安全协议——IPSec(自动协商策略内容)
安全协议--IPSec(自动协商策略内容)
IPSec 是一系列网络安全协议的总称,它是由 IETF(Internet Engineering TasForce,Internet工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
IPSec 是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对 ×××(Virtual Private Network,虚拟专用网络)安全性的顾虑,使得 ××× 得以广泛应用。
一 .IPSec对报文的处理过程
(1) 对报文添加认证头:从 IPSec队列中读出 IP模块送来的 IP报文,根据配置选
择的协议模式(传输或是隧道模式)对报文添加 AH头,再由 IP层转发。
(2) 对报文进行认证后解去认证头:IP层收到 IP报文经解析是本机地址,并且协议号为 51,则查找相应的协议开关表项,调用相应的输入处理函数。此处理函数对报文进行认证和原来的认证值比较,若相等则去掉添加的 AH头,还原出原始的 IP报文再调用 IP输入流程进行处理;否则此报文被丢弃。
二. IPSec的配置包括:
<1> 创建加密访问控制列表 ::根据是否与加密访问控制列表匹配,可以确定那些 IP 包加密后发送,那些 IP 包直接转发。需要保护的安全数据流使用扩展 IP访问控制列表进行定义。
<2>定义安全提议 ::安全提议保存 IPSec需要使用的特定安全性协议以及加密/验证算法,为 IPSec协商安全联盟提供各种安全参数。为了能够成功的协商 IPSec的安全联盟,两端必须使用相同的安全提议。
@@@ 需要配置的内容 ( ·定义安全提议
·设置安全协议对 IP报文的封装模式
·选择安全协议
)
<3> 选择加密算法与认证算法 ::AH协议没有加密功能,只对报文进行认证。VRP主体软件 IPSec中 ESP支持的安全加密算法有五种:3des、des、blowfish、cast、skipjack。
AH和 ESP支持的安全认证算法有 MD5(消息摘要 Version 5)算法与 SHA(安全散列算法)算法两种。md5算法使用 128位的密钥,sha1算法使用 160位的密钥;md5算法的计算速度比 sha1算法快,而 sha1算法的安全强度比 md5算法高。
安全隧道的两端所选择的安全加密算法与认证算法必须一致。
<4>创建安全策略 :: 需要了解的 · 需要进行 ipsec保护的数据
·数据流受安全联盟保护需要多久
·需要使用的安全策略
·安全策略是手工创建还是通过 IKE协商创建
<5> 在接口上应用安全策略组 :: 为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口
(逻辑的或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组
和对端加密路由器配合进行报文的加密处理。当安全策略组被从接口上删除后,此接口便不再具有 IPSec的安全保护功能。 当从一个接口发送报文时,将按照从小到大的顺序号依次查找安全策略组中每一条安全策略。若报文匹配了一条安全策略引用的访问控制列表,则使用这条安全策略对报文进行处理;若报文没有匹配安全策略引用的访问控制列表,则继续查找下一条安全策略;若报文对所有安全策略引用的访问控制列表都不匹配,则报文直接被发送(IPSec不对报文加以保护)一个接口上只能应用一个安全策略组;一个安全策略组只能应用在一个接口上。
好的,学习完了基础知识,让我们应用一下呗,这有个小案例,我们可以参考一下。
首先声明,我们这个案例是一个多通道,也就是有两条通道。
因为我们一个acl对应一个安全策略,一个安全协议对应一个安全策略,多个安全策略对应一个安全策略组,一个策略组对应一个端口。
所以我们配置过程中需要有这样几条记录:两个acl,两个安全协议,两个安全策略,一个安全策略组。
下面是配置的一些截图,大家参考一下
详细配置信息
F1
F2
F3
Sw1
测试结果
Pc1 ping pc3
Pc2 ping pc3