ipsec工作原理

一、IPSec如何工作的1,定义interestingtraffic如access-list101permitip10.0.1.00.0.0.25510.0.2.00.0.0.2552,IKEPhase1IKEPhase1的目的是鉴别IPsec对等体，在对等体之间设立安全通道，以使IKE能够进行信息交换。IKEPhase1执行以下的功能：  鉴别和保护IPSec对等体的身份  在对等体之间协商一个相匹配的IKE安全关联策略。  执行一个被认证过的Diffie-Hellman交换，其结果是具有匹配的共享密钥。  建立安全的通道，以协商IKEPhase2中的参数IKEPhase1有两种模式：  mastermode  aggressivemode3,IKEPhase2IKEPhase2的目的是协商IPSec安全关联（SA），以建立IPSec通道。IKEPhase2执行以下功能：  协商受已有IKESA保护的IPSecSA参数  建立IPSecSA  周期性的重新协商IPSecSA以确保安全性4,IPSec加密隧道  在IKEPhase2结束之后，信息就通过IPSec隧道被交换5,隧道终止  当被删除或生存期超时后，IPSec就终止了。当指定的秒数过去或指定的字节数通过隧道后，安全关联  将超时。当SA终结后，密钥会被丢弃。当一个数据流需要后续的IPSECSA时，IKE就执行一个新的IKEPhase  2和IKEPhase1协商，产生新的SA密钥，新的SA密钥可以在现有的SA超时之前被建立。二IPSec安全关联（SA）  IPSec提供了许多选项用于网络加密和认证。每个IPSec连接能够提供加密、完整性、认证保护或三者  的全部。两个IPSEC必须精确确定要使用的算法（如DES或3DES用于加密，MD5或SHA用于完整性验证）。在  确定算法事，两个设备必须共享会话密钥。用于IPSEC的安全关联是单向的。双向通信由两个安全关联  组成。                  NOIOS  每个数据包---->;加密？------->;从接口送出              |            |              |YES        |IPSEC          |            |是否有IPSECSA | YES      |            IPSECSA?------->;加密数据包并发送              |            |              |NO          |KEYSIKE            |    YES      |              IKESA?-------->;通过IKESA协商IPSECSA              |            |              |            |              |NO    NO |            用CA进行认证?------>;与另一个对等体协商IKESA              |            |              |            |CA认证       |YES        |            获得CA的公钥，产生自已的公钥／私钥三、CISCOVPN产品系列VPN产器主要包括：CiscoVPN路由器，CiscoPIX防火墙，CiscoVPN集中器系列，CiscoSecureVPN客户端CiscoSecure入侵检测系统,CiscoSecure策略管理器四、配置ＣＩＳＣＯ　ＩＯＳ应用预共享密钥使用预共享密钥来验证ＩＰＳＥＣ会话比较容易配置，但是扩展性不太好。分配给ISAKMP是UDP的端口500,ESP是IP协议号50,AH是IP协议号51，确保这些数据流没有被限制。如:access-list111permitahphost192.168.20.2host192.168.30.2  access-list111permitesphot192.168.20.2host192.168.30.2  access-list111permitudphost192.168.20.2host192.168.30.2eqisakmp可以showaccess-list查看。1、激活IKEcryptoisakmpenable2、建立ＩＫＥ策略  cryptoisakmppolicyprioritycisco(config)#cryptoisakmppolicy100hashmd5    --消息完整性（散列）算法authenticationpre-share    --对等体签别预共享密钥encryptiondes    --加密算法group2    --共享密钥交换lifetime10000    --SA的生存时间3、配置预共享密钥缺省情况下ＣＩＳＣＯ　ＩＯＳ软件使用ＩＰ地址作为身份标识方法。如果要使用主机名作为身份标识，要配置cryptoisakmpidentity{address|hostname}.如cryptoisakmpidentityhostname,如果使用的主机名没有ＤＮＳ解析的话还要加iphoststudio317.domain.com192.168.20.2用cryptoisakmpkey来配置预共享密钥。如cryptoisakmpkeykeystringhostnamepeer-hostname4、验证IKE的配置showcryptoisakmppolicy命令来显示配置了的策略。5、配置IPSec配置变换集cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]最多3个变换如cryptoipsectransform-setnoAHesp-md5-hmacesp-des上例使用MD5算法ESP认证，采用DES算法的ESP加密和隧道模式(缺省）现在AH很少用了配置IPsecSA的生存时间cryptoipsecserurity-associationlifetime{seconds|kilobytes}配置加密图cryptomapmap-nameseq-numipsec-isakmp如cryptomapmymap10ipsec-isakmpmatchaddresspeertransform-setsecurity-association配置实例:RotuerA#showruncryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpkeyciscoaddress172.30.2.1!cryptoipsectransformmineesp-des!cryptomapmymap110ipsec-isakmpsetpeer172.30.2.1settransform-setminematchaddress110!interfaceEthernet0/1ipaddress172.30.1.1255.255.255.0ipaccess-group101incryptomapmymap!access-list101permitahphost172.30.2.1host172.30.1.1access-list101permitesphost172.30.2.1host172.30.1.1access-list101permitudphost172.30.2.1host172.30.1.1eqisakmpaccess-list110permitip10.0.1.00.0.0.25510.0.2.00.0.0.255access-list110denyanyanyRotuerB#showruncryptoisakmppolicy100hashmd5authenticationpre-sharecryptoisakmpkeyciscoaddress172.30.1.1!cryptoipsectransformmineesp-des!cryptomapmymap110ipsec-isakmpsetpeer172.30.1.1settransform-setminematchaddress102!interfaceEthernet0/1ipaddress172.30.2.1255.255.255.0ipaccess-group101incryptomapmymap!access-list101permitahphost172.30.1.1host172.30.2.1access-list101permitesphost172.30.1.1host172.30.2.1access-list101permitudphost172.30.1.1host172.30.2.1eqisakmpaccess-list102permitip10.0.2.00.0.0.25510.0.1.00.0.0.255access-list102denyanyany