IPsec

 

个人博客地址

http://www.darkghost.life

IPsec技术是为解决互联网上数据传输安全性所提出的一项技术，可以有效解决数据被窃取，篡改等安全性问题

IPsec使用AH和ESP两种安全协议，两种安全协议主要区别在于

　　

 

 

 AH与ESP对比，AH把整个数据包，包括IP头部全部保护起来，支持整个数据包的完整性与数据源合法性的验证，但是AH不支持对数据进行加密，而ESP支持对数据进行加密，验证，但是不包括ip头部信息，所以现网当作大多使用AH+ESP两种协议进行数据保护

有了安全协议，接着就要考虑数据怎么使用协议进行封装，数据封装有两种方式

传输模式

　　传输模式大多用于主机与主机间的通信，隧道的源目IP必须和数据的源目IP一致，可以理解为使用公网ip进行数据传输。

隧道模式

　　隧道模式可以定义需要保护的数据流，数据流的源目ip地址和隧道的源目ip地址不需要一致，因为隧道模式会在原有ip头部外再新增ip头部，源目ip为公网ip，原始数据包被包裹进新ip包里，相对于传输模式更适合站点与站点间的通信，但是引入了更大的开销

IPsec隧道建立方式

手工

　　手工建立IPsec隧道适用于节点较少的网络，需要手动配置隧道相关协商参数，如加密方式，密钥等

 IKE

　　引入IKE(互联网密钥交换)协议，用于在互联网上安全的自动交换密钥方式来建立IPsec隧道

 

IPsec定义需要保护的数据流，同样有两种方式

ACL

　　使用ACL来定义需要保护的数据流，permit保护，deny不包括，acl可以灵活的筛选数据流

安全框架

　　使用安全框架是指所有被路由到IPsec三层虚拟接口的数据都会被保护

两种对比起来ACL更灵活，筛选数据流更细化，但是配置繁杂，安全框架配置简单，扩展方便，更适合网络变动较大，路由动态交互的场景

 

几种配置IPsec的方式分别举例

使用手工方式建立IPsec隧道

 

 

 

基本配置略

R1 配置

#配置R1受保护数据流
acl number 3000  
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 

#配置IPsec安全提议
ipsec proposal dark
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128

#配置安全策略
ipsec policy dark-map 10 manual
 security acl 3000
 proposal dark                            
 tunnel local 1.1.1.1
 tunnel remote 2.1.1.1
 sa spi inbound esp 54321
 sa string-key inbound esp cipher %$%$Qh~R#Juv%.vxu.Kf`,7-,.2n%$%$
 sa spi outbound esp 12345
 sa string-key outbound esp cipher %$%$Qh~R#Juv%.vxu.Kf`,7-,.2n%$%$

#配置静态路由，下一跳指向互联网出口
ip route-static 10.1.2.0 255.255.255.0 1.1.1.2

#接口应用
interface GigabitEthernet1/0/0
 ipsec policy dark-map


注意到对端内网ip的静态路由下一跳指向是互联出口，因为在定义了需保护的数据流后，数据流到应用了安全策略的接口后会在原始数据外加一层新的ip头，源目ip都为互联网ip

测试

 

 

 

 

可以看到两端内网现在已经可以互通，且新增源目ip为公网ip的ip头部，原始icmp，http的数据已经被ESP加密

 

 

通过IKE方式建立IPsec隧道，参数默认

#配置ipsec安全提议
ipsec proposal dark
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128

#配置IKE安全提议
ike proposal 5                            
 encryption-algorithm aes-cbc-128
 dh group14

#配置IKE对等体
ike peer 1 v1
 pre-shared-key cipher %$%$Qh~R#Juv%.vxu.Kf`,7-,.2n%$%$
 ike-proposal 5
 remote-address 2.1.1.1

#配置需要保护数据流
acl number 3000  
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

#配置IPsec策略
ipsec policy dark-map 10 isakmp
 security acl 3000
 ike-peer 1
 proposal dark

#配置静态路由
ip route-static 10.1.2.0 255.255.255.0 1.1.1.2

#端口引用
interface GigabitEthernet1/0/0
 ipsec policy dark-map

测试

　　

 

 

 

IKE方式与手工方式配置的区别在于IKE方式多了一步配置IKE安全提议，用来保护IKE的数据交换，减少了IPsec安全策略里的预共享密钥和SPI的配置

其数据传输方式和手工配置并没有什么不同

 

 

现网中更多的场景是以下场景

　　公司总部拥有固定ip，分部或合作机构使用动态ip，此时要实现总部被动响应和验证分支的IPsec请求并自动建立IPsec隧道，这种场景下总部可以使用策略模板的方式来配置IPsec，不需要指定peer-address

 

详细官方文档链接如下

　　https://support.huawei.com/hedex/hdx.do?docid=EDOC1100037158&id=dc_fd_ipsec_0002&lang=zh