***只是IPSec的一種應用方式,IPSec其實是IPSecurity的簡稱,它的目的是爲IP提供高安全性特性,***則是在實現這種安全特性的方式下產生的解決方案
IPSEC *** 預先協商加密協議、散列函數、封裝協議、封裝模式和祕鑰有效期等內容。具體執行協商任務的協議叫做互聯網祕鑰交換協議IKE。協商完成後的結果就叫做安全關聯SA(IKE SA和IPSEC SA)
IKE建立了安全關聯(SA)
IPSec 協議不是一個單獨的協議,它給出了應用於IP層上網絡數據安全的一整套體系結構,包括網絡認證協議 Authentication Header(AH)、封裝安全載荷協議Encapsulating Security Payload(ESP)、密鑰管理協議Internet Key Exchange (IKE)和用於網絡認證及加密的一些算法等。這些協議用於提供數據認證、數據完整性和加密性三種保護形式。AH和ESP都可以提供認證服務,但AH提供的認證服務要強於ESP。而IKE主要是對密鑰進行交換管理,對算法、協議和密鑰3個方面進行協商。
安全聯盟 SA,記錄每條 IP安全通路的策略和策略參數。安全聯盟是 IPSec 的基礎, 是通信雙方建立的一種協定,決定了用來保護數據包的協議、轉碼方式、密鑰以及密鑰有效期等。AH和 ESP都要用到安全聯盟,IKE的一個主要功能就是建立和維護安全聯盟。ISAKMP是IKE的核心協議
ISAKMP 是允許兩個主機商定如何建立 IPSec 安全關聯 (SA) 的協商協議。它提供了商定 SA 屬性
格式的通用框架。此安全關聯包括與對等體協商 SA 以及修改或刪除 SA。ISAKMP 將協商分爲兩
個階段:
階段 1 創建第一條隧道,其將保護隨後的 ISAKMP 協商消息。
階段 2 創建保護數據的隧道。
IPSec ***的應用場景分爲3種:
1.Site-to-Site(站點到站點或者網關到網關):如彎曲評論的3個機構分佈在互聯網的3個不同的地方,各使用一個商務領航網關相互建立***隧道,企業內網(若干PC)之間的數據通過這些網關建立的IPSec隧道實現安全互聯。
2.End-to-End(端到端或者PC到PC): 兩個PC之間的通信由兩個PC之間的IPSec會話保護,而不是網關。
3.End-to-Site(端到站點或者PC到網關):兩個PC之間的通信由網關和異地PC之間的IPSec進行保護。
IPSec是一個框架性架構,具體由兩類協議組成:
1.AH協議(Authentication Header,使用較少):可以同時提供數據完整性確認、數據來源確認、防重放等安全特性;AH常用摘要算法(單向Hash函數)MD5和SHA1實現該特性。
2.ESP協議(Encapsulated Security Payload,使用較廣):可以同時提供數據完整性確認、數據加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法實現數據加密,使用MD5或SHA1來實現數據完整性。
爲何AH使用較少呢?因爲AH無法提供數據加密,所有數據在傳輸時以明文傳輸,而ESP提供數據加密;其次AH因爲提供數據來源確認(源IP地址一旦改變,AH校驗失敗),所以無法穿越NAT。當然,IPSec在極端的情況下可以同時使用AH和ESP實現最完整的安全特性,但是此種方案極其少見。
隧道組是包含隧道連接策略的記錄集,ASA 會在內部存儲隧道組。在ASA 系統中有兩個默認隧道組:DefaultRAGroup 和 DefaultL2Lgroup,前者是默認的遠程訪問隧道組,後者是默認的 LAN 到 LAN 隧道組。您可以更改默認隧道組,但不能刪除它們。如果在隧道協商過程中沒有標識特定隧道組, ASA 將會使用默認這兩個隧道組來配置遠程訪問隧道組和LAN 到 LAN 隧道組的默認隧道參數。
LAN TO LAN ***
ASA5525 IKEv1配置:
interface gigabitEthernet 0/1
ip address 10.2.2.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.2 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto ikev1 enable outside
crypto ipsec ikev1 transform-set set1 esp-des esp-md5-hmac
access-list 101 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
tunnel-group 200.200.100.1 type ipsec-l2l
tunnel-group 200.200.100.1 ipsec-attributes
ikev1 pre-shared-key cienet
crypto map abcmap 1 match address 101
crypto map abcmap 1 set peer 200.200.100.1
crypto map abcmap 1 set ikev1 transform-set set1
crypto map abcmap interface outside
---------------------------------------------------------------
ASA5525 IKEv2配置:
crypto ikev2 policy 1
encryption des
group 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption 3des aes des
protocol esp integrity sha-1 md5
access-list 101 permit ip 192.168.0.0 255.255.0.0 150.150.0.0 255.255.0.0
tunnel-group 200.200.100.1 type ipsec-l2l
ikev2 local-authentication pre-shared-key cienet
crypto map abcmap 1 match address 101
crypto map abcmap 1 set peer 10.10.4.108
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface outside
write memory
---------------------------------------------------------------
ASA5520配置:
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif insideu
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
tunnel-group 200.200.100.2 type ipsec-l2l
tunnel-group 200.200.100.2 ipsec-attributes
pre-shared-key cienet
access-list 101 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
crypto ipsec transform-set set1 esp-des esp-md5-hmac
crypto map abcmap 1 match address 101
crypto map abcmap 1 set transform-set set1
crypto map abcmap 1 set peer 200.200.100.2
crypto map abcmap interface outside
-----------------------------------------------------------
L2TP IPSEC ***
ASA version8.2.5
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
ip local pool tec_addresses 10.1.1.5-10.1.1.10
group-policy tec_policy internal
group-policy tec_policy attributes
dns-server value 114.114.114.114 8.8.8.8
***-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
default-group-policy tec_policy
address-pool tec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key cienet
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set trans
crypto map l2tp*** 20 ipsec-isakmp dynamic dyno
crypto map l2tp*** interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group LOCAL
username test password 123 mschap
---------------------------------------
ASA version8.4.1
interface gigabitEthernet 0/1
ip address 10.1.1.1 255.255.255.0
nameif inside
security-level 100
no shutdown
interface gigabitEthernet 0/0
ip address 200.200.100.1 255.255.255.0
nameif outside
security-level 0
no shutdown
exit
ip local pool tec_addresses 10.1.1.5-10.1.1.10
group-policy tec_policy internal
group-policy tec_policy attributes
dns-server value 114.114.114.114 8.8.8.8
***-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
default-group-policy tec_policy
address-pool tec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key cienet
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set trans
crypto map l2tp*** 20 ipsec-isakmp dynamic dyno
crypto map l2tp*** interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group LOCAL
username test password 123 mschap
注:以上知識點及配置是參考Cisco官方文檔在自己理解以及實驗的基礎上整理而成。