devbox
笔触狂放9
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

IPSec VPN原理与配置_ipsec安全策略可以实现网段互通么

作者:笔触狂放9 | 2024-03-27 19:08:06

ipsec安全策略可以实现网段互通么

目录

一、实验原理

ipsec vpn的目的

ipsec vpn的原理

二、  IPSec VPN概念

1、什么是IPSec

2、IPSec架构

3、SA  (Security Association,安全联盟)

4、  IPSec协议封装模式

三、实验操作

四、实验配置

1、项目要求:

一、路由器RTA 

1、更改路由器名字,配置端口ip,配置静态路由,实现网络可达

 2、配置ACL识别兴趣流

 3、创建安全提议

 4、创建安全策略

5、在接口上应用安全策略

二、在路由器RTB重复上述配置

验证:

路由器RTA:

1、查看IPSec提议中配置的参数

​2、查看指定IPSec策略摘要

3、查看指定IPSec策略详细信息 

路由器RTB:

1、查看IPSec提议中配置的参数

2、查看指定IPSec策略详细信息

通过抓包对比验证(在RTA的G0/0/1抓包对比)

1、使用IPSec VPN前的抓包:

2、使用IPSec VPN后的抓包,20.1.1.1与20.1.1.2之间的数据是加密的:

一、实验原理

IPSec VPN的主要原理是在两个网络之间建立一条虚拟的加密隧道(Tunnel),在这个隧道中对数据进行加密和认证,以保护数据的安全。

配置IPSec VPN可以在ENSP中模拟一些常见的VPN场景,例如:

Site-to-Site VPN:连接两个本地网络,使得两个网络之间的数据传输能够得到加密和保护,实现远程通信与数据共享。

Remote Access VPN:允许远程用户通过VPN客户端访问公司内部网络资源,以实现远程办公或者远程维护等需求。

配置IPSec VPN的目的主要是保障网络通信的安全性,避免数据在传输过程中被窃取、篡改或者被冒充,从而保护企业的核心机密资料,提高网络的安全和稳定性,同时也为企业提供更加灵活和方便的远程办公和管理方式。

  • ipsec vpn的原理

在ENSP中配置IPSec VPN需要遵循IPSec协议的规范,其基本原理是通过加密和认证,实现在公共网络上建立虚拟的私有网络,从而保证网络传输的安全性。

具体来说,配置IPSec VPN的过程中,会涉及以下几个方面的原理:

1. 认证机制:IPSec协议支持多种认证机制,包括预共享密钥(Pre-Shared Key)、数字证书等方式来验证连接双方的身份和合法性。

2. 加密机制:IPSec协议支持多种加密协议,包括DES、3DES、AES等常见对称加密协议,以及RSA、DSA等非对称加密协议,从而保障数据加密的安全性。

3. 隧道模式:在建立IPSec VPN隧道时,可以选择tunnel mode(隧道模式)或者transport mode(传输模式),其中tunnel mode是更常用的一种模式。tunnel mode可以将整个数据包加密,同时在数据包的外部新增一个IP头,这个IP头将作为数据包在Internet中传输的标识。

4. 安全协议:在建立IPSec VPN的过程中,还需要选择一种安全协议来实现认证和加密,其中包括AH协议(Authentication Header,身份验证头)和ESP协议(Encapsulating Security Payload,封装安全负载),它们可以分别用来提供身份验证和数据加密。

  IPSec VPN概念

1、什么是IPSec

IPSec   IPSec  ( Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据 文在网络上传输的机密性、完整性和防重放。

2、IPSec架构

IPSec VPN体系结构主要由AH  (Authentication Header )、  ESP  (Encapsulating Security Payload)  IKE  ( Internet Key Exchange)协议套件组成。

AH协议主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,  AH并不加密 保护的数据报。

ESP议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加 功能。

IKE议:用于自动协商AHESP所使用的密码算法。

3SA  (Security Association,安全联盟)

SA  (全联盟)  定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。安全联 盟是单向的,两个对等体之间的双向通信,至少需要两个SA

4  IPSec协议封装模式

IPSec协议有两种封装模式:  传输模式和隧道模式。

(1)传输模式

在传输模式下,   AHESP报头位于IP报头和传输层报头之

传输模式中,在IP报文头和高层协议之间插入AHESP头。传输模式中的AHESP主要对上层协 数据提供保护

传输模式中的AH:在IP头部之后插入AH头,对整个IP数据包进行完整性校验。

传输模中的ESP:在IP头部之后插入ESP头,在数据字段后插入尾部以及认证字段。对高层数据和 ESP尾部进行加密,对IP数据包中的ESP报文头,高层数据和ESP尾部进行完整性校验

传输模式中的AH+ESP:在IP头部之后插入AHESP头,在数据字段后插入尾部以及认证字

( 2)隧道模式

在隧道模式下  IPSec会另外生成一个新的IP报头,并封装在AHESP之前。

隧道模式中,  AHESP头封装在原始IP报文头之前,并另外生成一个新的IP头封装到AHESP    隧道模式可以完全地对原始IP数据报进行认证和加密,而且,可以使用IPSec对等体的IP地址来 隐藏客户机的IP地址。

