5 IPSec配置关于本章
5.1 IPSec简介
5.2 IPSec原理描述
5.3 IPSec应用场景
5.4 IPSec配置任务概览
5.5 IPSec配置注意事项
5.6 IPSec缺省配置
5.7 配置采用ACL方式建立IPSec隧道
5.8 配置采用虚拟隧道接口方式建立IPSec隧道
5.9 配置采用Efficient VPN策略建立IPSec隧道
5.10 配置IKE
5.11 维护IPSec
5.12 IPSec配置举例
5.13 IPSec常见配置错误
5.1 IPSec简介
磁动力
起源
随着Internet的发展,越来越多的企业直接通过Internet进行互联,但由于IP协议未考 虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越 这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫
切需要一种兼容IP协议的通用的网络安全方案。
为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安
全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。
定义
IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它
并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括
认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security
Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。 通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实
现保护数据的安全性。
受益
IPSec通过加密与验证等方式,从以下几个方面保障了用户业务数据在Internet中的安
led台灯转轴全传输:
●数据来源验证:接收方验证发送方身份是否合法。
●数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接
收的加密数据进行解密后处理或直接转发。
●数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
●抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的
数据包所进行的攻击。
相关资料
视频:
●AR G3系列路由器VPN相关培训
●华为AR路由器IPSec特性介绍
5.2 IPSec原理描述
5.2.1 IPSec协议框架
无石棉刹车片
5.2.1.1 安全联盟
安全联盟SA(Security Association)是通信对等体间对某些要素的协定,它描述了对
等体间如何利用安全服务(例如加密)进行安全的通信。这些要素包括对等体间使用
何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用
的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等。
IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功
建立安全联盟。IPSec安全联盟简称IPSec SA,由一个三元组来唯一标识,这个三元组
包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号
(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它被封装在
AH和ESP头中。
IPSec SA是单向的逻辑连接,通常成对建立(Inbound和Outbound)。因此两个IPSec
对等体之间的双向通信,最少需要建立一对IPSec SA形成一个安全互通的IPSec隧道,
分别对两个方向的数据流进行安全保护,如图5-1所示。
图5-1 IPSec
兔毛纱线安全联盟
原始数据包加密数据包
另外,IPSec SA 的个数还与安全协议相关。如果只使用AH 或ESP 来保护两个对等体之间的流量,则
对等体之间就有两个SA ,每个方向上一个。如果对等体同时使用了AH 和ESP ,那么对等体之间就需要四个SA ,每个方向上两个,分别对应AH 和ESP 。建立IPSec SA 有两种方式:手工方式和IKE 方式。二者的主要差异如表5-1所示。表5-1 手工和IKE 方式的差异
5.2.1.2 安全协议
IPSec 使用认证头AH (Authentication Header )和封装安全载荷ESP (Encapsulating Security Payload )两种IP 传输层协议来提供认证或加密等安全服务。●
AH 协议
非晶硅薄膜电池
AH 仅支持认证功能,不支持加密功能。AH 在每一个数据包的标准IP 报头后面添加一个AH 报文头,如5.2.1.3 封装模式所示。AH 对数据包和认证密钥进行Hash 计算,接收方收到带有计算结果的数据包后,执行同样的Hash 计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验。AH 协议的完整性验证范围为整个IP 报文。
●ESP协议
ESP支持认证和加密功能。ESP在每一个数据包的标准IP报头后面添加一个ESP报
文头,并在数据包后面追加一个ESP尾(ESP Trailer和ESP Auth data),如
5.2.1.3 封装模式所示。与AH不同的是,ESP将数据中的有效载荷进行加密后再封
装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护,除非IP
头被封装在ESP内部(采用隧道模式)。
AH和ESP协议的简单比较如表5-2所示。
表5-2 AH协议与ESP协议比较
破坏一号发电机
从表中可以看出两个协议各有优缺点,在安全性要求较高的场景中可以考虑联合使用
AH协议和ESP协议。
报文头结构
AH报文头结构
AH报文头结构如图5-2所示;AH报文头字段含义如表5-3所示。
图5-2 AH报文头结构
表5-3 AH 报文头字段含义
ESP 报文头结构
ESP 报文头结构如图5-3所示;ESP 报文头字段含义如表5-4所示。图5-3 ESP 报文头结构
认证部分
