第4讲 增强的IPSec特性(一)

VPN安全技术,主讲:张瑛,第4讲增强的IPSec特性（一）,IKE存活机制空闲超时失效对等体检测反向路由注入,返回1,Back,4.1IKE存活消息,一、IKE的存活机制Ipsec对等体之间存在IP连接性，这种连接性可能会因为路由选择问题、对等体重启或其他原因失去这种连接性，而IKE事先是无法预知这一点的。IKE基于UDP,面向无联接，它的数据包在寿命到期之前，IPSec和IKE之间的关联将一直存在，为了避免因为数据包的丢失而中断这种关联，需要及时创建新的IKE和IPSecSA,来替代旧的IPSecSA或IKESA,而如何在新的关联创建之前预知其相关数据包的活动状态，这就是IKE协议的活动机制。即对等体通过交换某种消息来告知对方自己处于何种活动状态，而这种消息就是指IKE存活消息.对等体-网络中处于同等地位的两个实体。这个实体，可以是交换机，也可以是路由器，还可以为某个终端。,二、IKE存活机制的配置spoke-1-eastcryptoisakmppolicy1authenticationpre-share!cryptoisakmpkeyciscoaddress5cryptoisakmpkeyCiscoaddress6cryptoisakmpkeepalive603,每60秒发送一条存活消息，重试3次,如果连续三次消息未得到确认，则认为对方不可达，即IPSec端点失效，进而删除旧的SA，建立新的SA,三、Ike存活机制的局限性只能检测IKESA和端点的状态，但无法避免因为网络不可达而导致的SA失效。检测失效IKE对等体、防范黑洞和节省CPU资源方面;但其扩展性太低。,4.2失效对等体检测,一、概述DPD=DeadPeerDetection用于替代IKE存活机制来检测失效IPSec对等体。不同于IKE存活机制不发送定期限消息来检测对等体的存活性。基于数据流的检测。如果在某段时间内对等体之间没交换数据流，则无需关心IPSecSA的存活性。,二、工作原理-DPD消息格式1.消息交换,头14个字节为HASHED_VENDOR_IDHASHED_VENDOR_ID=0 xAF,0 xCA,0 xD7,0 x13,0 x68,0 xA1,0 xF1,0 xC9,0 x6B,0 x86,0 x96,0 xFC,0 x77,0 x57.IKE对等体要参与DPD交换必须发送厂商ID.,Protocol-ID=500,SPISize=16，,表3-1DPD消息类型NotifyMessageValueR-U-THERE36136R-U-THERE-ACK36137,三、DPD配置hostnamespoke-1-eastenablepasswordlabipsubnet-cryptoisakmppolicy1authenticationpre-sharecryptoisakmpkeyciscoaddress5cryptoisakmpkeyCiscoaddress6cryptoisakmpkeepalive602,cryptoipsectransform-settestesp-3desesp-sha-hmaccryptomapvpn1ipsec-isakmpsetpeer5setpeer6settransform-settestmatchaddress100,interfaceSerial0/0ipaddress4652cryptomapvpninterfaceEthernet0/1ipaddresshalf-duplexipclasslessiproute45,access-list100permitip5555linecon0lineaux0linevty04passwordlablogin,spoke-1-east#showcryisasadet,空闲间隔在指定时间内，指定对等体没有从远程对等体那时收到任何数据。DPD消息的发送条件:1.空闲定时器已到期，2.路由器有数据需要发送给对等体。DPD的这种检测机制保证了它比IKE存活机制更大的可扩展性，,通过将空闲间隔和重试间隔设置为很小的值，并将重试次数设置得较少，可快速检测到无效IPSecSADPD的重要优点是节省系统资源。,4.3空闲超时,一、概念出于维护IPSecSA的需要，监控SA的活动，如果某个SA空闲超过一定时间没有活动，即处于空闲状态，则将其删除，保证路由器的利用效率,让其最大限度地同其他对等体建立SA,节约交换路由资源。,SA空闲超时配置hostnamevpn-gw1-eastloggingqueue-limit100ipsubnet-cryptoisakmppolicy1authenticationpre-sharecryptoisakmpkeyciscoaddress46,cryptoipsecsecurity-associationidle-time120cryptoipsectransform-settestesp-3desesp-sha-hmaccryptomapvpnipsec-isakmpsetpeer3settransform-settestmatchaddress100,interfaceFastEthernet0/0ipaddress548speed100full-duplexnocdpenablecryptomapvpninterfaceFastEthernet0/1ipaddressspeed100duplexfullnocdpenable,routerospf1log-adjacency-changesnetwork