IPSEC ×××的复习

IPSEC ×××的复习

拓扑图如上,启用R1 R2 R5三个路由器 ,R1的环回和R2的环回之间的访问走×××,R1的环回192.168.1.0/24

R2的环回192.168.2.0/24

R1#show version

Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2)  路由器的版本标识中如果有k标志,则说明该路由器可以使用RSA DH 生成公钥和私钥

 

实验结果

R1#show crypto isakmp sa  查看第一阶段数据库

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

25.1.1.1        15.1.1.1        QM_IDLE           1001    0 ACTIVE

 

IPv6 Crypto ISAKMP SA

 

state 为QM的时候,代表隧道已经建立

 

R1#show crypto ipsec sa   查看第二阶段数据库

 

interface: Serial1/2

    Crypto map tag: openlab, local addr 15.1.1.1

 

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

   current_peer 25.1.1.1 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

    #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 1, #recv errors 0

 

     local crypto endpt.: 15.1.1.1, remote crypto endpt.: 25.1.1.1

     path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2

     current outbound spi: 0xC39B730(205109040)

 

     inbound esp sas:

      spi: 0xC1A0D62B(3248543275)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 1, flow_id: 1, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1379)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

          

     inbound ah sas:

          

     inbound pcp sas:

          

     outbound esp sas:

      spi: 0xC39B730(205109040)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 2, flow_id: 2, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1377)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

          

     outbound ah sas:

          

     outbound pcp sas:

 

inbound和outbound的配置是一样的

 

R1#ping 192.168.2.1 source 192.168.1.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

.!!!!(为是触发更新,隧道的建立需要流量的触发,所以第一个包会丢失)

Success rate is 80 percent (4/5), round-trip min/avg/max = 36/42/52 ms

R1#ping 192.168.2.1 source 192.168.1.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!

 

配置要点

1. 第一阶段的数据库

若选择的认证方式是共享密钥还需要配置共享密钥

2. 配置ACL

3. 配置第二阶段数据库

4. 最后使用一张MAP将以上配置组合在一起,并将map在接口上进行调用即可。

 

R1的配置

#show run

 

crypto isakmp policy 10   第一阶段数据库

 encr 3des

 hash md5

 authentication pre-share   认证方式选择的是共享密钥

 group 2  

 

crypto isakmp key 6 cisco123 address 25.1.1.1    设置共享密钥  address写的是对端的IP地址

       

crypto ipsec transform-set xxx esp-3des esp-md5-hmac 第二阶段数据库

       

crypto map openlab 10 ipsec-isakmp   匹配到同一张map中

 set peer 25.1.1.1

 set transform-set xxx

 match address 100

 

interface Loopback0

 ip address 192.168.1.1 255.255.255.0

     

interface Serial1/2

 ip address 15.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab           调用在接口上

    

ip route 0.0.0.0 0.0.0.0 15.1.1.2

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   抓取走××× 的流量

 

R2的配置(和R1相同道理)

#show run

      

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2  

crypto isakmp key 6 cisco123 address 15.1.1.1

        

crypto ipsec transform-set xxx esp-3des esp-md5-hmac

        

crypto map openlab 10 ipsec-isakmp

 set peer 15.1.1.1

 set transform-set xxx

 match address 100

          

interface Loopback0

 ip address 192.168.2.1 255.255.255.0

       

interface Serial1/2

 ip address 25.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab    

ip route 0.0.0.0 0.0.0.0 25.1.1.2

 

access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

 

R5的配置

interface Loopback0

 ip address 5.5.5.5 255.255.255.0

       

interface Serial1/0

 ip address 15.1.1.2 255.255.255.0

 serial restart-delay 0

      

interface Serial1/1

 ip address 25.1.1.2 255.255.255.0

 serial restart-delay 0

 

抓取R1的S1/2的流量

IPSEC ×××的复习

 

只能看见公有地址,发现三层之后就变成ESP,所有的流量都被加密了。

 

2018.11.6 复习IPSEC ×××

××× 的分类

LAN-TO-LAN 两端的IP地址固定  

包括:GRE,ATM,MPLS ×××,Frame Relay(帧中继)

Remote ××× 一端固定,另外一端不固定

包括:IPSec ×××,PPTP(Windows),L2TP+IPSEC(Windows),SSL ×××(主要用于网页)

 

IPSec ×××

安全性

私密,完整,源认证、不可否认

 

IPSEC框架

加密 DES 3DES AES

验证 MD5 SHA-1             完整性(校验)

封装协议 ESP(加密+校验) AH(只进行校验)

模式 transport(传输模式,从三层之后进行封装)tunnel(隧道模式,从四层之后开始封装)

密钥有效期 3600s 1800s

 

密码算法

对称算法 DES 3DES AES(包括128 192 256)

非对称算法 RSA DH

 

对称算法加密:同一密钥进行加密和解密  加密后数据变大较小

优点:速度快 安全 紧凑

缺点:明文传输密钥可能会被劫持或者窃听;密钥数量多(根据参与者数量成平方增长,指数增长);数量多,管理存储问题;不支持数字签名和不可否认

 

非对称算法加密:加密和解密用的不是同一个密钥;仅仅用于密钥签名和数字签名;加密后数据变大较多

优点:因为加密后数据大,所以更加安全;不必发送密钥给接收者,不用安心密钥会被中途劫持的问题;密钥数量和参与者的数量一样;不需要事先与参与者之间建立关系以进行交换密钥;支持数字签名和不可否认

缺点:加密速度慢;加密后数据长度大

 

2018.11.8

校验

(只进行比较前96位)MD5    128位 不等长的输入,等长的输出  经常使用的校验算法

SHA    160 256 384 512

 

散列函数的特点

固定大小、雪崩效应,单向,冲突避免(两个不一样的数据生成的值不一样),建议MD5,流量实际传递的过程中仅仅只携带96位的校验

 

流行的散列算法

MD5,SHA-1

 

ESP 可以对流量进行加密和校验

AH 只能对流量进行校验

 

IKE  建立×××的过程

CA证书机构 核实证书的真实性

 

2018年11月14日

IKE建立隧道,ESP加密,共享密钥保证不可否认性

 

EASY  IP地址下放  1.5阶段

两个数据库进行核实,两边的一致就会建立×××

iskmp数据库  第一阶段 明文发送

1)

A.数据包中含有的信息有:加密算法(默认DES)HASH算法(默认SHA) 身份认证方式 (数字签名进或者共享密钥) SA有效期 86400(一天更换一次)

 

B.  ** DH组号 1/2/5 2-1024位安全 只能使用DH算法

 

第一阶段的数据库是为了加密第二阶段的数据库

 

Iskmp sa第一阶段 前四个包为明文,后两个包为密文

 

1.2包 SA如果一样,建立×××

3.4包 DH算法的公钥互相交换,定义公钥长度

5.6包 流量被加密,密钥被DH加密。HASH,对端的IP地址,主机名称,使用数字签名(**共享密钥)

 

Ipsec sa  第二阶段

全部是加密的流量

**(1)ACL   (走××× 的流量)抓取流量,关注源IP和目标IP

**(2)P2 SA  第二阶段数据库

模式

超时时间

封装协议

加密算法

HASH算法