隧道模式中AH:对整个原始IP报文提供完整性检查和认证,认证功能优于ESP。但AH不提供加 密功能,所通常和ESP联合使用。

隧道模式中ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部 进行完整性校验。

隧道模式中的AH+ESP:对整个原始IP报文和ESP尾部进行加密,  AH  ESP分别会对不同部分进行 完整性校验

三、实验操作

1. 首先需要检查报文发送方和接收方之间的网络层可达性,确保双方只有建立IPSec VPN隧道才能进 IPSec通信

2. 第二步是义数据流。因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选 择出需要进行IPSec理的兴趣流。可以通过配置ACL来定义和区分不同的数据流。

3. 第三步是配置IPSec安全提议。  IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算 和封装模式。安全协议包括AHESP,两者可以单独使用或一起使用。  AH支持MD5SHA-1认证  法;  ESP支持两种认证算法(MD5SHA-1)和三种加密算法(DES3DESAES)。为了能够 常传输数据流,安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模 如果要在两个安全网关之间建立IPSec隧道,建议将IPSec封装模式设置为隧道模式,以便隐藏 通信使用的实际源IP地址和目的IP地址。

4. 第四步是配置IPSec安全策略。  IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密 算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。  IPSec策略可分成两类: 手工建立SA的策略和IKE协商建立SA的策略

5. 第五步是在一个接口上应用IPSec安全策

四、实验配置

1、项目要求:

本项目的IPSec VPN连接是通过配置静态路由建立的,下一跳指向RTB。需要配置两个方向的静 由确保双向通信可达。建立一条高级ACL,用于确定哪些感兴趣流需要通过IPSec VPN隧道。高级ACL 够依据特定参过滤流量,继而对流量执行丢弃、通过或保护操作。

top:

一、路由器RTA 

1、更改路由器名字,配置端口ip,配置静态路由,实现网络可达

目的:

通过配置IPSec VPN静态路由可以实现两个网络之间的互通和数据传输。静态路由是一种手动配置的路由表项,当网络中的数据包需要跨越不同的子网时,系统将会根据静态路由表项来选择正确的数据传输路径。

下面是在ENSP中配置IPSec VPN静态路由的步骤:

在ENSP中创建IPSec VPN隧道。在创建VPN隧道时,需要设置两个本地网段之间的加密和认证方式。

在ENSP中配置IPSec VPN静态路由。在路由器上运行以下命令:

  1. sys
  2. sys RTA
  3. un in en
  4. int g0/0/1
  5. ip ad 20.1.1.1 24
  6. int g0/0/0
  7. ip ad 10.1.1.254 24
  8. ip route-static  10.1.2.0 24 20.1.1.2

 2、配置ACL识别兴趣流

目的:

IPSec VPN配置ACL(Access Control List)可以用来识别兴趣流(Traffic Selector),实现更高级别的安全控制。兴趣流是指从一个网络到另一个网络的特定数据流,如通过VPN隧道传输的特定类型的数据包或者应用协议。

IPSec VPN通过ACL识别兴趣流的目的是为了防止恶意攻击或者非法入侵,其中“恶意攻击”指的是攻击者通过VPN隧道向内部网络发送病毒、木马等恶意软件,而“非法入侵”指的是攻击者通过篡改IP地址等方式绕过网络访问控制,以非法的方式访问内部网络资源。

通过ACL识别兴趣流,VPN隧道可以容许或者拒绝识别的特定数据流,从而减少对网络流量的侵入、保护内部网络的安全。其具体实现过程如下:

在ENSP中配置ACL规则,用来匹配特定的兴趣流。ACL规则可以基于源地址、目标地址、协议类型、端口等多种方式来匹配数据流。

在ENSP中配置IPSec VPN隧道,指定使用的ACL规则。

在执行IPSec VPN隧道时,只有与所配置的ACL规则匹配的兴趣流才可以通过VPN隧道传输,否则将会被丢弃或者阻塞。

  1. acl 3001
  2. rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

 3、创建安全提议

目的:

IPSec VPN创建安全提议的目的是为了指定IPSec VPN会使用的加密、认证和数据完整性等安全参数,以实现更高级别的数据安全性和保护。

安全提议是对IPSec VPN进行的一些安全参数设置,包括:

加密算法:指定IPSec VPN采用的加密算法,如DES、3DES、AES等。

身份验证方式:指定IPSec VPN用于验证连接双方身份的方法,如预共享密钥(PSK)或数字证书。

安全协议:指定IPSec VPN用于实现认证和加密的安全协议,如AH协议或ESP协议。

散列算法:指定IPSec VPN用于实现数据完整性验证的散列算法,如HMAC-SHA-1和HMAC-SHA-256等。

  1. ipsec proposal tran1	
  2. esp authentication-algorithm sha1
  3. q

 

 4、创建安全策略

目的:

