IPSEC在企业网中的应用

标签：ipsec vpn

IPSec简介：IPSec是一种开放标准的框架结构的Internet协议安全性 ，通过使用加密的安全服务以确保在 Internet 协议网络上进行保密而安全的通讯。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。

目的：

1.保护 IP 数据包的内容。

2.通过数据包筛选及受信任通讯的实施来防御网络攻击。

 这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。其中以接收和发送最为重要。

结构：IPsec协议工作在OSI 模型的第三层，使其在单独使用时适于保护基于TCP或UDP的协议（如 安全套接子层（SSL）就不能保护UDP层的通信流）。这就意味着，与传输层或更高层的协议相比，IPsec协议必须处理可靠性和分片的问题，这同时也增加了它的复杂性和处理开销。相对而言，SSL/TLS依靠更高层的TCP（OSI的第四层）来管理可靠性和分片。

特性：身份验证，完整性，保密性，抗重播

其中的安全协议如下：

(1)AH(AuthenticationHeader) 协议。

它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。

(2)ESP(EncapsulatedSecurityPayload) 协议。

它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。

安全联盟SA

安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟。

封装模式

隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。定义了一个通用格式。

下面给大家讲一个案例，更加详细的来体会IPsec在企业中的运用。

下图拓扑图中三个防火墙分别代表1.0,2.0,3.0的网络，中间的交换机看成一个intnet网络，为了让私有地址1.0可以访问2.0,3.0，在这里我们可以利用IPsec安全协议来架构VPN隧道。

配置

首先配置

首先配置交换机

[ISP]vlan 2

[ISP-vlan2]port eth0/0/2

[ISP-vlan2]vlan10

[ISP-vlan10]port eth0/0/10

[ISP-vlan10]vlan 20

[ISP-vlan20]port eth0/0/20

[ISP]intvlan 2

[ISP-Vlanif2]ip add 61.130.130.2 255.255.255.0

[ISP]intvlan 10

[ISP-Vlanif10]ipadd 61.130.130.6 255.255.255.0

[ISP]intvlan 20

[ISP-Vlanif20]ip add 61.130.130.10255.255.255.0

开始配置防火墙FW1、FW2、FW3的各个端口ip以及静态路由

FW1：

[FW1]inteth0/1

[FW1-Ethernet0/1]ip add 192.168.1.1 24

[FW1-Ethernet0/1]loopback

[FW1-Ethernet0/1]int eth0/0

[FW1-Ethernet0/0]ip add61.130.130.1 30

[FW1]ip route 0.0.0.00 61.130.130.2

[FW1]firewallzone untrust

[FW1-zone-untrust]add int eth0/0

FW2:

[FW2]inteth0/1

[FW2-Ethernet0/1]ipadd 192.168.2.1 24

[FW2-Ethernet0/1]loopback

[FW2-Ethernet0/1]int eth0/0

[FW2-Ethernet0/0]ip add61.130.130.5 30

[FW2]ip route 0.0.0.00 61.130.130.6

[FW2]firewallzone untrust

[FW1-zone-untrust]add int eth0/0

FW3:

[FW3]inteth0/1

[FW3-Ethernet0/1]ipadd 192.168.3.1 24

[FW3-Ethernet0/1]loopback

[FW3-Ethernet0/1]int eth0/0

[FW3-Ethernet0/0]ip add61.130.130.9 30

[FW3]ip route 0.0.0.00 61.130.130.10

[FW3]firewallzone untrust

[FW3-zone-untrust]addint eth0/0

开始做总部与分支之间的隧道

FW1：

[FW1]acl number 3000 match-order auto //创建访问列表

[FW1-acl-adv-3000]rule10 permit ip source 192.168.1.0 0.0.0.255destination 192.168.2.0 0.0.0.255

[FW1-acl-adv-3000]rule20 deny ip source any destination any

创建安全提议

[FW1]ipsecproposal tran1

[FW1-ipsec-proposal-tran1]encapsulation-modetunnel

[FW1-ipsec-proposal-tran1]transformesp

[FW1-ipsec-proposal-tran1]espauthentication-algorithm md5

[FW1-ipsec-proposal-tran1]espencryption-algorithm des

创建安全策略

[FW1]ipsecpolicy policy1 10 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]securityacl 3000

[FW1-ipsec-policy-isakmp-policy1-10]proposaltran1

[FW1]ikepeer fw2

[FW1-ike-peer-fw2]local-address61.130.130.1

[FW1-ike-peer-fw2]remote-address61.130.130.5

[FW1-ike-peer-fw2]pre-shared-key123456

[FW1]ipsecpolicy policy1 10 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]ike-peerfw2

在端口应用策略

[FW1]inteth0/0  

[FW1-Ethernet0/0]ipsecpolicy policy1

添加FW3的配置

[FW1]acl number 3001match-order auto

[FW1-acl-adv-3001]rule10 permit ip source 192.168.1.0 0.0.0.255destination 192.168.3.0 0.0.0.255

[FW1-acl-adv-3001]rule20 deny ip source any destination any

[FW1]ipsecproposal tran2

[FW1-ipsec-proposal-tran2]encapsulation-modetunnel

[FW1-ipsec-proposal-tran2]transformesp

[FW1-ipsec-proposal-tran2]espauthentication-algorithm md5

[FW1-ipsec-proposal-tran2]espencryption-algorithm des

[FW1]ipsecpolicy policy1 20 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]securityacl 3001

[FW1-ipsec-policy-isakmp-policy1-10]proposaltran2

[FW1]ikepeer fw3

[FW1-ike-peer-fw3]local-address61.130.130.1

[FW1-ike-peer-fw3]remote-address61.130.130.5

[FW1-ike-peer-fw3]pre-shared-key123456

[FW1]ipsecpolicy policy1 20 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]ike-peerfw3

[FW1]inteth0/0  

[FW1-Ethernet0/0]ipsecpolicy policy1

FW2：

[FW2]aclnumber 3000 match-order auto

[FW2-acl-adv-3000]rule10 permit ip source 192.168.2.0 0.0.0.255destination 192.168.1.0 0.0.0.255

[FW2-acl-adv-3000]rule20 deny ip source any destination any

[FW2]ipsecproposal tran1

[FW2]ipsec-proposal-tran1]encapsulation-modetunnel

[FW2-ipsec-proposal-tran1]transformesp

[FW2-ipsec-proposal-tran1]espauthentication-algorithm md5

[FW2-ipsec-proposal-tran1]espencryption-algorithm des

[FW2]ipsecpolicy policy1 10 isakmp

[FW2-ipsec-policy-isakmp-policy1-10]securityacl 3000

[FW2-ipsec-policy-isakmp-policy1-10]proposaltran1

[FW2]ikepeer fw1

[FW2-ike-peer-fw1]local-address61.130.130.5

[FW2-ike-peer-fw1]remote-address61.130.130.1

[FW2-ike-peer-fw1]pre-shared-key123456

[FW2]ipsecpolicy policy1 10 isakmp

[FW2-ipsec-policy-isakmp-policy1-10]ike-peerfw1

[FW2]inteth0/0  

[FW2-Ethernet0/0]ipsecpolicy policy1

FW3：

[FW3]aclnumber 3001 match-order auto

[FW3-acl-adv-3001]rule10 permit ip source 192.168.3.0 0.0.0.255destination 192.168.1.0 0.0.0.255

[FW3-acl-adv-3000]rule20 deny ip source any destination any

[FW3]ipsecproposal tran2

[FW3-ipsec-proposal-tran2]encapsulation-modetunnel

[FW3-ipsec-proposal-tran2]transformesp

[FW3-ipsec-proposal-tran2]espauthentication-algorithm md5

[FW3-ipsec-proposal-tran2]espencryption-algorithm des

[FW3]ipsecpolicy policy120 isakmp

[FW3-ipsec-policy-isakmp-policy1-20]securityacl 3000

[FW3-ipsec-policy-isakmp-policy1-20]proposaltran2

[FW3]ikepeer fw1

[FW3-ike-peer-fW1]local-address61.130.130.9

[FW3-ike-peer-fw1]remote-address61.130.130.1

[FW3-ike-peer-fw1]pre-shared-key123456

[FW3]ipsecpolicy policy1 10 isakmp

[FW3-ipsec-policy-isakmp-policy1-10]ike-peerfw1

[FW3]inteth0/0  

[FW3-Ethernet0/0]ipsecpolicy policy1

完成后测试，1.0可以访问2.0和3.0

IPSEC在企业网中的应用,布布扣,bubuko.com

IPSEC在企业网中的应用

标签：ipsec vpn

原文地址：http://zcl1101017794.blog.51cto.com/7962179/1411200