IPSec配置.docVIP

目 录 1 IPSec配置 1-1 1.1 概述 1-1 1.1.1 IPSec的实现 1-1 1.1.2 IPSec基本概念 1-1 1.1.3 协议规范 1-3 1.2 配置IPSec 1-4 1.2.1 配置概述 1-4 1.2.2 配置IPSec安全提议 1-5 1.2.3 配置安全策略模板 1-6 1.2.4 配置安全策略 1-8 1.2.5 应用安全策略组 1-9 1.2.6 查看IPSec安全联盟 1-10 1.2.7 查看报文统计 1-10 1.3 IPSec典型配置举例 1-11 1.4 注意事项 1-14 IPSec配置 本文所涉及的路由器和路由器图标，代表了一般意义下的路由器或运行了路由协议的三层交换机。 概述 IPSec（IP Security）是IETF制定的三层隧道加密协议，它为Internet上数据的传输提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式，可以获得以下的安全服务： 数据机密性（Confidentiality）：IPSec发送方在通过网络传输包前对包进行加密。 数据完整性（Data Integrity）：IPSec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。 数据来源认证（Data Authentication）：IPSec接收方可以认证IPSec报文的发送方是否合法。 防重放（Anti-Replay）：IPSec接收方可检测并拒绝接收过时或重复的报文。 可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPSec的使用和管理。IKE协商并不是必须的，IPSec所使用的策略和算法等也可以手工协商。 IPSec的实现 IPSec通过如下两种协议来实现安全服务： AH（Authentication Header）是认证头协议，协议号为51。主要提供的功能有数据源认证、数据完整性校验和防报文重放功能，可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。AH报文头插在标准IP包头后面，保证数据包的完整性和真实性，防止黑客截获数据包或向网络中插入伪造的数据包。 ESP（Encapsulating Security Payload）是报文安全封装协议，协议号为50。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。 AH和ESP可以单独使用，也可以联合使用。设备支持的AH和ESP联合使用的方式为：先对报文进行ESP封装，再对报文进行AH封装，封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。 IPSec基本概念 安全联盟（Security Association，SA） IPSec在两个端点之间提供安全通信，端点被称为IPSec对等体。 SA是IPSec的基础，也是IPSec的本质。SA是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。 SA是单向的，在两个对等体之间的双向通信，最少需要两个SA来分别对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。 SA由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter Index，安全参数索引）、目的IP地址、安全协议号（AH或ESP）。 SPI是为唯一标识SA而生成的一个32比特的数值，它在AH和ESP头中传输。在手工配置安全联盟时，需要手工指定SPI的取值。使用IKE协商产生安全联盟时，SPI将随机生成。 SA是具有生存周期的，且只对通过IKE方式建立的SA有效。分为两种类型： 基于时间，定义一个SA从建立到失效的时间； 基于流量，定义一个SA允许处理的最大流量。 生存周期到达指定的时间或指定的流量，SA就会失效。SA失效前，IKE将为IPSec协商建立新的SA，这样，在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前，继续使用旧的SA保护通信。在新的SA协商好之后，则立即采用新的SA保护通信。 封装模式 IPSec有如下两种工作模式： 隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP