資源描述:
《ipsecvpn配置總結(jié)》由會(huì)員上傳分享�����,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)���。
1�����、IPSecVPN配置總結(jié)近段時(shí)問(wèn),筆者完成了一些IPSecVPN的配置��,有站點(diǎn)到站點(diǎn)固定公網(wǎng)IP地址的IPSecVPN,冇站點(diǎn)到站點(diǎn)使用固定公網(wǎng)IP地址的EZVPN,冇網(wǎng)絡(luò)屮心點(diǎn)是固定公網(wǎng)IP地址,而分支機(jī)構(gòu)是動(dòng)態(tài)地址的DMVPN�,宥路由器和防火墻之間互聯(lián)的IPSecVPN,也冇不同廠商的設(shè)備之間互聯(lián)的IPSecVPN。通過(guò)這些項(xiàng)口的鍛爍,筆者感到對(duì)IPSecVPN的Y解又增進(jìn)丫~步���,以前一些模糊的地方���,經(jīng)過(guò)這次項(xiàng)目的實(shí)踐之后也越來(lái)越清晰,以下就是筆者對(duì)IPSecVPN配置的總結(jié)和配置實(shí)例��。-���、理解IPSecVPNVPN是利用公井網(wǎng)絡(luò)建立一條專(zhuān)
2、用的通道來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)的連接,IPSecVPN就是利用IPSec協(xié)議框架實(shí)現(xiàn)對(duì)VPN通道的加密保護(hù)�。IPSec工作在M絡(luò)它能在IP足上對(duì)數(shù)裾提供加密、數(shù)裾完整性、起源認(rèn)證和反重放保護(hù)等功能�����。加密的作用就是通過(guò)將數(shù)據(jù)包加密�,保證數(shù)據(jù)的安全�����,即使數(shù)據(jù)包被人監(jiān)聽(tīng)獲取到�,也無(wú)法閱讀數(shù)據(jù)內(nèi)容�����。IPSec使用的數(shù)據(jù)加密算法是對(duì)稱(chēng)密鑰加密系統(tǒng)��。支持的加密算法主要冇:DES、3DES��、MD5和SHA加密算法�,這種加密算法需要一個(gè)共享的密鑰執(zhí)行加密和解密����,共享的密鑰是通過(guò)通信兩端交換公鑰,然后用公鑰和各自的私鑰進(jìn)行運(yùn)算,就得到了共享的密鑰���,這樣就需要一個(gè)公鑰交換
3��、的算法�。DH密鑰協(xié)議就是一種公鑰交換方法����。DH密鑰交換協(xié)議有組1到組7的兒種不同的算法��。DES和3DES支持組1和2,AES支持組2和5�,因此如果選用了不同的加密算法�,就需耍選擇相皮的DH密鑰交換算法�����。數(shù)據(jù)完整性的作用就是保證數(shù)據(jù)包在傳輸?shù)倪^(guò)程當(dāng)中沒(méi)冇被篡改���。為Y保證數(shù)據(jù)的完整性�,給每個(gè)消息附加一個(gè)散列數(shù),通過(guò)驗(yàn)證發(fā)送的散列數(shù)和接收的散列數(shù)是否匹配來(lái)判斷消息是否被修改�。散列消息驗(yàn)證代碼(HMAC)主耍有兩種算法:HMAC-MD5和HMAC-SHA-1,MD5使用128位的共享密鑰,而SHA使用160位密鑰�,因此HMAC-SHA-1t匕HMAC-
4、MD5的加密強(qiáng)度要更高一些����。起源認(rèn)證的作用就是保證發(fā)送數(shù)據(jù)包的源站點(diǎn)是npf言的。起源認(rèn)證用來(lái)在建立隧道吋驗(yàn)證隧道兩端的對(duì)等體是否是可信的。主要奮預(yù)共享密鑰�,RSA簽名、RSA-加密nonces三種方法。其巾預(yù)共享密鑰配置起來(lái)最簡(jiǎn)單���,但安全性和擴(kuò)展性也相對(duì)來(lái)說(shuō)要差一些�����。預(yù)共享密鑰就是在每個(gè)對(duì)等體上都預(yù)先配置好相同的密鑰�,經(jīng)過(guò)運(yùn)算之G發(fā)送到遠(yuǎn)端的對(duì)等體�,由于每個(gè)對(duì)等體的密鑰相同,兇此就能夠通過(guò)起源認(rèn)證�����。另外兩種認(rèn)證方法配置較為復(fù)雜��,需要和證書(shū)服務(wù)器配合起來(lái)使用�,筆者沒(méi)有這方面的實(shí)踐�,岡此后面的配置實(shí)例屮都是采用的預(yù)共享密鑰的配置。反重放保護(hù)的作用
