高级交换与路由技术（第2版）课件 项目14-IPSec隧道协议

项目14

IPSec隧道协议2知识目标、技能要求1．了解IPSec隧道协议的定义；2．掌握IPSec隧道协议的工作原理；3．掌握IPSec隧道协议的配置命令的使用方法。项目14

IPSec隧道协议314.1问题提出

某公司网络由北京总公司及上海分公司构成。根据公司业务工作需要，总公司与分公司间建立VPN网络，传输公司专用数据，VPN网络采用IPSec技术实现。项目14

IPSec隧道协议14.2相关知识VPN是虚拟专用网络（VirtualPrivateNetwork）的缩写。VPN提供一种通过公共网络对企业内部专用网络进行远程安全访问的连接方式。VPN提供的安全服务主要有以下三个方面：机密性服务、完整性服务、身份验证服务。4项目14

IPSec隧道协议5项目14

IPSec隧道协议6项目14

IPSec隧道协议1．IPSec隧道协议Internet协议安全（IPSec）是一种开放标准的安全框架结构，是基于AH、ESP等安全协议基础上的网络层隧道协议。IPSec能够在Internet协议(IP)网络上建立保密、安全的隧道，实现身份验证、数据完整性检查、保密等安全功能。7IPSec在两台设备开始传递数据之前，它们之间通过协商，建立安全联盟SA（SecurtityAssociation），搭建传递数据的安全通道。所采用的协商方法可以是手工配置或采用标准的IKE（InternetKeyExchange）协议方式。项目14

IPSec隧道协议8在IPSec中有两个主要的安全协议：鉴别首部AH（AuthenticationHeader）协议和封装安全有效载荷ESP（EncapsulationSecurityPayload）协议。AH提供源点身份鉴别和数据完整性检查，但不提供保密。ESP比AH复杂得多，它除提供源点身份鉴别及数据完整性检查外还提供保密功能。项目14

IPSec隧道协议92．IPSec连接过程（1）IPSec的启动（2）建立管理连接（IKESA）任务1：策略协商任务2：验证身份任务3：交换参数并创建管理密钥（3）建立数据连接（IPSecSA）任务1：策略协商项目14

IPSec隧道协议10任务2：创建会话密钥任务3：将SA、密钥及安全参数索引SPI（SecurityParameterIndex）应用于驱动程序（4）传输数据…项目14

IPSec隧道协议113．IPSec配置创建IPSec安全联盟有两种方式：手工配置IPSec安全联盟及通过IKE协商创建配置IPSec安全联盟。主要工作：创建加密访问列表、定义变换集、创建加密映射条目、将加密映射条目应用到接口上。项目14

IPSec隧道协议12（1）创建加密访问列表（必须）项目14

IPSec隧道协议13创建加密访问列表保护子网A（192.168.202.0/25）和子网B（192.168.12.0/24）之间的所有IP通信。ruijie(config)#access-list120permitip192.168.12.00.0.0.255192.168.202.00.0.0.255项目14

IPSec隧道协议14（2）定义变换集（必须）变换集是IPSec所使用安全协议、算法以及封装模式的组合。项目14

IPSec隧道协议15项目14

IPSec隧道协议变

换

集说

明ah-md5-hmacAH协议，MD5HMAC验证算法ah-sha-hmacAH协议，SHAHMAC验证算法esp-desESP协议，DES加密算法esp-3desESP协议，3DES加密算法esp-desesp-md5-hmacESP协议，采用DES加密算法和MD5HMAC验证算法esp-desesp-sha-hmacESP协议，采用DES加密算法和SHAHMAC验证算法esp-3desesp-shaESP协议，采用3DES加密算法和SHA验证算法esp-3desesp-md5ESP协议，采用3DES加密算法和MD5验证算法ah-md5-hmacesp-desAH协议在外，使用MD5HMAC验证算法；ESP协议在内，使用DES加密算法16定义一个变换集名称为myset，其中，保护方式为ESP协议，采用DES加密算法和MD5HMAC验证算法。ruijie(config)#cryptoipsectransform-setmysetesp-desesp-md5-hmac项目14

IPSec隧道协议17设置封装模式IPSec提供两种封装模式，即传输模式（Transport）和隧道模式（Tunnel）。项目14

IPSec隧道协议18指定变换集的封装模式为通道模式。ruijie(config)#cryptoipsectransform-setmysetesp-desesp-md5-hmacruijie(cfg-crypto-trans)#modetunnel项目14

IPSec隧道协议19（3）创建加密映射条目（必须）加密映射条目将加密访问列表、变换集与设备关联起来。使用IKE来创建安全联盟的加密映射条目步骤：创建加密映射条目、指定受到IPSec加密保护的数据范围、指定远端对等体的IP地址、指定应用的变换集。项目14

IPSec隧道协议20第1步：创建加密映射条目项目14

IPSec隧道协议通过IKE协商创建安全联盟。ruijie(config)#cryptomapmymap4ipsec-isakmpruijie(config-crypto-map)#setpeer2.2.2.2ruijie(config-crypto-map)#settransform-setmysetruijie(config-crypto-map)#matchaddress101项目14

