写在前面
IPSec来喽。有时候把xmind直接粘贴过来会有顺序错位的情况,又被气晕
网络安全实训-网络安全技术
IPSec VPN
IPSec
用于保障IP协议安全性的技术
相关概念
工作模式
传输模式:只对数据提供安全保护,不封装公网头部
隧道模式:对数据提供安全保护,对数据进行公网头部封装
封装协议
AH:只提供数据完整性校验和数据源验证,不提供数据加密。无法穿越NAT
ESP:提供数据加密、完整性校验、数据源验证功能。可以穿越NAT
IPSec SA
IPSec 安全联盟
一个IPSec SA就是一套针对某个站点数据的保护方案
封装协议、加密和验证算法、密钥
IKE SA
用于保护IPSec SA的协商过程
IPSec VPN协议过程
第一阶段
双方协商出IKE SA
第二阶段
双方在IKE SA的保护下,协商出IPSec SA
IPSec VPN第一阶段模式
主模式
必须使用公网地址来识别对端身份,要求双方必须具有固定的公网地址
野蛮模式
可以使用FQDN(主机名)来识别对端身份,可以支持某一端的公网地址不固定
配置步骤
1.确认双方的公网是连通的
2.创建或使用现有的IKE协议
3.创建策略
接口设置为公网口
本端地址和对端IP地址设置为双方公网地址
模式设置为主模式
认证方式为预共享密钥
预共享密钥双方设置一致即可
IKE提议双方配置一致即可
本端ID和对端ID设置为双方的公网地址
保护数据流设置为双方的私网地址
封装模式为隧道模式,安全协议为ESP
算法、PFS等双方设置一致即可
4.两端PC互ping来触发VPN建立
公网地址固定的一端
1.给本段配置一个FQDN:ike identity fqdn 主机名
2.创建IKE提议
3.配置域共享密钥
ike keychain 密钥串名字
pre-shared-key hostname 对方主机名 key simple 域共享密钥
4.创建IKE配置方案,调用上述配置
ike profile 方案名字
proposal 1
keychain 密钥串名字
exchange-mode aggressive
设置模式为野蛮模式
match remote identity fqdn 对端FQDN
匹配对端身份
*本段可以不配置感兴趣流
5.创建和配置IPSec转换集
ipsec transform-set 转换集名字
esp encryption-algorithm 加密算法
esp authentication-algorithm 验证算法
6.创建IPSec策略安全模板,调用上述配置
ipsec policy-template 模板名字 1
ike-profile 调用的IKE配置方案名字
transform-set 调用的转换集名字
7.创建IPSec策略,绑定上一步创建的策略模板
8.在公网口调用IPSec策略:ipsec apply policy 策略名称
公网地址不固定的一段
1.给本段配置一个FQDN
2.创建IKE提议
3.配置预共享密钥
ike keychain 密钥串名字
pre-shared-key address 对方公网地址 key simple 预共享密钥
4.创建IKE配置方案,调用上述配置
ike profile 方案名字
proposal 1
keychain 密钥串名字
exchange-mode aggressive
设置模式为野蛮模式
match remote identity fqdn 对端FQDN
匹配对端身份
5.配置感兴趣流
acl advanced 3100
rule permit ip source 本端私网地址 反掩码 destination 对端私网地址 反掩码
6.创建和配置IPSec转换集
ipsec transform-set 转换集名字
esp encryption-algorithm 加密算法
esp authentication-algorithm 验证算法
7.创建IPSec策略,调用上述配置
ipsec policy 策略名称 1 isakmp
ike-profile 调用的IKE配置方案名字
transform-set 调用的转换集名字
remote-address 对端公网地址
8.在公网口调用IPSec策略:ipsec apply policy 策略名称