IPSECVPN命令手冊.docVIP

IPSEC VPN命令手册 目 录 1 简介 3 1.1 概述 3 1.2 协议简介 3 1.2.1 简述 3 1.2.2 概念介绍 4 1.2.3 IKE简述 6 2 配置IPSec VPN 8 3 典型配置 25 3.1 SITE TO SITE VPN 25 3.2 ACCESS VPN 31 简介 概述 IPsec（IP Security）是 IETF制定的三层隧道加密协议，它为 Internet上传输的数据提供了高质量的、 可互操作的、 基于密码学的安全保证。 特定的通信方之间在IP层通过加密与数据源认证等方式， 提供了以下的安全服务： 数据机密性（Confidentiality）：IPsec发送方在通过网络传输包前对包进行加密。 数据完整性（Data Integrity）：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。 数据来源认证（Data Authentication）：IPsec在接收端可以认证发送 IPsec报文的发送端是否合法。 防重放（Anti-Replay）：IPsec接收方可检测并拒绝接收过时或重复的报文。 IPsec具有以下优点： 支持 IKE（Internet Key Exchange，因特网密钥交换），可实现密钥的自动协商功能，减少了密钥协商的开销。可以通过IKE建立和维护SA的服务，简化了 IPsec的使用和管理。 所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，而不必对这些应用系统和服务本身做任何修改。 对数据的加密是以数据包为单位的，而不是以整个数据流为单位， 这不仅灵活而且有助于进一步提高 IP数据包的安全性，可以有效防范网络攻击。 协议简介 简述 IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。 IPsec协议中的 AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供数据可靠性保证。 AH 协议（IP 协议号为 51）提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准 IP包头后面，对数据提供完整性保护。可选择的认证算法有 MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。 ESP协议 （IP协议号为 50） 提供加密、 数据源认证、 数据完整性校验和防报文重放功能。 ESP的工作原理是在每一个数据包的标准IP包头后面添加一个 ESP报文头，并在数据包后面追加一个ESP尾。 与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有 DES、3DES、AES 等。同时，作为可选项，用户可以选择 MD5、SHA-1算法保证报文的完整性和真实性。 在实际进行 IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于 ESP。同时使用 AH和 ESP时，设备支持的AH和ESP联合使用的方式为：先对报文进行ESP封装，再对报文进行 AH封装，封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。 概念介绍 1. 安全联盟（Security Association，SA） IPsec在两个端点之间提供安全通信，端点被称为 IPsec对等体。 SA是IPsec的基础，也是 IPsec的本质。SA是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、3DES和 AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。建立SA的方式有手工配置和IKE自动协商两种。 SA是单向的，在两个对等体之间的双向通信，最少需要两个SA来分别对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。 SA由一个三元组来唯一标识，这