温建京IPsec-VPN讲座课件

IPsec-VPN技术日期：2009.8.27山西工程职业技术学院－温建京

IPsec-VPN技术日期：2009.8.27山西工程职业技了解IPSec提出背景熟悉IPSec工作原理熟悉IKE工作原理掌握IPSec的基本配置和应用课程目标学习完本课程，学生应该能够：了解IPSec提出背景课程目标学习完本课程，学生应该能够：IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSEC提出背景IP包本身不具有任何的安全性，不能保证：数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证

（DataAuthentication）IPsec提供了标准、健壮且包含广泛的机制来保证IP以上层的安全IPSEC提出背景IP包本身不具有任何的安全性，不能保证：IPSec提出背景

IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式IPSec概述IPSec（IPSecurity）是IETF制定的为保证在IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议

MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard),3DESAES

其他的加密算法：Blowfish，cast…IPSec的组成IPSec提供两个安全协议IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证

（DataAuthentication）反重播（Anti-Replay）IPSec的安全特点数据机密性（ConfidentialiIPSec提出背景IPSec概述

IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略（SecurityPolicy)安全提议（SecurityProposal

)IPSec基本概念数据流(DataFlow)AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631AH协议数据IP包头数据IP包头AH数据原IP包头AHESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分ESP协议数据IP包头加密后的数据IP包头ESP头部EIPSec提出背景IPSec概述IPsec基本概念

IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IKE

IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IKEIKE（InternetKeyExchange，IPSec提出背景IPSec概述IPsec基本概念IKE概述

IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发IKE的安全机制完善的前向安全性IKE的交换过程（主模式）SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2IKE的交换过程（主模式）SA交换密钥交换ID交换及验证发送IKE的交换过程（野蛮模式）SA交换，密钥生成ID交换及验证发送本地IKE策略，密钥生成信息身份验证和交换过程验证接受对端确认的策略，密钥生成查找匹配的策略，密钥生成确认对方使用的算法，产生密钥验证对方身份发起方策略，密钥生成信息接收方的密钥生成信息，身份和验证数据发起方身份和验证数据Peer1Peer2IKE的交换过程（野蛮模式）SA交换，ID交换及验证发送本地IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制

IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASAIPSec与IKE的关系IKETCPUDPIPSecIKEIKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重播服务允许在端与端之间动态认证IKE在IPSec中的作用降低手工配置的复杂度IPSECNAT穿越ISP分配私网IP地址ISPIP网IPSEC穿越NAT存在的问题IKE协商的IP地址和端口不匹配IPSEC不能验证NAT报文NAT超时影响IPSECIPSECNAT穿越ISP分配私网IP地址ISPIP网IPIPSEC穿越NAT的实现IKE协商解决IKE报文使用UDP端口500的问题双方支持NAT穿越的确认双方的协商报文经过了NAT设备的确认UDP封装格式来实现数据报文NAT穿越使用IKE握手保持NAT表项不超时IPSEC穿越NAT的实现IKE协商使用NAT穿越RTBIPXIPXIPSecTunnelRTANAT网关IPUDPIPSec报文使用NAT穿越RTBIPXIPXIPSecTunnelRTIPSECNAT穿越典型应用NATADSL获得私网IP地址ADSL获得私网IP地址企业总部不检查IKE源IP/UDP端口使用UDP500/500封装通过IKE握手保持NAT表项通过IKE握手保持NAT表项IKE使能NAT穿越IPSEC隧道企业分支企业分支ISPISPIPSECNAT穿越典型应用NATADSL获得私网IP地址IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系

IPSEC配置目录IPSec提出背景目录IPSec配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用那种安全保护确定安全保护的强度IPSec配置前的准备确定需要保护的数据IPSec的配置任务及命令(1/0)创建加密访问控制列表定义安全提议[H3C]

ipsecproposalproposal-name

[H3C]

ipseccard-proposalproposal-name

设置安全协议对IP报文的封装模式[H3C-ipsec-proposal-test]encapsulation-mode{transport|tunnel}

选择安全协议[H3C-ipsec-proposal-test]transform{ah|esp|ah-esp}

设置AH协议采用的认证算法

ahauthentication-algorithm{md5-hmac-96|sha1-hmac-1-96}

ESP协议采用的认证算法

espauthentication-algorithm{md5-hmac-96|sha1-hmac-96}

ESP协议采用的加密算法

espencryption-algorithm{3des|des|aes}

IPSec的配置任务及命令(1/0)创建加密访问控制列表IPSec的配置任务及命令(1/1)定义加密卡安全提议[H3C]

ipseccard-proposalproposal-name

设置安全协议对IP报文的封装模式[H3C-ipsec-card-proposal-test]encapsulation-mode{transport|tunnel}

