千家信息网

IPSEC ×××的复习

发表于:2024-11-17 作者:千家信息网编辑
千家信息网最后更新 2024年11月17日,拓扑图如上,启用R1 R2 R5三个路由器 ,R1的环回和R2的环回之间的访问走×××,R1的环回192.168.1.0/24R2的环回192.168.2.0/24R1#show versionCis
千家信息网最后更新 2024年11月17日IPSEC ×××的复习

拓扑图如上,启用R1 R2 R5三个路由器 ,R1的环回和R2的环回之间的访问走×××,R1的环回192.168.1.0/24

R2的环回192.168.2.0/24

R1#show version

Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2) 路由器的版本标识中如果有k标志,则说明该路由器可以使用RSA DH 生成公钥和私钥

实验结果

R1#show crypto isakmp sa 查看第一阶段数据库

IPv4 Crypto ISAKMP SA

dst src state conn-id slot status

25.1.1.1 15.1.1.1 QM_IDLE 1001 0 ACTIVE

IPv6 Crypto ISAKMP SA

state 为QM的时候,代表隧道已经建立

R1#show crypto ipsec sa 查看第二阶段数据库

interface: Serial1/2

Crypto map tag: openlab, local addr 15.1.1.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

current_peer 25.1.1.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

#pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 1, #recv errors 0

local crypto endpt.: 15.1.1.1, remote crypto endpt.: 25.1.1.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2

current outbound spi: 0xC39B730(205109040)

inbound esp sas:

spi: 0xC1A0D62B(3248543275)

transform: esp-3des esp-md5-hmac ,

in use settings ={Tunnel, }

conn id: 1, flow_id: 1, crypto map: openlab

sa timing: remaining key lifetime (k/sec): (4429687/1379)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0xC39B730(205109040)

transform: esp-3des esp-md5-hmac ,

in use settings ={Tunnel, }

conn id: 2, flow_id: 2, crypto map: openlab

sa timing: remaining key lifetime (k/sec): (4429687/1377)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

outbound ah sas:

outbound pcp sas:

inbound和outbound的配置是一样的

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

.!!!!(为是触发更新,隧道的建立需要流量的触发,所以第一个包会丢失)

Success rate is 80 percent (4/5), round-trip min/avg/max = 36/42/52 ms

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!

配置要点

1. 第一阶段的数据库

若选择的认证方式是共享密钥还需要配置共享密钥

2. 配置ACL

3. 配置第二阶段数据库

4. 最后使用一张MAP将以上配置组合在一起,并将map在接口上进行调用即可。

R1的配置

#show run

crypto isakmp policy 10 第一阶段数据库

encr 3des

hash md5

authentication pre-share 认证方式选择的是共享密钥

group 2

crypto isakmp key 6 cisco123 address 25.1.1.1 设置共享密钥 address写的是对端的IP地址

crypto ipsec transform-set xxx esp-3des esp-md5-hmac 第二阶段数据库

crypto map openlab 10 ipsec-isakmp 匹配到同一张map中

set peer 25.1.1.1

set transform-set xxx

match address 100

interface Loopback0

ip address 192.168.1.1 255.255.255.0

interface Serial1/2

ip address 15.1.1.1 255.255.255.0

serial restart-delay 0

crypto map openlab 调用在接口上

ip route 0.0.0.0 0.0.0.0 15.1.1.2

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 抓取走××× 的流量

R2的配置(和R1相同道理)

#show run

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key 6 cisco123 address 15.1.1.1

crypto ipsec transform-set xxx esp-3des esp-md5-hmac

crypto map openlab 10 ipsec-isakmp

set peer 15.1.1.1

set transform-set xxx

match address 100

interface Loopback0

ip address 192.168.2.1 255.255.255.0

interface Serial1/2

ip address 25.1.1.1 255.255.255.0

serial restart-delay 0

crypto map openlab

ip route 0.0.0.0 0.0.0.0 25.1.1.2

access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R5的配置

interface Loopback0

ip address 5.5.5.5 255.255.255.0

interface Serial1/0

ip address 15.1.1.2 255.255.255.0

serial restart-delay 0

interface Serial1/1

ip address 25.1.1.2 255.255.255.0

serial restart-delay 0

抓取R1的S1/2的流量

只能看见公有地址,发现三层之后就变成ESP,所有的流量都被加密了。

2018.11.6 复习IPSEC ×××

××× 的分类

LAN-TO-LAN 两端的IP地址固定

包括:GRE,ATM,MPLS ×××,Frame Relay(帧中继)

Remote ××× 一端固定,另外一端不固定

包括:IPSec ×××,PPTP(Windows),L2TP+IPSEC(Windows),SSL ×××(主要用于网页)

IPSec ×××

安全性

私密,完整,源认证、不可否认

IPSEC框架

加密 DES 3DES AES

验证 MD5 SHA-1 完整性(校验)

封装协议 ESP(加密+校验) AH(只进行校验)

模式 transport(传输模式,从三层之后进行封装)tunnel(隧道模式,从四层之后开始封装)

密钥有效期 3600s 1800s

密码算法

对称算法 DES 3DES AES(包括128 192 256)

非对称算法 RSA DH

对称算法加密:同一密钥进行加密和解密 加密后数据变大较小

优点:速度快 安全 紧凑

缺点:明文传输密钥可能会被劫持或者窃听;密钥数量多(根据参与者数量成平方增长,指数增长);数量多,管理存储问题;不支持数字签名和不可否认

非对称算法加密:加密和解密用的不是同一个密钥;仅仅用于密钥签名和数字签名;加密后数据变大较多

优点:因为加密后数据大,所以更加安全;不必发送密钥给接收者,不用安心密钥会被中途劫持的问题;密钥数量和参与者的数量一样;不需要事先与参与者之间建立关系以进行交换密钥;支持数字签名和不可否认

缺点:加密速度慢;加密后数据长度大

2018.11.8

校验

(只进行比较前96位)MD5 128位 不等长的输入,等长的输出 经常使用的校验算法

SHA 160 256 384 512

散列函数的特点

固定大小、雪崩效应,单向,冲突避免(两个不一样的数据生成的值不一样),建议MD5,流量实际传递的过程中仅仅只携带96位的校验

流行的散列算法

MD5,SHA-1

ESP 可以对流量进行加密和校验

AH 只能对流量进行校验

IKE 建立×××的过程

CA证书机构 核实证书的真实性

2018年11月14日

IKE建立隧道,ESP加密,共享密钥保证不可否认性

EASY IP地址下放 1.5阶段

两个数据库进行核实,两边的一致就会建立×××

iskmp数据库 第一阶段 明文发送

1)

A.数据包中含有的信息有:加密算法(默认DES)HASH算法(默认SHA) 身份认证方式 (数字签名进或者共享密钥) SA有效期 86400(一天更换一次)

B. ** DH组号 1/2/5 2-1024位安全 只能使用DH算法

第一阶段的数据库是为了加密第二阶段的数据库

Iskmp sa第一阶段 前四个包为明文,后两个包为密文

1.2包 SA如果一样,建立×××

3.4包 DH算法的公钥互相交换,定义公钥长度

5.6包 流量被加密,密钥被DH加密。HASH,对端的IP地址,主机名称,使用数字签名(**共享密钥)

Ipsec sa 第二阶段

全部是加密的流量

**(1)ACL (走××× 的流量)抓取流量,关注源IP和目标IP

**(2)P2 SA 第二阶段数据库

模式

超时时间

封装协议

加密算法

HASH算法


0