IPsec与IKE的关系

第4章IPsec与IKEISSUE1.1日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播了解IPSec提出背景熟悉IPSec工作原理熟悉IKE工作原理掌握IPSec的基本配置和应用课程目标学习完本课程，您应该能够：IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录提出背景IP包本身不具有任何的安全性，不能保证：数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）IPsec提供了标准、健壮且包含广泛的机制来保证IP以上层的安全IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式IPSec概述的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard),3DESAES其他的加密算法：Blowfish，cast…的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）反重播（Anti-Replay）IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略安全提议包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发的交换过程（主模式）SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2的交换过程（野蛮模式）SA交换，密钥生成ID交换及验证发送本地IKE策略，密钥生成信息身份验证和交换过程验证接受对端确认的策略，密钥生成查找匹配的策略，密钥生成确认对方使用的算法，产生密钥验证对方身份发起方策略，密钥生成信息接收方的密钥生成信息，身份和验证数据发起方身份和验证数据Peer1Peer2=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重播服务允许在端与端之间动态认证存在的问题IKE协商的IP地址和端口不匹配IPSEC不能验证NAT报文NAT超时影响IPSEC的实现IKE协商解决IKE报文使用UDP端口500的问题双方支持NAT穿越的确认双方的协商报文经过了NAT设备的确认UDP封装格式来实现数据报文NAT穿越使用IKE握手保持NAT表项不超时端口使用UDP500/500封装通过IKE握手保持NAT表项通过IKE握手保持NAT表项IKE使能NAT穿越IPSEC隧道企业分支企业分支IPSec提出背景IPSec概述IPsec基本概念IKE概述IKE安全机制IKE与IPSEC的关系IPSEC配置目录配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用那种安全保护确定安全保护的强度的配置任务及命令(1/0)创建加密访问控制列表定义安全提议[H3C]ipsecproposalproposal-name[H3C]ipseccard-proposalproposal-name设置安全协议对IP报文的封装模式[H3C-ipsec-proposal-test]encapsulation-mode{transport|tunnel}选择安全协议[H3C-ipsec-proposal-test]transform{ah|esp|ah-esp}设置AH协议采用的认证算法ahauthentication-algorithm{md5-hmac-96|sha1-hmac-1-96}ESP协议采用的认证算法espauthentication-algorithm{md5-hmac-96|sha1-hmac-96}ESP协议采用的加密算法espencryption-algorithm{3des|des|aes}的配置任务及命令(1/1)定义加密卡安全提议[H3C]ipseccard-proposalproposal-name设置安全协议对IP报文的封装模式[H3C-ipsec-card-proposal-test]encapsulation-mode{transport|tunnel}选择安全协议[H3C-ipsec-card-proposal-test]transform{ah|esp|ah-esp}设置AH协议采用的认证算法ahauthentication-algorithm{md5|sha1}ESP协议采用的认证算法espauthentication-algorithm{md5|sha1}ESP协议采用的加密算法espencryption-algorithm{3des|des|aes}选择加密卡[H3C-ipsec-card-proposal-aa]useencrypt-cardSlotnumber的配置任务及命令(2)创建安全策略[H3C]ipsecpolicypolicy-namesequence-number[manual|isakmp]配置安全策略引用的访问控制列表[H3C-ipsec-policy-policy1-10]securityaclaccess-list-numbertunnelremoteip-address指定安全隧道的终点配置安全策略中引用的转换方式proposalproposal-name1[proposal-name2...proposal-name6]在接口上应用安全策略组[H3C-GigabitEthernet0/0]ipsecpolicypolicy-name的配置任务(1)创建IKE安全策略选择加密算法选择认证方法选择哈希散列算法选择DH的组标识设置IKE协商安全联盟的生存周期的配置任务(2)配置预共享密钥配置IKEkeepalive定时器:202.38.162.1G1:202.38.163.1G0:10.1.2.1E0:10.1.1.2IPSECVPN隧道E0:10.1.2.2的监控与调试显示安全联盟的相关信息displayipsecsa{all|brief|remoteip-address|policypolicy-name[sequence-number]|parametersdest-addressprotocolspi}[H3C]displayipsecsabriefSrcAddressDstAddressSPIProtocolAlgorithm202.38.162.1202.38.163.154321NEW_ESPE:DES;A:HMAC-SHA1-96;202.38.163.1202.38.162.112345NEW_ESPE:DES;A:HMAC-SHA1-96;#IPSec调试信息开关debuggingipsec{misc|packet|sa}的监控与调试显示IKE安全联盟参数displayikesa[H3C]displayikesaConnect-IDPeerFlagPhaseDoi211.0.0.2RD2IPSEC111.0.0.2RD1IPSECFlagmeaningRD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUT调试IKE安全联盟debuggingike{all|crypto|error|message|misc|sysdep|timer|transport}故障排错非法用户身份信息用户身份信息是发起IPSec通信的用户用来标识自己的数据。我们是通过用户的IP地址来标识用户检查协商两端接口上配置的ipsecpolicy中的访问控制列表内容是否相容.建议用户将两端的访问控制列表配置成互为镜像的策略不匹配检查双方接口上配置的ipsecpolicy使用的协议，加密算法和认证算法是否一致了解了IPSec提出背景熟悉IP