华为数通 iPsec

iPsec是一个框架整合,并不是指一个协议,引入多重加密算法、验证算法和密钥管理机制。

  • ipsec核心协议
    • 安全协议ESP有加密、AH没有加密
    • AH协议号51、ESP协议号50
    • 验证算法中MD5和SHA-1存在安全隐患,优先使用SHA-2或者SM3算法
    • 加密算法中DES和3DES存在安全隐患,优先使用AES、SM1或者SM4
  • ipsec封装协议
    • 传输模式
      • 主要应用场景:经常用于主机和主机之间端到端通信的数据保护。
      • 封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据。
    • 隧道模式
      • 主要应用场景:经常用于私网与私网之间通过公网进行通信,建立安全VPN通道。
      • 封装方式:增加新的IP(外网IP)头,其后是ipsec包头,之后再将原来的整个数据包封装。
华为数通  iPsec
华为数通  iPsec

配置实例

华为数通  iPsec

iPsec(手动)

(手动模式适用于组网较小的网络拓扑,手动模式因为不牵扯到IKE所以配置相对简单。但是手动很不安全的一点就是认证密钥始终是相同的,所以时间久了也是有被破解的风险)

AR1:
1、配置基本上网环境:
[AR1]dhcp enable
[AR1]acl number 3000    # NAT上网策略,排除走ipsec的网段,再放行其他所有
     rule 1 deny ip destination 192.168.20.0 0.0.0.255 
     rule 2 permit ip
[AR1]interface GigabitEthernet0/0/1
     ip address 192.168.10.254 255.255.255.0 
     dhcp select interface
[AR1]interface GigabitEthernet0/0/0
     ip address 12.0.0.1 255.255.255.0 
     nat outbound 3000    # 出局接口应用NAT策略
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2    # 设置默认出局路由
2、配置提议
[AR1]acl 3001
     rule 1 permit ip so 192.168.10.0 0.0.0.255 des 192.168.20.0 0.0.0.255    # 配置感兴趣流
[AR1]ipsec proposal hefei    # 创建并配置IPSec提议。
     encapsulation-mode tunnel    # 配置报文的封装模式。缺省tunnel隧道模式
     transform esp    # 配置隧道采用的安全协议。缺省esp
     esp authentication-algorithm sha2-256    # 配置ESP协议使用的认证算法。
     esp encryption-algorithm aes-128    # 配置ESP加密算法。
3、配置策略
[AR1]ipsec policy P1 10 manual    # 创建并配置IPSec策略(manual手动)。
     security acl 3001    # 配置引用的ACL。
     proposal hefei    # 配置引用的提议。
     tunnel local 12.0.0.1    # 配置安全隧道的本端地址。
     tunnel remote 23.0.0.3    # 配置安全隧道的对端地址。
     sa spi inbound/outbound esp 12345    # 配置SA的SPI。入方向和出方向都必须设置,并且双方的必须相互对应。
     sa string-key inbound/outbound esp cipher demo    # 配置SA的认证密钥。入方向和出方向都必须设置,并且双方的必须相互对应。
4、应用策略
[AR1]interface GigabitEthernet0/0/0
     ipsec policy P1    # 在出接口上应用指定的安全策略组
AR2:
[AR2]interface GigabitEthernet0/0/0
     ip address 12.0.0.2 255.255.255.0 
[AR2]interface GigabitEthernet0/0/1
     ip address 23.0.0.2 255.255.255.0
[AR2]interface LoopBack0
     ip address 2.2.2.2 255.255.255.255     # 模拟公网
AR3:
1、配置基本上网环境:
[AR3]dhcp enable
[AR3]acl number 3000    # NAT上网策略,排除走ipsec的网段,再放行其他所有
     rule 1 deny ip destination 192.168.10.0 0.0.0.255 
     rule 2 permit ip
[AR3]interface GigabitEthernet0/0/1
     ip address 192.168.20.254 255.255.255.0 
     dhcp select interface
[AR3]interface GigabitEthernet0/0/0
     ip address 23.0.0.3 255.255.255.0 
     nat outbound 3000    # 出局接口应用NAT策略
[AR3]ip route-static 0.0.0.0 0.0.0.0 23.0.0.2    # 设置默认出局路由
2、配置提议
[AR3]acl 3001
     rule 1 permit ip so 192.168.20.0 0.0.0.255 des 192.168.10.0 0.0.0.255    # 配置感兴趣流
[AR3]ipsec proposal shanghai    # 创建并配置IPSec提议。
     encapsulation-mode tunnel    # 配置报文的封装模式。缺省tunnel隧道模式
     transform esp    # 配置隧道采用的安全协议。缺省esp
     esp authentication-algorithm sha2-256    # 配置ESP协议使用的认证算法。
     esp encryption-algorithm aes-128    # 配置ESP加密算法。
3、配置策略
[AR3]ipsec policy P2 10 manual    # 创建并配置IPSec策略(manual手动)。
     security acl 3001    # 配置引用的ACL。
     proposal shanghai    # 配置引用的提议。
     tunnel local 23.0.0.3    # 配置安全隧道的本端地址。
     tunnel remote 12.0.0.1    # 配置安全隧道的对端地址。
     sa spi inbound/outbound esp 12345    # 配置SA的SPI。入方向和出方向都必须设置,并且双方的必须相互对应。
     sa string-key inbound/outbound esp cipher demo    # 配置SA的认证密钥。入方向和出方向都必须设置,并且双方的必须相互对应。
4、应用策略
[AR3]interface GigabitEthernet0/0/0
     ipsec policy P2    # 在出接口上应用指定的安全策略组
验证状态
dis ipsec sa    # 查看手动ipsec
dis ike sa    # 查看自动ipsec
华为数通  iPsec
1、查看PC1访问公网
2、PC1访问PC2经过VPN加密,公网地址转换后的流量

