ipsec在企业网中的应用

一，ipsec简介及特点

 

  “Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识，但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。通常，两端都需要 IPSec 配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。Windows 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的业界标准。

  IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

  IPSec的安全特性主要有：

·不可否认性

  "不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。

·反重播性

"反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。

·数据完整性

防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。

·数据可靠性（加密）

在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。

·认证

数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。

为什么要导入IPSEC协议？

  导入IPSEC协议，原因有2个，一个是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。

  另外一个原因，是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。 IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。

IPSEC通过包封装包的方法

   通过Internet建立了一个通讯的隧道，通过这个通讯的隧道，就可以建立起网络的连接。

VPN节点

  VPN隧道：在两个vpn节点之间建立的一个虚拟链路通道。两个设备内部的网络，能够通过这个虚拟的数据链路到达对方。与此相关的信息是当时两个VPN节点的IP地址，隧道名称、双方的密钥。

二，案例

1，实验拓扑

 

2，实验环境搭建

  设备：3台华为路由器 quidway2600series，1台华为防火墙 f100c,Pc1、R2的lo1和R3的lo1 跨Internet 网络，采用vpn 隧道方式进行通信。路由器R14， R2和R3 为vpn隧道的三个端点,在R14和R2间建立vpn通道，R14和R3之间建立vpn通道，实现R14和R2，R14和R3之间互通。

3, 实验配置信息

R14：

interface Ethernet1 
ip address 192.168.1.1 255.255.255.0

interface Ethernet0 
ip address 1.1.1.1 255.255.255.252

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

创建访问控制列表

  acl 3000 match-order auto
    rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    rule normal deny ip source any destination any
  acl 3001 match-order auto
    rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
    rule normal deny ip source any destination any

创建名为tran1、tran2的安全提议

proposal set name: tran1
proposal set mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption-algorithm des

proposal set name: tran2
proposal set mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption-algorithm des

创建一条安全策略，协商方式为isakmp

ipsec policy 1 10 isakmp
security acl 3000                     
proposal tran1                        
tunnel remote 1.1.2.1                
  !                                       
ipsec policy 1 11 isakmp
security acl 3001                     
proposal tran2                        
tunnel remote 1.1.3.1                
  !                      

使用IKE 协商方式，并配置IKE 预设认证字

ike pre-shared-key qazwsx remote 1.1.3.1
ike pre-shared-key abcdefg remote 1.1.2.1

应用安全策略

interface Ethernet0

ipsec policy 1

R2:

interface Ethernet0 
ip address 1.1.2.1 255.255.255.252

interface LoopBack1 
ip address 192.168.2.1 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 1.1.2.2

创建访问控制列表

acl 3001 match-order auto
rule normal permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule normal deny ip source any destination any

创建名为tran1的安全提议

proposal set name: tran1
proposal set mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption-algorithm des

创建一条安全策略，协商方式为isakmp

ipsec policy 2 10 isakmp
security acl 3000
proposal tran1
tunnel remote 1.1.1.1

使用IKE 协商方式，并配置IKE 预设认证字

ike pre-shared-key abcdefg remote 1.1.1.1

应用安全策略

interface Ethernet0

ipsec policy 2

R3:

interface Ethernet0 
ip address 1.1.3.1 255.255.255.252

interface LoopBack1 
ip address 192.168.3.1 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 1.1.3.2

创建访问控制列表

acl 3001 match-order auto
rule normal permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule normal deny ip source any destination any

创建名为tran2的安全提议

proposal set name: tran2
proposal set mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption-algorithm des

创建一条安全策略，协商方式为isakmp

ipsec policy 3 11 isakmp
security acl 3001
proposal tran2
tunnel remote 1.1.1.1

使用IKE 协商方式，并配置IKE 预设认证字

ike pre-shared-key qazwsx remote 1.1.1.1

应用安全策略
interface Ethernet0

ipsec policy 3

firewall:

interface Ethernet0/0                    
ip address 1.1.1.2 255.255.255.252       
                                     
interface Ethernet0/1                    
ip address 1.1.2.2 255.255.255.252       
                                      
interface Ethernet0/2                    
ip address 1.1.3.2 255.255.255.252       
                        

firewall zone untrust                    
add interface Ethernet0/1               
add interface Ethernet0/2               
add interface Ethernet0/3

4,测试

C1 ping R3

C1 ping R2

本文出自 “心欲无痕” 博客，谢绝转载！