参考对应手册完成配置。
分支网关的VLANIF10接口通过DHCP获取IP地址,这里假设获取的IP地址为11.11.11.11。
配置思路
采用如下思路配置Efficient VPN采用Client模式建立IPSec隧道示例:
-
在Switch和Router上配置接口的IP地址和到对端的静态路由,保证路由可达。
-
Router作为IPSec隧道协商响应方,采用策略模板方式与Switch建立IPSec隧道。
-
Router上配置要推送的资源属性,包括IP地址、DNS域名、DNS服务器地址和WINS服务器地址。
-
在Switch上采用Client方式配置Efficient VPN,作为协商发起方与Router建立IPSec隧道。
操作步骤
- 配置接口的IP地址和到对端的静态路由
# 在Switch上配置接口的IP地址。
system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type trunk [Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port link-type trunk [Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20 [Switch-GigabitEthernet0/0/2] quit [Switch] interface vlanif 10 [Switch-Vlanif10] ip address dhcp-alloc [Switch-Vlanif10] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 10.1.1.1 255.255.255.0 [Switch-Vlanif20] quit # 在Switch上配置到对端的静态路由,此处假设到对端的下一跳地址为11.11.11.12。
[Switch] ip route-static 0.0.0.0 0.0.0.0 11.11.11.12# 在Router上配置接口的IP地址。
system-view [HUAWEI] sysname Router [Router] interface gigabitethernet 1/0/0 [Router-GigabitEthernet1/0/0] ip address 11.11.12.11 255.255.255.0 [Router-GigabitEthernet1/0/0] quit [Router] interface gigabitethernet 2/0/0 [Router-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 [Router-GigabitEthernet2/0/0] quit # 在Router上配置到对端的静态路由,此处假设到对端的下一跳地址为11.11.12.12。
[Router] ip route-static 11.11.11.0 255.255.255.0 11.11.12.12 [Router] ip route-static 10.1.1.0 255.255.255.0 11.11.12.12 [Router] ip route-static 100.1.1.0 255.255.255.0 11.11.12.12 - Router作为IPSec隧道协商响应方,采用策略模板方式与Switch建立IPSec隧道
# 配置要推送的资源属性,推送IP地址、DNS域名、DNS服务器地址和WINS服务器地址。
[Router] ip pool po1 [Router-ip-pool-po1] network 100.1.1.0 mask 255.255.255.128 [Router-ip-pool-po1] gateway-list 100.1.1.1 [Router-ip-pool-po1] quit [Router] aaa [Router-aaa] service-scheme schemetest [Router-aaa-service-schemetest] ip-pool po1 [Router-aaa-service-schemetest] dns-name mydomain.com.cn [Router-aaa-service-schemetest] dns 2.2.2.2 [Router-aaa-service-schemetest] dns 2.2.2.3 secondary [Router-aaa-service-schemetest] wins 3.3.3.2 [Router-aaa-service-schemetest] wins 3.3.3.3 secondary [Router-aaa-service-schemetest] quit [Router-aaa] quit# 配置IKE安全提议和IKE对等体,并将AAA业务模板绑定在IKE对等体中。
[Router] ike proposal 5 [Router-ike-proposal-5] dh group14 [Router-ike-proposal-5] authentication-algorithm sha2-256 [Router-ike-proposal-5] encryption-algorithm aes-128 [Router-ike-proposal-5] quit [Router] ike peer rut3 [Router-ike-peer-rut3] undo version 2 [Router-ike-peer-rut3] exchange-mode aggressive [Router-ike-peer-rut3] pre-shared-key cipher Example@123 [Router-ike-peer-rut3] ike-proposal 5 [Router-ike-peer-rut3] service-scheme schemetest [Router-ike-peer-rut3] quit# 配置IPSec安全提议、策略模板方式的安全策略。
[Router] ipsec proposal prop1 [Router-ipsec-proposal-prop1] esp authentication-algorithm sha2-256 [Router-ipsec-proposal-prop1] esp encryption-algorithm aes 128 [Router-ipsec-proposal-prop1] quit [Router] ipsec policy-template temp1 10 [Router-ipsec-policy-templet-temp1-10] ike-peer rut3 [Router-ipsec-policy-templet-temp1-10] proposal prop1 [Router-ipsec-policy-templet-temp1-10] quit [Router] ipsec policy policy1 10 isakmp template temp1# 开启SHA-2算法兼容RFC标准算法功能。
[Router] ipsec authentication sha2 compatible enable# 在接口上应用安全策略组。
[Router] interface gigabitethernet 1/0/0 [Router-GigabitEthernet1/0/0] ipsec policy policy1 [Router-GigabitEthernet1/0/0] quit - 在Switch上采用Client方式配置Efficient VPN,建立IPSec隧道。
# 配置Efficient VPN的模式为Client模式,并在模式视图下指定IKE协商时的对端地址和预共享密钥。
[Switch] ipsec efficient- e mode client [Switch-ipsec-efficient--e] remote-address 11.11.12.11 v2 [Switch-ipsec-efficient--e] pre-shared-key cipher Example@123 [Switch-ipsec-efficient--e] dh group14 [Switch-ipsec-efficient--e] quit# 在接口上应用Efficient VPN。
[Switch] interface vlanif 10 [Switch-Vlanif10] ipsec efficient- e [Switch-Vlanif10] quit - 检查配置结果
# 配置成功后,总部Ping分支网关IP地址时,执行命令display ipsec packet statistics可以查看数据包的统计信息。
# 在Switch上执行display ike sa操作,结果如下。
[Switch] display ike sa Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID ------------------------------------------------------------------------------ 26 11.11.12.11 0 RD|ST v2:2 IP 11.11.12.11 25 11.11.12.11 0 RD|ST v2:1 IP 11.11.12.11 Number of IKE SA : 2 ------------------------------------------------------------------------------ Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
配置文件
-
Switch的配置文件
# sysname Switch # vlan batch 10 20 # ipsec efficient- e mode client remote-address 11.11.12.11 v2 pre-shared-key cipher %^%#`[OXA]:r)798<)(J~%z-#<3+XezdN'h -
Router的配置文件
# sysname Router # ipsec authentication sha2 compatible enable # ipsec proposal prop1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes 128 # ike proposal 5 encryption-algorithm aes-128 dh group14 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 # ike peer rut3 undo version 2 exchange-mode aggressive pre-shared-key cipher %^%#0Y:SO]e%1MLLlY2v\bk~S]LxLau_yPzpUr>C%TO3%^%# ike-proposal 5 service-scheme schemetest # ipsec policy-template temp1 10 ike-peer rut3 proposal prop1 # ipsec policy policy1 10 isakmp template temp1 # ip pool po1 gateway-list 100.1.1.1 network 100.1.1.0 mask 255.255.255.128 # aaa service-scheme schemetest dns 2.2.2.2 dns 2.2.2.3 secondary ip-pool po1 wins 3.3.3.2 wins 3.3.3.3 secondary dns-name mydomain.com.cn # interface GigabitEthernet1/0/0 ip address 11.11.12.11 255.255.255.0 ipsec policy policy1 # interface GigabitEthernet2/0/0 ip address 10.1.2.1 255.255.255.0 # ip route-static 10.1.1.0 255.255.255.0 11.11.12.12 ip route-static 11.11.11.0 255.255.255.0 11.11.12.12 ip route-static 100.1.1.0 255.255.255.0 11.11.12.12 # return
周工这里还有很多实验:关注+点赞+发送私信“题库”领取
HCIA实验拓扑
HCIP实验拓扑
关注+点赞+发送私信“题库”领取