iPsec IKE(自动)

  • 阶段1(Phase 1)
    • 在网络上建立一个 IKE SA,为阶段2协商提供保护
    • 分主模式(Main Mode)和野蛮模式(Aggressive Mode)
  • 阶段2(Phase 2)
    • 在阶段1建立的IKE SA的保护下完成 IPSec SA 的协商
    • 快速模式(Quick Mode)
华为数通  iPsec
第一阶段主模式六个报文,最后两个报文加密
第二阶段三个报文,所有报文加密
image.png
AR1:
1、配置基本上网环境:
[AR1]dhcp enable
[AR1]acl number 3000    # NAT上网策略,排除走ipsec的网段,再放行其他所有
     rule 1 deny ip destination 192.168.20.0 0.0.0.255 
     rule 2 permit ip
[AR1]interface GigabitEthernet0/0/1
     ip address 192.168.10.254 255.255.255.0 
     dhcp select interface
[AR1]interface GigabitEthernet0/0/0
     ip address 12.0.0.1 255.255.255.0 
     nat outbound 3000    # 出局接口应用NAT策略
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2    # 设置默认出局路由
2、配置ipsec提议
[AR1]acl 3001
     rule 1 permit ip so 192.168.10.0 0.0.0.255 des 192.168.20.0 0.0.0.255    # 配置感兴趣流
[AR1]ipsec proposal hefei    # 创建并配置IPSec提议。
     encapsulation-mode tunnel    # 配置报文的封装模式。缺省tunnel隧道模式
     transform esp    # 配置隧道采用的安全协议。缺省esp
     esp authentication-algorithm sha2-256    # 配置ESP协议使用的认证算法。
     esp encryption-algorithm aes-128    # 配置ESP加密算法。
3、配置ike提议
[AR1]ike proposal 10    # 创建并配置IKE提议。
     authentication-method pre-share    # 配置身份认证方式。
     authentication-algorithm sha1    # 配置数据认证算法,模拟器没有sha2-* 这里改用sha1
     encryption-algorithm aes-cbc-256    # 配置加密算法。
     dh group14    # 配置密钥交换算法。
     sa duration 3600    # sa超时时间,缺省86400
     # 下面是IKEv2命令,v1这里不用敲
     integrity-algorithm hmac-sha2-256    # 配置完整性算法
     prf hmac-sha2-256    # 配置PRF算法
4、创建ike对等体(邻居)
[AR1]ike peer hefei v1    # 创建并配置IKE对等体。
     exchange-mode main    # 配置模式。缺省main
     pre-shared-key cipher huawei    # 配置PSK。
     ike-proposal 10    # 配置引用的IKE提议。
     local-address 12.0.0.1    # 配置本地IP地址。
     remote-address 23.0.0.3    # 配置对端IP地址。
     # 下面为可选命令
     dpd type periodic    # dpd对端状态检测,类型为周期性发送,不需要对端一致
     dpd idle-time 10    # 检测时间间隔为10/秒
     dpd retransmit-interval 3    # 重传时间间隔为3/秒
5、创建ipsec策略
[AR1]ipsec policy P2 10 isakmp    # 创建并配置IPSec策略(isakmp自动)。
     security acl 3001    # 配置引用的ACL。
     proposal hefei    # 配置引用的IPSec提议。
     ike-peer hefei    # 配置引用的IKE对等体。
     #下面为可选命令
     tunnel local applied-interface    # 当安全策略绑定的接口ip地址不固定或者多个的话可以执行该命令指定安全策略应用接口的地址为ipsec隧道的本端地址
     alias hefei    # 指定策略别名
     pfs dh-group14    # 第二阶段重新通过dh算法协商密钥,提高安全性。第一阶段和第二阶段的DH组要一致。
     sa trigger-mode auto    # 缺省就是auto自动触发
     sa duration traffic-based 5242880    # 缺省5242880/kb
     sa duration time-based 3600    # 缺省3600/秒
     route inject dynamic preference 20    # 反向路由注入,自动将对端私网引入路由表并设置优先级为20
[AR1]interface GigabitEthernet0/0/0
     ipsec policy P2    # 在出接口上应用指定的安全策略组。
AR2:
[AR2]interface GigabitEthernet0/0/0
     ip address 12.0.0.2 255.255.255.0 
[AR2]interface GigabitEthernet0/0/1
     ip address 23.0.0.2 255.255.255.0
