ipsec

IPsec概述  在Internet的传输中，绝大部分数据的内容都是明文传输的，这样就会存在很多潜在的危险，比如：密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意***等。网络中部署IPSec后，可对传输的数据进行保护处理，降低信息泄露的风险  IPsec (Internet Protocol Security)是一个工业标准网络安全协议（公有协议），它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络***，同时保持易用性  IPsec是一个公有协议 华为 思科 华三都支持支持该协议  IPsec是一个协议框架 不是单独的一个协议  IPsec可以使两个公司之间在internet网络传输数据时 保护数据安全性  IPSec通过验证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议实现IP报文的安全保护  AH是报文头验证协议，主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能  ESP是封装安全载荷协议，主要提供加密、数据源验证、数据完整性验证和防报文重放功能  AH和ESP都能够提供数据源验证和数据完整性验证

***介绍  随着网络经济的发展，企业的分布范围日益扩大，合作伙伴日益增多，公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构，组成自己的企业网，同时使移动办公人员能在企业外部方便地接入企业内部网络  最初，电信运营商是以租赁专线（Leased Line）的方式为企业提供二层链路，这种方式的主要缺点是：建设时间长、价格昂贵、难于管理  此后，随着ATM（Asynchronous Transfer Mode）和帧中继FR（Frame Relay）技术的兴起，电信运营商转而使用虚电路方式为客户提供点到点的二层连接，客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比，运营商网络建设时间短、价格低，能在不同专网之间共享运营商的网络结构。这种传统专网的不足在于：依赖于专用的介质（如ATM或FR）：为提供基于ATM的***服务，运营商需要建立覆盖全部服务范围的ATM网络；为提供基于FR的***服务，又需要建立覆盖全部服务范围的FR网络。网络建设成本高  速率较慢：不能满足当前Internet应用对于速率的要求  部署复杂：向已有的私有网络加入新的站点时，需要同时修改所有接入此站点的边缘节点的配置  传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生

前提： 两台win7主机，在一个局域网内，注意关闭防火墙，我之前没有关闭ping不通 新增加参考文章 http://support.ricoh.com/bb_v1oi/pub_e/oi_view/0001044/0001044740/view/op_guide/int/0331.htm 可以配置IKE、之前忽略了 打开本地安全策略 创建新的IP安全策略 下一步 名称随意 下一步 编辑添加策略属性 点击常规 点击设置、设置IKe 点击方法 下一步 下一步 根据需要，一般默认 添加IP涮选器，也是就是保护的流量范围 明称随意，点击添加 选择我的IP，就是本机就可以了 可以选任何，也可以选目标对方IP 选中刚才编写的筛选器策略，下一步 添加筛选器操作 选择自定义、选择设置 此处就是加密验证算法设置框，根据需要，一般全选上就好了 需要注意：对端设置参数需要与这个一致，否则建立不了sa 选中刚才编写的刷选器操作，下一步 身份验证方法-选择预共享 输入字符串，注意：这里的配置对端也必须一样。 分配策略 对端配置与刚才差不多，除了刚才提到的加密操作和认证需要配置一致。 来源： 51CTO 作者： Alyoyojie 链接： https://blog.51cto.com/antivirusjo/2471948

参考配置： https://support.huawei.com/enterprise/zh/doc/EDOC1000010139?section=j00d https://blog.51cto.com/sunjie123/1742580 主要内容： IPSec手动模式、USG、隧道模式、ESP封装 FW1 # CLI_VERSION=V300R001 # Last configuration was changed at 2020/02/17 14:19:44 from console0 #*****BEGIN****public****# # stp region-configuration region-name 60e1a215e041 active region-configuration # acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 # ipsec proposal tran1 esp authentication-algorithm sha1 esp encryption-algorithm aes # ipsec policy map1 10 manual security acl 3000 proposal tran1

IPSec隧道模式esp封装USG5500配置 参考文章： https://blog.51cto.com/sunjie123/1742580 https://support.huawei.com/enterprise/zh/doc/EDOC1000010139?section=j00d https://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000068086&partNo=10092#dc_fd_fw_0002 USGA # CLI_VERSION=V300R001 # Last configuration was changed at 2020/02/16 18:43:16 from console0 #*****BEGIN****public****# # stp region-configuration region-name 10e2b2159042 active region-configuration # acl number 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 # ike proposal 1 dh group2

1 拓扑图 2 两个PC配置 3 RouterA配置 # sysname RouterA # acl number 3101 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 # ipsec proposal tran1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ipsec policy map1 10 manual security acl 3101 proposal tran1 tunnel local 1.1.1.1 tunnel remote 2.1.1.1 sa spi inbound esp 54321 sa string-key inbound esp cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# sa spi outbound esp 12345 sa string-key outbound esp cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# # interface GigabitEthernet0/0/0 ip address 1.1

1、配置拓扑图 2、 FW1配置（主动） 2.1、配置接口IP set int state GigabitEthernet2/1/0 up set int ip address GigabitEthernet2/1/0 20.20.20.1/24 set int state GigabitEthernet2/2/0 up set int ip address GigabitEthernet2/2/0 30.30.30.1/24 2.2、配置IPSec IKEv2 1、创建名为pr1的IKEV2配置 ikev2 profile add pr1 配置说明：ikev2 profile [add|del] <id> 2、设置共享密钥认证方法 ikev2 profile set pr1 auth shared-key-mic string Vpp123 配置说明：ikev2 profile set <id> auth [rsa-sig|shared-key-mic] [cert-file|string|hex] <data> 3、设置本地id ikev2 profile set pr1 id local fqdn vpp1.home 配置说明：ikev2 profile set <id> id <local|remote> <type> <data> 4、设置远端id ikev2

1.查看系统版本和IP地址。 [root@BYGD-VPN /]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) [root@BYGD-VPN /]# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 172.20.14.161 netmask 255.255.240.0 broadcast 172.20.15.255 ether 00:16:3e:00:4d:c5 txqueuelen 1000 (Ethernet) RX packets 117524 bytes 88933018 (84.8 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 47421 bytes 8344709 (7.9 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 loop txqueuelen 1 (Local Loopback) RX

传统XXX高扩展性问题： 图1：两次加解密，两次占用中心带宽 图2：ipsec XXX配置过多，每一个客户端需要维护过多的ipsec SA，每一个客户需要固定的IP地址 另外，链路down掉，无法自动切换，造成冗余性问题 DMXXX：dynamic multipoint XXX，动态多点XXX DMXXX是建设的ipsec+GRE解决方案，是一个简单的，动态的，可扩展的方式 1.简单的hub-spoke配置了full meshed连通性 2.支持spoke动态地址 3.增加新的spokes，无需更改hub配置 4.spoke到spoke动态产生隧道触发ipsec加密 DMXXX的特点 1.动态建立hua-spoke，spoke-spoke的ipsec隧道 2.优化网络性能，避免两次占用中心带宽，spoke之间通信不需要借助hub端 3.减低实时运用的延时 4.减少hub路由器配置，在不改变hub配置的情况下动态增加多个spoke隧道 5.零丢包功能 6.支持spoke路由器动态地址 7.动态建立spoke-spoke ipsec隧道，这些流量无需穿过hub 8.支持动态路由协议 9.支持hub到spoke的组播， GRE spoke和spoke之间没有动态路由协议邻居关系 10.支持MPLS网络的VRF 11.拥有自愈能力，最大的保障了XXX隧道的运行时间 12