55area0redistributestaticiphttpservernoiphttpsecure-serveripclasslessiproute3,access-list100permitip5555linecon0lineaux0linevty04login,vpn-gw1-east#showcryisasavpn-gw1-east#debugcryptoipsecipsec(create_sa):startingidletimer,120secondsipsec(lifetime_expiry):SAidletimereached;deletingipsecSAspoke-1-east#debugcryptoipsecISAKMP(0:1):receivedpacketfrom5dport500sport500(I)QM_IDLEipsec(key_engine_delete_sas):deleteSAwithspi749315455/50for5,4.4反向路由注入,一、概念RRI(ReverseRouteInjection)一种用于集成路由可用性和IPSec状态的机制。可以静态地配置，也可以根据某种端到端动态路由选择交换推导出来。,二、两种RRI静态IPSec对等体与动态IPSec对等体1.静态IPSec对等体加密映射以及相应的IPSec安全策略和代理被预先定义好的对等体。在这种情形中,IPsec会话可以由中心对等体发起，也可以由分支对等体发起。在动态对等体中，由分支端或客户发起，接收方的IPSec代理并没有预先定义好。,在VPG-GW1-EAST上配置RRI,RRI配置,hostnamevpn-gw1-eastloggingqueue-limit100ipsubnet-cryptoisakmppolicy1authenticationpre-sharecryptoisakmpkeyciscoaddress46cryptoipsecsecurity-associationidle-time120,cryptoipsectransform-settestesp-3desesp-sha-hmaccryptomapvpn1ipsec-isakmpsetpeer46settransform-settestmatchaddress100reverse-routeremote-peer3,interfaceFastEthernet0/0ipaddress548speed100duplexfullnocdpenablecryptomapvpn,interfaceFastEthernet0/1ipaddressspeed100duplexfullnocdpenable,routerospf1log-adjacency-changesnetwork55area0redistributestaticsubnetsipclasslessiproute3,access-list100permitip5555linecon0lineaux0linevty04loginend,vpn-gw1-east#showiproute,2.动态对等体RRI的功能与静态IPSec对等体相同，只是当成功建立IPSec后才注入前往分支子网的路由。,RRI与HSRP(HotStandbyRoutingProtocol)热备份常用于路由器之间进行故障切换。HSRP常跟踪路由器接口的状态，并在主设备和辅助设备之间提供了一种故障切换机制，并使用这种功能来提供IPSec冗余。解决数据流黑洞问题。,范例3-5IPSec和HSRP配置演示如何在VPN-GW1-EAST上将备用IP地址映射到加密映射演示SPOKE-1-EAST上的配置,RRI+HSRP配置,cryptoisakmppolicy1authenticationpre-sharecryptoisakmpkeyciscoaddress46cryptoisakmpkeepalive603cryptoipsectransform-settestesp-3desesp-sha-hmac,setpeer46settransform-settestmatchaddress100reverse-routeremote-peer3interfaceFastEthernet0/0ipaddress548duplexfull,random-detectstandbydelayminimum30reload60/预备延时standbyip4/2台启用hsrp的交换机共用的虚拟地址standbypriority105/设置该交换机hsrp优先级105，默认100，越高越优先standbypreempt/开启hsrp抢占，就是谁优先级高谁当active交换机,standbynameipsecstandbytrackFastEthernet2/0track一个接口cryptomapvpnredundancyipsec,routerospf1log-adjacency-changesredistributestaticsubnetsnetwork55area0ipclasslessiproute3noiphttpserver/关闭web服务,也就是不允许通过web界面管理交换机了,access-list100permitip5555linecon0stopbits1lineaux0stopbits1linevty04login,spoke-1-east:cryptomapvpn1ipsec-isakmpsetpeer4settransf