选择安全协议[H3C-ipsec-card-proposal-test]transform{ah|esp|ah-esp}

设置AH协议采用的认证算法

ahauthentication-algorithm{md5|sha1}

ESP协议采用的认证算法

espauthentication-algorithm{md5|sha1}

ESP协议采用的加密算法

espencryption-algorithm{3des|des|aes}

选择加密卡

[H3C-ipsec-card-proposal-aa]useencrypt-cardSlotnumberIPSec的配置任务及命令(1/1)定义加密卡安全提议IPSec的配置任务及命令(2)创建安全策略[H3C]

ipsecpolicy

policy-name

sequence-number[manual|isakmp]配置安全策略引用的访问控制列表

[H3C-ipsec-policy-policy1-10]

securityaclaccess-list-number指定安全隧道的终点tunnelremoteip-address

配置安全策略中引用的转换方式

proposalproposal-name1[posal-name6]

在接口上应用安全策略组

[H3C-GigabitEthernet0/0]ipsecpolicy

policy-name

IPSec的配置任务及命令(2)创建安全策略IKE的配置任务(1)创建IKE安全策略选择加密算法选择认证方法选择哈希散列算法选择DH的组标识设置IKE协商安全联盟的生存周期IKE的配置任务(1)创建IKE安全策略IKE的配置任务(2)配置预共享密钥配置IKEkeepalive定时器IKE的配置任务(2)配置预共享密钥IPSec的配置举例G0:G1:G1:G0:E0:IPSECVPN隧道E0:IPSec的配置举例G0:G1:202IPSec的监控与调试显示安全联盟的相关信息 displayipsecsa{all|brief|remoteip-address|policypolicy-name[sequence-number]|parametersdest-address

protocol

spi}[H3C]displayipsecsabriefSrcAddressDstAddressSPIProtocolAlgorithm54321NEW_ESPE:DES;A:HMAC-SHA1-96;12345NEW_ESPE:DES;A:HMAC-SHA1-96;#IPSec调试信息开关 debuggingipsec{misc|packet|sa}IPSec的监控与调试显示安全联盟的相关信息[H3C]IKE的监控与调试显示IKE安全联盟参数 displayikesa[H3C]displayikesaConnect-IDPeerFlagPhaseDoiRD2IPSECRD1IPSECFlagmeaningRD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUT调试IKE安全联盟 debuggingike{all|crypto|error|message|misc|sysdep|timer|transport}IKE的监控与调试显示IKE安全联盟参数[H3C]diIPSec故障排错非法用户身份信息用户身份信息是发起IPSec通信的用户用来标识自己的数据。我们是通过用户的IP地址来标识用户检查协商两端接口上配置的ipsecpolicy中的访问控制列表内容是否相容.建议用户将两端的访问控制列表配置成互为镜像的策略不匹配检查双方接口上配置的ipsecpolicy使用的协议，加密算法和认证算法是否一致IPSec故障排错非法用户身份信息了解了IPSec提出背景熟悉IPSec工作原理熟悉IKE工作原理掌握了IPSec的基本配置和应用本章总结了解了IPSec提出背景本章总结谢谢！谢谢！IPsec-VPN技术日期：2009.8.27山西工程职业技术学院－温建京

IPsec-VPN技术日期：2009.8.27山西工程职业技了解IPSec提出背景熟悉IPSec工作原理熟悉IKE工作原理掌握IPSec的基本配置和应用课程目标学习完本课程，学生应该能够：了解IPSec提出背景课程目标学习完本课程，学生应该能够：IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSEC提出背景IP包本身不具有任何的安全性，不能保证：数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证

（DataAuthentication）IPsec提供了标准、健壮且包含广泛的机制来保证IP以上层的安全IPSEC提出背景IP包本身不具有任何的安全性，不能保证：IPSec提出背景

IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式IPSec概述IPSec（IPSecurity）是IETF制定的为保证在IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议

MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard),3DESAES

其他的加密算法：Blowfish，cast…IPSec的组成IPSec提供两个安全协议IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证

（DataAuthentication）反重播（Anti-Replay）IPSec的安全特点数据机密性（ConfidentialiIPSec提出背景IPSec概述

IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略（SecurityPolicy)安全提议（SecurityProposal

)IPSec基本概念数据流(DataFlow)AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631AH协议数据IP包头数据IP包头AH数据原IP包头AHESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分ESP协议数据IP包头加密后的数据IP包头ESP头部EIPSec提出背景IPSec概述IPsec基本概念

IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IKE

IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IKEIKE（InternetKeyExchange，IPSec提出背景IPSec概述IPsec基本概念IKE概述

IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发IKE的安全机制完善的前向安全性IKE的交换过程（主模式）SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2IKE的交换过程（主模式）SA交换密钥交换ID交换及验证发送IKE的交换过程（野蛮模式）SA交换，密钥生成ID交换及验证发送本地IKE策略，密钥生成信息身份验证和交换过程验证接受对端确认的策略，密钥生成查找匹配的策略，密钥生成确认对方使用的算法，产生密钥验证对方身份发起方策略，密钥生成信息接收方的密钥生成信息，身份和验证数据发起方身份和验证数据Peer1Peer2IKE的交换过程（野蛮模式）SA交换，ID交换及验证发送本地IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制

IKE与IPSEC的关系IPSEC配置目录IPSec提出背景目录IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASAIPSec与IKE的关系IKETCPUDPIPSecIKEIKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重播服务允许在端与端之间动态认证IKE在IPSec中的作用降低手工配置的复杂度IPSECNAT穿越ISP分配私网IP地址ISPIP网IPSEC穿越NAT存在的问题IKE协商的IP地址和端口不匹配IPSEC不能验证NAT报文NAT超时影响IPSECIPSECNAT穿越ISP分配私网IP地址ISPIP网IPIPSEC穿越NAT的实现IKE协商解决IKE报文使用UDP端口500的问题双方支持NAT穿越的确认双方的协商报文经过了NAT设备的确认UDP封装格式来实现数据报文NAT穿越使用IKE握手保持NAT表项不超时IPSEC穿越NAT的实现IKE协商使用NAT穿越RTBIPXIPXIPSecTunnelRTANAT网关IPUDPIPSec报文使用NAT穿越RTBIPXIPXIPSecTunnelRTIPSECNAT穿越典型应用NATADSL获得私网IP地址ADSL获得私网IP地址企业总部不检查IKE源IP/UDP端口使用UDP500/500封装通过IKE握手保持NAT表项通过IKE握手保持NAT表项IKE使能NAT穿越IPSEC隧道企业分支企业分支ISPISPIPSECNAT穿越典型应用NATADSL获得私网IP地址IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系

IPSEC配置目录IPSec提出背景目录IPSec配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用那种安全保护确定安全保护的强度IPSec配置前的准备确定需要保护的数据IPSec的配置任务及命令(1/0)创建加密访问控制列表定义安全提议[H3C]

ipsecproposalproposal-name

[H3C]

ipseccard-proposalproposal-name

设置安全协议对IP报文的封装模式[H3C-ipsec-proposal-test]encapsulation-mode{transport|tunnel}

选择安全协议[H3C-ipsec-proposal-test]transform{ah|esp|ah-esp}

设置AH协议采用的认证算法

ahauthentication-algorithm{md5-hmac-96|sha1-hmac-1-96}

ESP协议采用的认证算法

espauthentication-algorithm{md5-hmac-96|sha1-hmac-96}

ESP协议采用的加密算法

espencryption-algorithm{3des|des|aes}

IPSec的配置任务及命令(1/0)创建加密访问控制列表IPSec的配置任务及命令(1/1)定义加密卡安全提议[H3C]

ipseccard-proposalproposal-name

设置安全协议对IP报文的封装模式[H3C-ipsec-card-proposal-test]encapsulation-mode{transport|tunnel}

选择安全协议[H3C-ipsec-card-proposal-test]transform{ah|esp|ah-esp}

设置AH协议采用的认证算法

ahauthentication-algorithm{md5|sha1}

ESP协议采用的认证算法

espauthentication-algorithm{md5|sha1}

ESP协议采用的加密算法

espencryption-algorithm{3des|des|aes}

选择加密卡

[H3C-ipsec-card-proposal-aa]useencrypt-cardSlotnumberIPSec的配置任务及命令(1/1)定义加密卡安全提议IPSec的配置任务及命令(2)创建安全策略[H3C]

ipsecpolicy

policy-name

sequence-number[manual|isakmp]配置安全策略引用的访问控制列表

[H3C-ipsec-policy-policy1-10]

securityaclaccess-list-number指定安全隧道的终点tunnelremoteip-address

配置安全策略中引用的转换方式

proposalproposal-name1[posal-name6]

在接口上应用安全策略组

[H3C-GigabitEthernet0/0]ipsecpolicy

policy-name

IPSec的配置任务及命令(2)创建安全策略IKE的配置任务(1)创建IKE安全策略选择加密算法选择认证方法选择哈希散列算法选择DH的组标识设置IKE协商安全联盟的生存周期IKE的配置任务(1)创建IKE安全策略IKE的配置任务(2)配置预共享密钥配置IKEkeepalive定时器IKE的配置任务(2)配置预共享密钥IPSec的配置举例G0:G1:G1:G0:10.