IPSec隧道协议第2步：指定受到IPSec加密保护的数据范围项目14

IPSec隧道协议由访问列表101定义名称为mymap加密映射条目上的加密数据范围。Ruijie(config)#cryptomapmymap4ipsec-isakmpRuijie(config-crypto-map)#matchaddress101项目14

IPSec隧道协议第3步：指定远端对等体的IP地址24项目14

IPSec隧道协议在加密映射条目

mymap上指定一个远程对等体（2.2.2.2）。ruijie(config)#cryptomapmymap5ipsec-isakmpruijie(config-crypto-map)#setpeer2.2.2.225项目14

IPSec隧道协议第4步：指定应用的变换集26项目14

IPSec隧道协议指定加密映射条目的变换集为myset。ruijie(config)#cryptoipsectransform-setmysetesp-desesp-sha-hmacruijie(config)#cryptomapmymap5ipsec-isakmpruijie(config-crypto-map)#settransform-setmyset27项目14

IPSec隧道协议（4）将加密映射条目应用到接口上28项目14

IPSec隧道协议加密映射集=加密映射条目将名称为mymap的加密映射集应用于接口S2/0上。ruijie(config)#interfaceserial2/0ruijie(config-if)#cryptomapmymap29项目14

IPSec隧道协议4．IKE配置IKE是Internet秘钥交换协议（InternetKeyExchangeProtocol）的缩写，与IPSec一起使用。IKE主要配置任务：启动IKE、创建IKE策略、配置预共享密钥30项目14

IPSec隧道协议（1）开启IKE31项目14

IPSec隧道协议（2）创建IKE策略32项目14

IPSec隧道协议参

数关键

字可

取

值默

认

值加密算法des56比特

DES-CBC56比特

DES-CBC3des168比特

3DES-CBCHASH算法shaSHA-1（HMAC变体）SHA-1（HMAC变体）md5MD5（HMAC变体）验证方法pre-share预共享密钥数字签名验证rsa-sig数字签名验证Diffie-Hellman组标志1768比特Diffie-Hellman组768比特Diffie-Hellman组21024比特Diffie-Hellman组IKE安全联盟的生命周期空1分钟到一天内的秒数一天（86400秒）第1步：创建IKE策略33项目14

IPSec隧道协议配置一个优先级为100的IKE策略ruijie(config)#cryptoisakmppolicy100ruijie(isakmp-policy)#authenticationpre-shareruijie(isakmp-policy)#encryptiondesruijie(isakmp-policy)#group2ruijie(isakmp-policy)#hashsha34项目14

IPSec隧道协议第2步：指定加密算法35项目14

IPSec隧道协议指定IKE策略中的加密算法为DES。Ruijie(config)#cryptoisakmppolicy10Ruijie(isakmp-policy)#encryptiondes36项目14

IPSec隧道协议第3步：指定HASH算法37项目14

IPSec隧道协议指定IKE策略中的HASH算法为MD5。ruijie(config)#cryptoisakmppolicy10ruijie(isakmp-policy)#hashmd538项目14

IPSec隧道协议第4步：指定验证方法39项目14

IPSec隧道协议指定IKE策略中的验证方法为预共享验证。ruijie(config)#cryptoisakmppolicy10ruijie(isakmp-policy)#authenticationpre-share40项目14

IPSec隧道协议第5步：指定Diffie-Hellman组标志41项目14

IPSec隧道协议“1”表示指定768比特Diffie-Hellman组；“2”表示指定1024比特Diffie-Hellman组。指定IKE策略的Diffie-Hellman组为1024比特。ruijie(config)#cryptoisakmppolicy10ruijie(isakmp-policy)#group242项目14

IPSec隧道协议（5）配置预共享密钥43项目14

IPSec隧道协议指定与对等体172.16.1.1进行IKE协商的预共享密钥为mysecret。ruijie(config)#cryptoisakmpkey0mysecretaddress172.16.1.15．配置实例总公司网络地址为202.126.101.0/24，分公司网络地址为67.151.69.0/24。总公司与分公司通过Internet建立IPSec连接，保护两个子网之间的IP数据通信，R1路由器作为子网202.126.101.0的网关，R2路由器作为子网67.151.69.0的网关44项目14

IPSec隧道协议45项目14

IPSec隧道协议46项目14

IPSec隧道协议路由器R1的参数配置如下。（1）配置IKE安全联盟。第1步：开启IKE。R1(config)#cryptoisakmpenable第2步：配置IKE策略。R1(config)#cryptoisakmppolicy1R1(config-isakmp)#authenticationpre-shareR1(config-isakmp)#encryption3desR1(config-isakmp)#exit第3步：配置IKE预共享密钥。R1(config)#cryptoisakmpkeyprewordaddress12.12.12.2（2）配置IPSec安全联盟。第1步：配置变换集合。R1(config)#cryptoipsectransform-setmysetesp-desesp-md5-hmac47项目14

IPSec隧道协议第2步：定义一个加密映射条目。R1(config)#cryptomapmymap5ipsec-isakmpR