IPSEC ×××的复习
拓扑图如上,启用R1 R2 R5三个路由器 ,R1的环回和R2的环回之间的访问走×××,R1的环回192.168.1.0/24
R2的环回192.168.2.0/24
R1#show version
Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2) 路由器的版本标识中如果有k标志,则说明该路由器可以使用RSA DH 生成公钥和私钥
实验结果
R1#show crypto isakmp sa 查看第一阶段数据库
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
25.1.1.1 15.1.1.1 QM_IDLE 1001 0 ACTIVE
IPv6 Crypto ISAKMP SA
state 为QM的时候,代表隧道已经建立
R1#show crypto ipsec sa 查看第二阶段数据库
interface: Serial1/2
Crypto map tag: openlab, local addr 15.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 25.1.1.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14
#pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 15.1.1.1, remote crypto endpt.: 25.1.1.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2
current outbound spi: 0xC39B730(205109040)
inbound esp sas:
spi: 0xC1A0D62B(3248543275)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: 1, crypto map: openlab
sa timing: remaining key lifetime (k/sec): (4429687/1379)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC39B730(205109040)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: 2, crypto map: openlab
sa timing: remaining key lifetime (k/sec): (4429687/1377)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
inbound和outbound的配置是一样的
R1#ping 192.168.2.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
.!!!!(为是触发更新,隧道的建立需要流量的触发,所以第一个包会丢失)
Success rate is 80 percent (4/5), round-trip min/avg/max = 36/42/52 ms
R1#ping 192.168.2.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
配置要点
1. 第一阶段的数据库
若选择的认证方式是共享密钥还需要配置共享密钥
2. 配置ACL
3. 配置第二阶段数据库
4. 最后使用一张MAP将以上配置组合在一起,并将map在接口上进行调用即可。
R1的配置
#show run
crypto isakmp policy 10 第一阶段数据库
encr 3des
hash md5
authentication pre-share 认证方式选择的是共享密钥
group 2
crypto isakmp key 6 cisco123 address 25.1.1.1 设置共享密钥 address写的是对端的IP地址
crypto ipsec transform-set xxx esp-3des esp-md5-hmac 第二阶段数据库
crypto map openlab 10 ipsec-isakmp 匹配到同一张map中
set peer 25.1.1.1
set transform-set xxx
match address 100
interface Loopback0
ip address 192.168.1.1 255.255.255.0
interface Serial1/2
ip address 15.1.1.1 255.255.255.0
serial restart-delay 0
crypto map openlab 调用在接口上
ip route 0.0.0.0 0.0.0.0 15.1.1.2
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 抓取走××× 的流量
R2的配置(和R1相同道理)
#show run
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 6 cisco123 address 15.1.1.1
crypto ipsec transform-set xxx esp-3des esp-md5-hmac
crypto map openlab 10 ipsec-isakmp
set peer 15.1.1.1
set transform-set xxx
match address 100
interface Loopback0
ip address 192.168.2.1 255.255.255.0
interface Serial1/2
ip address 25.1.1.1 255.255.255.0
serial restart-delay 0
crypto map openlab
ip route 0.0.0.0 0.0.0.0 25.1.1.2
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R5的配置
interface Loopback0
ip address 5.5.5.5 255.255.255.0
interface Serial1/0
ip address 15.1.1.2 255.255.255.0
serial restart-delay 0
interface Serial1/1
ip address 25.1.1.2 255.255.255.0
serial restart-delay 0
抓取R1的S1/2的流量
只能看见公有地址,发现三层之后就变成ESP,所有的流量都被加密了。
2018.11.6 复习IPSEC ×××
××× 的分类
LAN-TO-LAN 两端的IP地址固定
包括:GRE,ATM,MPLS ×××,Frame Relay(帧中继)
Remote ××× 一端固定,另外一端不固定
包括:IPSec ×××,PPTP(Windows),L2TP+IPSEC(Windows),SSL ×××(主要用于网页)
IPSec ×××
安全性
私密,完整,源认证、不可否认
IPSEC框架
加密 DES 3DES AES
验证 MD5 SHA-1 完整性(校验)
封装协议 ESP(加密+校验) AH(只进行校验)
模式 transport(传输模式,从三层之后进行封装)tunnel(隧道模式,从四层之后开始封装)
密钥有效期 3600s 1800s
密码算法
对称算法 DES 3DES AES(包括128 192 256)
非对称算法 RSA DH
对称算法加密:同一密钥进行加密和解密 加密后数据变大较小
优点:速度快 安全 紧凑
缺点:明文传输密钥可能会被劫持或者窃听;密钥数量多(根据参与者数量成平方增长,指数增长);数量多,管理存储问题;不支持数字签名和不可否认
非对称算法加密:加密和解密用的不是同一个密钥;仅仅用于密钥签名和数字签名;加密后数据变大较多
优点:因为加密后数据大,所以更加安全;不必发送密钥给接收者,不用安心密钥会被中途劫持的问题;密钥数量和参与者的数量一样;不需要事先与参与者之间建立关系以进行交换密钥;支持数字签名和不可否认
缺点:加密速度慢;加密后数据长度大
2018.11.8
校验
(只进行比较前96位)MD5 128位 不等长的输入,等长的输出 经常使用的校验算法
SHA 160 256 384 512
散列函数的特点
固定大小、雪崩效应,单向,冲突避免(两个不一样的数据生成的值不一样),建议MD5,流量实际传递的过程中仅仅只携带96位的校验
流行的散列算法
MD5,SHA-1
ESP 可以对流量进行加密和校验
AH 只能对流量进行校验
IKE 建立×××的过程
CA证书机构 核实证书的真实性
2018年11月14日
IKE建立隧道,ESP加密,共享密钥保证不可否认性
EASY IP地址下放 1.5阶段
两个数据库进行核实,两边的一致就会建立×××
iskmp数据库 第一阶段 明文发送
(1)
A.数据包中含有的信息有:加密算法(默认DES)HASH算法(默认SHA) 身份认证方式 (数字签名进或者共享密钥) SA有效期 86400(一天更换一次)
B. ** DH组号 1/2/5 2-1024位安全 只能使用DH算法
第一阶段的数据库是为了加密第二阶段的数据库
Iskmp sa第一阶段 前四个包为明文,后两个包为密文
1.2包 SA如果一样,建立×××
3.4包 DH算法的公钥互相交换,定义公钥长度
5.6包 流量被加密,密钥被DH加密。HASH,对端的IP地址,主机名称,使用数字签名(**共享密钥)
Ipsec sa 第二阶段
全部是加密的流量
**(1)ACL (走××× 的流量)抓取流量,关注源IP和目标IP
**(2)P2 SA 第二阶段数据库
模式
超时时间
封装协议
加密算法
HASH算法