[AR2]interface LoopBack0
     ip address 2.2.2.2 255.255.255.255     # 模拟公网
AR3:
1、配置基本上网环境:
[AR3]dhcp enable
[AR3]acl number 3000    # NAT上网策略,排除走ipsec的网段,再放行其他所有
     rule 1 deny ip destination 192.168.10.0 0.0.0.255 
     rule 2 permit ip
[AR3]interface GigabitEthernet0/0/1
     ip address 192.168.20.254 255.255.255.0 
     dhcp select interface
[AR3]interface GigabitEthernet0/0/0
     ip address 23.0.0.3 255.255.255.0 
     nat outbound 3000    # 出局接口应用NAT策略
[AR3]ip route-static 0.0.0.0 0.0.0.0 23.0.0.2    # 设置默认出局路由
2、配置ipsec提议
[AR3]acl 3001
     rule 1 permit ip so 192.168.20.0 0.0.0.255 des 192.168.10.0 0.0.0.255    # 配置感兴趣流
[AR3]ipsec proposal shanghai    # 创建并配置IPSec提议。
     encapsulation-mode tunnel    # 配置报文的封装模式。缺省tunnel隧道模式
     transform esp    # 配置隧道采用的安全协议。缺省esp
     esp authentication-algorithm sha2-256    # 配置ESP协议使用的认证算法。
     esp encryption-algorithm aes-128    # 配置ESP加密算法。
3、配置ike提议
[AR3]ike proposal 10    # 创建并配置IKE提议。
     authentication-method pre-share    # 配置身份认证方式。
     authentication-algorithm sha1    # 配置数据认证算法,模拟器没有sha2-* 这里改用sha1
     encryption-algorithm aes-cbc-256    # 配置加密算法。
     dh group14    # 配置密钥交换算法。
     sa duration 3600    # sa超时时间,缺省86400
     # 下面是IKEv2命令,v1这里不用敲
     integrity-algorithm hmac-sha2-256    # 配置完整性算法
     prf hmac-sha2-256    # 配置PRF算法
4、创建ike对等体(邻居)
[AR3]ike peer shanghai v1    # 创建并配置IKE对等体。
     exchange-mode main    # 配置模式。缺省main
     pre-shared-key cipher huawei    # 配置PSK。
     ike-proposal 10    # 配置引用的IKE提议。
     local-address 23.0.0.3    # 配置本地IP地址。
     remote-address 12.0.0.1    # 配置对端IP地址。
     # 下面为可选命令
     dpd type periodic    # dpd对端状态检测,类型为周期性发送,不需要对端一致
     dpd idle-time 10    # 检测时间间隔为10/秒
     dpd retransmit-interval 3    # 重传时间间隔为3/秒
5、创建ipsec策略
[AR3]ipsec policy P2 10 isakmp    # 创建并配置IPSec策略(isakmp自动)。
     security acl 3001    # 配置引用的ACL。
     proposal shanghai    # 配置引用的IPSec提议。
     ike-peer shanghai    # 配置引用的IKE对等体。
     #下面为可选命令
     tunnel local applied-interface    # 当安全策略绑定的接口ip地址不固定或者多个的话可以执行该命令指定安全策略应用接口的地址为ipsec隧道的本端地址
     alias shanghai    # 指定策略别名
     pfs dh-group14    # 第二阶段重新通过dh算法协商密钥,提高安全性。第一阶段和第二阶段的DH组要一致。
     sa trigger-mode auto    # 缺省就是auto自动触发
     sa duration traffic-based 5242880    # 缺省5242880/kb
     sa duration time-based 3600    # 缺省3600/秒
     route inject dynamic preference 20    # 反向路由注入,自动将对端私网引入路由表并设置优先级为20
[AR3]interface GigabitEthernet0/0/0
     ipsec policy P2    # 在出接口上应用指定的安全策略组。
华为数通  iPsec
vpn隧道连接正常,内网互通正常
华为数通  iPsec
pc1访问公网正常
华为数通  iPsec
isakmp端口是udp500
华为数通  iPsec
主模式最后两个报文信息加密(encrypted data)

查看命令:
display ike proposal 验证IKE提议。
display ike/ipsec sa 验证安全联盟。

华为数通  iPsec
华为数通  iPsec
华为数通  iPsec

作者:Zleoco,如若转载,请注明出处:https://www.zleoco.com/?p=1579

发表回复

您的电子邮箱地址不会被公开。