IPSec VPN创建安全策略的目的是为了定义流量的处理方式,从而实现对网络流量的安全控制和管理。

安全策略是指对特定流量应用的各种安全规则集合,通过安全策略可以实现进出口流量的过滤和管理,包括访问控制列表(ACL)、IP地址和端口等信息的过滤。

主要包括以下三个方面:

  1. 安全性:安全策略可以用于限制特定流量的进出,从而实现安全控制和保护。

  2. 可伸缩性:安全策略可以根据管理员的设置进行动态调整,以满足不断变化的网络需求。

  3. 灵活性:安全策略是一种高度灵活的方式,可以允许或拒绝来自任何源IP地址的数据包,也可以过滤任何类型和端口的数据流量。

  1. ipsec  policy P1 10 manual
  2. security acl 3001
  3. proposal tran1
  4. tunnel
  5. tunnel
  6. sa spi
  7. sa spi
  8. sa string-key outbound esp simple huawei
  9. sa string-key inbound esp simple huawei

5、在接口上应用安全策略

目的:

IPSec VPN在接口上应用安全策略的目的是为了保护内部网络的安全性。通过在IPSec VPN隧道与特定接口之间应用安全策略,可以控制流经VPN隧道的流量,从而增强内部网络的安全性和保密性。

具体来说,将安全策略应用于IPSec VPN接口的目的是:

控制访问:通过定义安全策略规则,可以确定是否允许某一个流量通过IPSec VPN隧道和特定接口访问网络。

保护资源:通过特定接口上的安全策略,可以防止未被授权的访问,从而保护关键数据和资源。

限制传播:通过针对特定接口进行的IPSec VPN隧道流量过滤,可以控制病毒、木马和其他恶意软件的传播,从而保护内部网络并停止外部攻击。

在应用IPSec VPN安全策略的同时,需要注意以下几点:

安全策略需要与IPSec VPN的安全策略相兼容,以确保用户的VPN连接可以正常使用。

确保在安全策略上配置的规则不会影响到其它规则的正常工作,以确保生产环境的正常运行。

建立定期审计机制,检查和修复潜在的安全漏洞和缺陷,提升内部网络的安全保障和稳定性。

  1. interface G0/0/1
  2. ipsec policy P1
  3. quit
  4. 验证:
  5. display ipsec proposal #查看IPSec提议中配置的参数
  6. display ipsec policy brief # 查看指定IPSec策略摘要
  7. display ipsec policy # 查看指定IPSec策略详细信息

二、在路由器RTB重复上述配置

  1. sys
  2. sys RTB
  3. un in en
  4. int g0/0/1
  5. ip ad 20.1.1.2 24
  6. int g0/0/0
  7. ip ad 10.1.2.254 24	
  8.  
  9. ip route-static 10.1.1.0 24 20.1.1.1
  10.  
  11. acl 3001
  12. rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
  13.  
  14. ipsec proposal tran1	
  15. esp authentication-algorithm sha1
  16. q
  17.  
  18. ipsec policy Pl 10 manual 
  19. security acl 3001
  20. proposal tran1
  21. tunnel remote 20.1.1.1
  22. tunnel local 20.1.1.2
  23. sa spi outbound esp 12345
  24. sa spi inbound esp 54321
  25. sa string-key outbound esp simple huawei
  26. sa string-key inbound  esp simple huawei
  27.  
  28. int g0/0/1
  29. ipsec policy  Pl

验证:

路由器RTA

1、查看IPSec提议中配置的参数 

display ipsec proposal #查看IPSec提议中配置的参数


2、查看指定IPSec策略摘要

display ipsec policy brief # 查看指定IPSec策略摘要

3、查看指定IPSec策略详细信息 

display ipsec policy # 查看指定IPSec策略详细信息

路由器RTB

1、查看IPSec提议中配置的参数

display ipsec proposal #查看IPSec提议中配置的参数

2、查看指定IPSec策略详细信息

display ipsec policy # 查看指定IPSec策略详细信息

通过抓包对比验证(在RTAG0/0/1抓包对比)

1、使用IPSec VPN前的抓包:

2、使用IPSec VPN后的抓包,20.1.1.120.1.1.2之间的数据是加密的:

实验结束

总结:

  1. IPSec VPN工作原理:IPSec VPN通过使用不同的加密技术和算法,对网络通信进行加密和认证,以实现安全保护。

  2. IPSec VPN隧道模式:IPSec VPN隧道模式分为主动模式和被动模式,主动模式和被动模式用于实现双重认证并建立IPSec VPN隧道。

  3. IPSec VPN组件:主要包括IKE协议、ESP协议和AH协议等组件。

  4. IPSec VPN的优点:IPSec VPN可以实现企业内部网络的数据加密、认证、完整性校验,同时避免企业内部网络出现暴露风险,保证了企业数据的安全性和机密性。

  5. IPSec VPN配置:IPSec VPN的配置包括安全提议、安全策略、ACL、隧道、IPSec加密算法、身份验证方式等组件。

  6. IPSec VPN优化:可进行分片处理、MTU的设置、路由分发、网络策略等优化措施,以达到优化IPSec VPN性能的目的。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/326390
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号