5�、就是保證數(shù)據(jù)包的唯一性,確定數(shù)據(jù)包在傳輸過(guò)程屮沒(méi)冇被復(fù)制����。在IPSec的數(shù)據(jù)包中含冇一個(gè)32位的序列數(shù),并且是不能重復(fù)的,接收方通過(guò)檢查序列數(shù)是否是唯一的來(lái)執(zhí)行反重放保護(hù)功能�。IPSec協(xié)議簇主要包括兩種協(xié)議:AH(認(rèn)證頭)和ESP(封裝安全冇效載荷)。其中AH不提供加密功能����,而ESP兩者都提供。當(dāng)使用ESP進(jìn)行加密和認(rèn)證的吋候�����,執(zhí)行順序是先加密再認(rèn)證��。將這兩種協(xié)議應(yīng)用到IP數(shù)據(jù)包吋冇兩種模式,分別是隧道模式和傳輸模式��。隧道模式將一個(gè)新的IP頭附加在已加密的數(shù)據(jù)包之前����,為整個(gè)數(shù)據(jù)提供安全性����;而傳輸模式下原數(shù)據(jù)的IP頭不變,保持明文,只對(duì)數(shù)據(jù)包的
6����、內(nèi)容提供安全性���。IPSec的建立宥兩個(gè)階段,第一個(gè)階段主要是認(rèn)證對(duì)等體,并協(xié)商策略�。如確定建立IPSec隧道所需用到的安全參數(shù)��,主要有加密的算法、對(duì)等體的認(rèn)證、保證消息完整性的散列算法和密鑰交換的算法����,在協(xié)商成功后建立一條安全通道����。第二個(gè)階段主耍是協(xié)商IPSec的參數(shù)和IPSec變換集,如確定使用AH還是ESP協(xié)議�,使用傳輸模式還是隧道模式。協(xié)商成功盾建立IPSecSA(安全關(guān)聯(lián))��,保護(hù)IPSec隧道的安全���。在筆者所配置的IPSecVPN屮���,都統(tǒng)一采用下列參數(shù):階段一:加密算法采用3DES����;保證數(shù)據(jù)完整性的算法采用HMAC-SHA-1;起源認(rèn)證
7����、采用預(yù)共享密鑰�����;密鑰交換采用DH組2;階段二:采用ESP協(xié)議提供對(duì)整個(gè)數(shù)據(jù)包的保護(hù)���,并同時(shí)使用加密和認(rèn)證,加密算法采用3DES,認(rèn)證算法采用HMAC-SHA-1使用模式采用隧道模式���。配置實(shí)例及說(shuō)明1.用路由器實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的IPSecVPN以筆者單位的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為例來(lái)說(shuō)明使用路由器實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的IPSecVPN的配置���。本例中總部和三個(gè)分公司都具宥固定的公網(wǎng)IP地址���,路由器型號(hào)為Cisco3845����,拓?fù)淙鐖D—?所示:武漢總部59.175.234.100/27常州分公司58.216.222.106/29Internet圖1株州分公司218.75
8、.208.74/29//建立一個(gè)總部路由器階段一的配置:ZB(config)#cryptoisakmppolicy10新的密鑰交換策略���,優(yōu)先級(jí)為10,
