IKEV2更新内容.docxVIP

SEC IE V4新版 IKEV2 FlexVPN1，IKEV2理论：第一部分，IKEV2理论：flexvpn简介：cisco的基于IKE V2的vpn，包含了，站点到站点，remote-access，hub-spoke到spoke-spoke优点：统一的CLI命令行统一的架构：使用IOS点对点隧道接口统一的特性：很多特性都可以再技术间互用关键特性：AAA，config-mode动态路由协议，IPV6使用默认策略，配置更加简单符合IKEV2标准能够很好的和非cisco设备兼容易于学习和管理IKEV2简介：RFC5996最新的RFC1，不兼容IKEV1,2，暂时还没有被广泛使用相同的技术架构提供1，私密性2，完整性3，源认证运用在UDP500/UDP4500IKEV2 RFC5996:在一个RFC里边介绍了所有特性的工作原理MM和AM被替换为initial exchangeQM被替换为CREATE_CHILD_SAIKEV2 开放的结束，多少个包都有可能第一个IPSEC SA最少4个包认证：数字签名，预共享密钥，EAP（支持）Anti-DOS:抵御DOS攻击IKE rekey：IKE密钥更新无需重新认证Notifies：通告需要确认IKEV2包交换简介：SA初始化：协商认证参数第二对交换:认证并且产生一个CHILD_SA第三对交换：创建第二个CHILD_SASA初始化的第一个包：1，发起方提供基本的SA（安全关联）参数，和密钥交换材料2，等同于IKEV1的MM1和MM3两个包3，HDR：表示IKE头部4，SAI:发起方提交的密钥学算法5，KEi：发起方密钥交换材料（使用最高优先级的DH组）6，Ni：发起方随机数接收方回应的包：1，响应方发回一个可以接受的参数，并且附上密钥交换材料和可选的证书请求2，等同于IKEV1的MM2和MM4包3，HDR：IKE头部4，SAr：被响应方选择的密码学算法5，KEr:响应方密钥交换材料6，NR:响应方随机数7，CertReq：证书请求（可选）一二个包做第一阶段的策略协商，和DH密钥交换IKE认证：1，与穿件child SA相关的认证材料和参数等同于IKEV1的MM5和QM的第一部分2，SK：负载被加密并完整性保护3，IDi;发起方ID4，Cert：发起方证书（可选）5，CertReq：证书请求（可选）6，IDr：期望的响应者ID（选项）7，AUTH：发起方的认证数据（如果发起方使用EAP认证，这个字段就不存在）8，转换集和流量选择器（感兴趣流）information exchanges1，用户日常事务管理删除通告活动性价差初始化联系故障报告（各种通告，例如：在kei中的DH组不可接受）必须确认，将会重传，直到放弃，被安全保护的，仅仅在initial exchange之后用于configuration exchange，类似于IKEV1的mode-configEAP：1，使用EAP替代X-AUTH2，EAP认证框架，提供了多种认证方式3，隧道级EAP_TLS,EAP/PSK,EAP-PEAP4，无隧道（推荐）：EAP-MS-CHAPV2，EAP-GTC,EAP-MD55，作为IKE-AUTH交换的一种增强6，仅仅用于让响应放认证发起方7，响应方必须使用证书认证8，会适当增加包数量（12-16）第二部分：2.1标准IOS vs ASA crypto MAPASA不能做隧道级VPN实验拓扑：IOS：配置IKEV2 policy （可选）Branch上配置：crypto ikev2 proposal yeslab-IKEV2-Proposal encryption 3des aes-cbc-256 integrity sha256 sha512 group 2 5 14策略是排列组合：crypto ikev2 policy yeslab-IKEV2-Policy proposal yeslab-IKEV2-Proposal查看默认的策略：配置预共享密钥：crypto ikev2 keyring yeslab-keyring peer Center-ASA（名字只是一个标示） address pre-shared-key yeslab-pre-key配置ikev2 profile：crypto ikev2 profile yeslab-ikev2-profile match identity remote address 55 identity local address authentication remote pre-share authentication local pre-share keyring local yeslab-keyring配置转换集：（可以配置多个）