IPSec的SHELL命令配置手冊.docVIP

第4章 IPSec配置 1 4.1 VPN及IPSec概述 1 4.1.1 VPN简介 1 4.1.2 IPSec协议简介 1 4.2 术语列表 3 4.3 IPSec配置命令 4 4.3.1 Enable模式下的命令 4 4.3.2 IPSec模式下的配置命令 4 4.4 VPN的配置实例 10 4.4.1 总部到分支的配置实例 10 4.4.2 总部到移动用户的配置实例 15 附录A 词汇 18 IPSec配置 VPN及IPSec概述 VPN简介 VPN在公网上常作为一个安全网关设备，支持IPSec协议。它的主要作用是采用加密、认证和网络技术在公共互连网上构建相互信任方之间的安全加密信息传输通道，以期达到专用网络的效果。VPN网关在其中将发挥非常重要的核心作用。 VPN网关工作在本地局域网及与其通信的远程局域网的网关位置，具有加密和认证功能。相互信任的局域网间进行通信时，仍然使用互联网作为中间信道。但是，通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。这样，即便信息被截取，也无法偷窥或篡改其内容。保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性等安全性能。 IPSec协议简介 IPSec为IP层提供安全服务的安全网络协议，保护一条或多条主机与主机间、安全网关与安全网关或安全网关与主机间的路径。它使系统能按需选择安全协议，决定服务所使用的算法及放置密钥到相应位置。它使系统具有良好的互操作性，对那些不支持IPSec的主机和网络不会产生任何负面影响。 IPSec为用户提供的服务有： 完整性――完整性可以确定信息在从发送方到接受方的过程中是否被篡改和破坏，可以通过MAC码和数字签名提供。IPSec对接受到的数据进行数据认证,以保证数据在传输过程中没有被修改。 机密性――机密性提供对敏感信息的保护，使未授权用户无法读取有关信息IPSec通过加密算法对数据包进行加密，以保证数据在网路中以密文传输。 可认证性――可认证性能够确认数据的来源，确定是传送者本人，不是被别人伪造的，包括认证发送者的身份和数据源。 不可否认性――不可否认性可以视为身份识别和验证的一种扩展，它可以用来防止信息发送者对所发送信息的抵赖。通过数字签名和时间戳，信息发送者无法对自己所发送过的信息进行抵赖。 抗重播服务――IPSec通过序列号可以检测和拒绝被重放的数据包，从而提供抗重播服务。 IPSec所使用的协议： AH――头部认证协议。提供无连接完整性，数据源认证和选择性抗重播服务。可以使用传输和通道两种模式。 ESP――封装安全负载。提供加密，有限传输流加密。它同时也提供无连接的完整性验证，数据源认证，选择性抗重播服务。可以使用传输和通道两种模式。 AH和ESP两种安全协议的区别除了所提供的安全服务不同以外，他们认证的范围也不一样。AH对整个IP报文包括IP头部进行认证。ESP则对报文的IP头部以后的数据负载进行认证。 安全协议使用的安全通道存在着两种使用模式： 传输模式――将安全协议头插入到原始IP报文的IP头部和上层协议数据之间。这种模式是由主机而不是网关使用，网关甚至可以不支持传输模式。 通道模式――即隧道模式，在通道模式下，需要保护的IP报文被封装在新的IP报文中，作为新报文的负载，然后对新IP报文使用安全协议（AH/ESP）.用于网关，当安全关联的任一个端点是网关时，就要使用通道模式。通道模式的主要优点是可以对被封装报文提供完全的保护，同时使私有地址的使用成为可能。 术语列表 反重放――一种安全性服务，使得介绍者可以拒绝接受过时或包拷贝，以保护自己不被攻击。手工建立的安全联盟（即通过配置而不是通过IKE建立的安全联盟）不支持这一服务。 数据认证――包括两个概念： 数据完整性（检查数据是否被修改过）。 数据来源认证（检查数据是否真的是由声称的发送者发送的）。 数据机密性――一种保护数据不被窥探的安全性协议。 数据流－－即成组的通信，由一个由源地址掩码、目标地址掩码、IP的下一个协议域、源和目标端口组成的联合体所标识。 安全联盟－－一个IPSEC安全联盟（SA）描述了两个或多个实体在某一个特定安全协议（AH或ESP）环境下，为了保护某个特定的数据流，将如何使用安全服务来进行通信。它包括了用于保护通信的共享安全密钥和变换等内容。安全联盟由安全参数索引、目的地址、安全协议三元组唯一标识。安全联盟是单向的，并对每种安全性协议唯一。所以一旦为IPSEC建立了安全联盟，两个方向的安全联盟（对于每一个协议将同时建立）。安全联盟可以手动建立也可以自动建立。手动SA，指在配置环境下，手工配置安全联盟所必要的参数，从而使安全联盟建立起来。自动SA,指在配置环境下，输入一些参数，通过IKE自动建立起安全联盟。 安全策略数据库（SPD）―