Cisco-ipsec-VPN配置

CiscoVPN配置Ipsec参考基于IPSEC的VPN配置步骤第一步配置IKE协商R1(config)#cryptoisakmppolicy1建立IKE协商策略R1(config-isakmap)#hashmd5设置密钥验证所用的算法R1(config-isakmap)#authenticationpre-share设置路由要使用的预先共享的密钥R1(config)#cryptoisakmpkey123address192.168.1.2设置共享密钥和对端地址123是密钥R2(config)#cryptoisakmppolicy1R2(config-isakmap)#hashmd5R2(config-isakmap)#authenticationpre-shareR2(config)#cryptoisakmpkey123address192.168.1.1第二步配置IPSEC相关参数R1(config)#cryptoipsectransform-setcfanhomeah-md5-hmacesp-des配置传输模式以及验证的算法和加密的的算法cfanhome这里是给这个传输模式取个名字R1(config)#access-list101permitipanyany我这里简单的写但是大家做的时候可不能这样写这里是定义访问控制列表R2(config)#cryptoipsectransform-setcfanhomeah-md5-hmacesp-des两边的传输模式的名字要一样R2(config)#access-list101permitipanyany第三步应用配置到端口假设2个端口都是s0/0R1(config)#cryptomapcfanhomemap1ipsec-isakmp采用IKE协商，优先级为1这里的cfanhomemap是一个表的名字R1(config-crypto-map)#setpeer192.168.1.2指定VPN链路对端的IP地址R1(config-crypto-map)#settransform-setcfanhome指定先前所定义的传输模式R1(config-crypto-map)#matchaddress101指定使用的反问控制列表这里的MATCH是匹配的意思R1(config)#ints0/0R1(config-if)#cryptomapcfanhomemap应用此表到端口R2和R1在最后的配置基本一样这里就不一一写出来了--------------------------------------------------------------------------------------------------------------------IPsec配置超级指南（大纲，说明，实例，实验）IPsec-VPN--virtualprivatenetwork什么是VPN--虚拟专用网VPN作用--通过公网实现远程连接，将私有网络联系起来VPN的类型：1、overlay的VPN，例如IPsec-VPN2、peer-to-peer的VPN，例如MPLS-VPN还可以分为二层VPN和三层VPNIPsec-VPN是三层的VPNIPsec-VPN的分类:1、site-to-siteVPN也叫LAN-to-LANVPN（要求两个站点都要有固定的IP）2、EASY-VPN也叫remoteVPN（通常用于连接没有固定IP的站点）IPsec-VPN提供三个特性：1、authentication每一个IP包的认证2、dataintegrity验证数据完整性,保证在传输过程中没有被人为改动3、confidentiality（私密性）数据包的加密《知识准备》在学习IPsec技术之前，先要学习以下几点知识1、加密机制2、DH密钥交换算法3、认证机制4、散列机制加密机制--密码学分为两类：对称加密算法---使用一把密匙来对信息提供安全的保护。只有一个密匙，即用来加密，也用来解密特点：1、速度快2、密文紧凑3、用于大量数据的传送对称加密代表：DES、3DES、AES3DES--有三个密匙，用第一个密匙加密，用第二个密匙解密，再用第三个密匙加密非对称加密---有一对密匙，一个叫公匙，一个叫私匙，如果用其中一个加密，必须用另一个解密。特点：1、速度慢2、密文不紧凑3、通常只用于数字签名，或加密一些小文件。非对称加密的代表：RSA、ECC非对称加密代表RSA--有一对密匙，一个公匙，一个私匙，私匙加密，公匙解密,或者公匙加密，私匙解密非对称加密可以有两种应用：1、公钥加密，私钥解密，叫加密2、私钥加密，公钥解密，叫数字签名理想的应用方法，用非对称加密法来传送对称加密的密匙，或用在数字签名当中。用对称加密法来加密实际的数据。数字签名不但证明了消息的内容，还证明了发送方的身份。密钥化的HASH--使用密钥对生成的消息摘要进行加密时，被称为加密的消息摘要。diffie-hellmankeyexchange--DH算法是一种安全的让通信双方协商出一个共享密匙的方法。用对方的公匙和自已的私匙产生一个双方都能知道的KEY(也叫共享的密秘)，作对称加密用DHgroup1的长度是768位(产生出的KEY的长度)DHgroup2的长度是1024位认证机制--（这里所指的是设备的认证，而不是用户的认证）现代的基本加密技术要依赖于消息之目标接收者已知的一项秘密，关键的问题是如何保障密钥的安全。1、用户名和密码2、OTP（onetimepassword）一次性密码3、生物认证（指纹、眼膜）4、预共享密钥5、数字证书6、加密临时值散列机制--用来做完整性检验散列函数（就是HASH）--把一大堆数据经过计算得到一个较小的、定长的值，散列是一种不可逆函数。这意味着一旦明文生成散列，就不可能或者说极端困难再将其由散列转换成明文。HASH的特点：1、不管输入什么数据，输出是定长的2、只要输入有一点微小变化，输出就会发生很大的变化，也就是雪崩效应3、不可逆HASH的算法：1、md5提供128位的输出md5是验证，不是加密技术，用来做哈希2、SHA提供160位的输出HMAC--使用散列的消息认证编码，或者叫密钥化的HASH，是一种使用HASH来进行认证的机制。可以用来做预共享密钥的认证。----------------------------------------------------------------------------------------IPsec的组成--IPsec协议集包括三个协议：1、internetkeyexchange(IKE)密匙交换协议协议双方使用的算法，密匙，协商在两个对等体之间建立一条遂道的参数，协商完成再用下面的方法封装数据。IKE动态的，周期性的在两个PEER之间更新密钥2、encapsulatingsecutitypayload(ESP)封装安全负载可以对数据包认证，加密,封装，IP中协议号--50，通常使用3DES来进行加密3、authenticationheader(AH)只提供认证，封装，不提供加密，明文传送,IP中协议号--51IPsecVPN的两种模式--一、传输模式：不产生新的IP头，在原包头之后插入一个字段,当通信点等于加密点用这种方法原始IP头|(ESP或AH)|Data二、通道模式：产生一个新IP包头，当通信点不等于加密点用这种方法，site-to-site的VPN就是这种模式,因为通信点的IP头通常不是一个公网上可路由的头部，而新的IP头用的是两个peer之间的IP地址。新IP头|(ESP或AH)|原始IP头|Data通信点：实际通信的设备加密点：进行加密的设备ESP封装中只对原始IP分组进行完整性检验AH封装中进行完整性检验还包括新的IP头--------------------------------------------------------------------------------------------IKE密匙交换协议IKE的作用：用于在两个peer之间协商建立IPsec-VPN通道1、协商参数2、产生KEY，交换KEY、更新KEY3、对双方进行认证4、对密钥进行管理也是由三个不同的协议组成：1、ISAKMP--定义了信息交换的体系结构,也就是格式2、SKEME--实现公钥加密认证的机制3、Oakley--提供在两个IPsec对等体间达成相同加密密钥的基于模式的机制ISAKMP基于UDP，源目端口都是500site-to-siteipsecVPN的协商过程,分两个阶段要想在两个站点之间安全的传输IP数据流，它们之间必须要先进行协商，协商它们之间所采用的加密算法，封装技术以及密钥。这个协商过程是通过IKE来完成的，IKE协商分两个阶段运行：阶段一：在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。阶段二：当对等体之间有了安全的管理连接之后，它们就可以接着协商用于构建安全数据连接的安全参数，这个协商过程是安全的，加了密的。协商完成后，将在两个站点间形成安全的数据连接。用户就可以利用这些安全的数据连接来传输自已的数据了。第一阶段：建立ISAKMPSA协商的是以下信息：1、对等体之间采用何种方式做认证，是预共享密钥还是数字证书。2、双方使用哪种加密算法3、双方使用哪种HMAC方式，是MD5还是SHA4、双方使用哪种Diffie-Hellman密钥组5、使用哪种协商模式（主模式或主动模式）6、还要协商SA的生存期第二阶段：建立IPsecSA协商的是以下信息：1、双方使用哪种封装技术，AH还是ESP2、双方使用哪种加密算法3、双方使用哪种HMAC方式，是MD5还是SHA4、使用哪种传输模式，是隧道模式还是传输模式5、还要协商SA的生存期第一阶段的协商过程总共有6条消息：1、消息1和消息2用于peer之间协商加密机制ISAKMP包含有ISAKMP头、SA负载、提议负载、转换负载等字段总之是让双方协商好我们之间使用啥子协议、加密方法具体是要协定四个东东：加密机制、散列机制、DH组、认证机制2、消息3和消息4用于相互之间交换公共密匙两端的peer先各自生成自已的私匙和公匙，同时还产生一个临时值。然后再使用消息3或消息4将各自的公匙和临时值进行交换。交换完公匙后，每个peer先根据对方的公匙和自已的私匙生成一个共享秘密（使用DH算法），再根据共享秘密、对方和自已的临时值、预共享密钥产生出三个SKEY：SKEYID_d--此密匙被用于计算后续IPsec密匙资源SKEYID_a--此密匙被用于提供后续IKE消息的数据完整性以及认证SKEYID_e--此密匙被用于对后续IKE消息进行加密消息3和4的ISAKMP包含以下字段：ISAKMP包头、密匙交换负载（KE）、临时值负载3、消息5和消息6用于两个peer之间进行认证，这两个消息是用SKEYID_e进行过加密的。每个peer根据一大堆东东(包括SKEYID-a、预共享密钥、标识ID)生成一个Hash值，再将这个值和自已的标识ID（通常是IP或主机名）发送给对方。当然，使用的就是消息5或消息6。每个peer收到对方的ID和Hash值后，先根据对方的ID找到对方的公匙，再计算本地Hash值,如果本地Hash值和对方的Hash值一样，就表示认证成功。这一步完成后，IKESA被建立，主模式认证完成第二阶段的协商过程总共有3条消息：1、第一、二条信息是两个peer之间协商形成IPsecSA的封装协议、模式、加密算法，还要互发用DH重新生成的新的公匙和临时值，以及其它一些参数，像SPI、ID等等。2、第三条消息通常由发起者发送给响应者，起一个确认的作用，也用来验证通信信道的有效性第三条信息发送前，两端的peer必须先用和DH相关的信息（新的私钥和对方公钥）生成一个新的DH秘密，然后用该值和SKEYID_d以及其他一些参数一起来生成最终加解密的KEY。--------------------