【正文】 認(rèn)證，并在兩端之間建立一條安全的通道。 ? 啟動 IKE階段 2，在上述安全通道上協(xié)商 IPSec參數(shù)。 ? 按協(xié)商好的 IPSec參數(shù)對數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)。 Host A Host B Router A Router B 什么是端到端的 VPN？ IKE階段 1 Host A Host B Router A Router B IKE 階段 1 協(xié)商建立 IKE安全 通道所使用的參數(shù) 協(xié)商建立 IKE安全 通道所使用的參數(shù) IKE階段 1 ? 協(xié)商 建立 IKE安全通道 所使用的參數(shù)，包括： 加密算法 Hash算法 DH算法 身份認(rèn)證方法 存活時間 IKE階段 1 Policy 10 DES MD5 DH1 Preshare lifetime Policy 15 DES MD5 DH1 Preshare lifetime Router A Router B host A host B Policy 20 3DES SHA DH1 Preshare lifetime Policy 25 3DES SHA DH2 Preshare lifetime 雙方找到相同的策略集 上述 IKE參數(shù)組合成集合，稱為 IKE policy。 IKE協(xié)商就是要在通信雙方之間找到相同的 policy。 IKE階段 1 Host A Host B Router A Router B IKE 階段 1 協(xié)商建立 IKE安全 通道所使用的參數(shù) 交換對稱密鑰 雙方身份認(rèn)證 建立 IKE安全通道 協(xié)商建立 IKE安全 通道所使用的參數(shù) 交換對稱密鑰 雙方身份認(rèn)證 建立 IKE安全通道 IKE階段 2 Host A Host B Router A Router B IKE 階段 2 協(xié)商 IPSec安全參數(shù) 協(xié)商 IPSec安全參數(shù) IKE階段 2 ? 雙方協(xié)商 IPSec安全參數(shù)，稱為 變換集transform set，包括： 加密算法 Hash算法 安全協(xié)議 封裝模式 存活時間 Transform 10 DES MD5 ESP Tunnel lifetime Transform 20 3DES SHA ESP Tunnel lifetime IKE與 IPSec安全參數(shù)的比較 加密算法 Hash算法 存活時間 DH算法 身份認(rèn)證 安全協(xié)議 封裝模式 IKE IPSec IKE階段 2 Host A Host B Router A Router B IKE 階段 2 協(xié)商 IPSec安全參數(shù) 建立 IPSec SA 協(xié)商 IPSec安全參數(shù) 建立 IPSec SA IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： SA由 SPD (security policy database)和SAD(SA database)組成。 兩端成功協(xié)商 IPSec參數(shù) 加密算法 hash算法 封裝模式 lifetime 安全協(xié)議 SPD 加密 SPI Hash 封裝模式 lifetime SAD 目的 IP地址 SPI 安全協(xié)議 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： SPI (Security Parameter Index)，由 IKE自動分配 發(fā)送數(shù)據(jù)包時，會把 SPI插入到 IPSec頭中 接收到數(shù)據(jù)包后， 根據(jù) SPI值查找 SAD和 SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、 hash算法等。 一個 SA只記錄單向的參數(shù)，所以一個 IPSec連接會有兩個 IPSec SA。 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： 使用 SPI可以標(biāo)識路由器與不同對象之間的連接 。 B A N K SPI–12 ESP/3DES/SHA tunnel 28800 SPI–39 ESP/DES/MD5 tunnel 28800 Inter IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： 達(dá)到 lifetime以后，原有的 IPSec SA就會被刪除 如果正在傳輸數(shù)據(jù)，系統(tǒng)會在原 SA超時之前自動協(xié)商建立新的 SA，從而保證數(shù)據(jù)的傳輸不會因此而中斷。 SA示例 端到端 IPSec VPN的配置流程 ? 配置 IPSec前的準(zhǔn)備工作 ? 配置 IKE參數(shù) ? 配置 IPSec參數(shù) ? 測試并驗證 IPSec是否正常工作 端到端 IPSec VPN的配置步驟 1 ? 配置 IPSec前的準(zhǔn)備工作 確認(rèn)在配置 IPSec之前，網(wǎng)絡(luò)是通的。 確認(rèn) AH流量 (IP協(xié)議號為 50)、 ESP流量 (IP協(xié)議號為 51)和 ISAKMP流量 (UDP的端口500)不會被 ACL所阻塞。 配置 IPSec前的準(zhǔn)備工作 在 RouterA上 ping路由器 RouterB RouterA上要有到 site2的路由， RouterB上有到site1的路由 有必要的情況下，在路由器中添加類似以下的ACL條目： RouterA show accesslists accesslist 102 permit ahp host host accesslist 102 permit esp host host accesslist 102 permit udp host host eq isakmp E0/1 Site 1 Site 2 E0/1 A B Inter RouterA RouterB 端到端 IPSec VPN的配置步驟 2 ? 配置 IKE參數(shù) 啟用 IKE 創(chuàng)建 IKE策略集 policy 配置 IKE身份認(rèn)證的相關(guān)參數(shù) 驗證 IKE配置 啟用 IKE RouterA(config) no crypto isakmp enable RouterA(config) crypto isakmp enable router(config) [no] crypto isakmp enable 默認(rèn)情況下， IKE 處于開啟狀態(tài) IKE在全局模式下對所有端口啟用 對于不希望使用 IKE的端口，可以用 ACL屏蔽 UDP的 500端口，達(dá)到阻斷 IKE的目的 創(chuàng)建 IKE策略 crypto isakmp policy priority router(config) RouterA(config) crypto isakmp policy 110 RouterA(configisakmp) encryption des RouterA(configisakmp) hash md5 RouterA(configisakmp) group 1 RouterA(configisakmp) authentication preshare RouterA(configisakmp) lifetime 86400 Authentication身份認(rèn)證方式 Encryption加密算法 GroupDH算法組 Hash摘要算法 LifetimeIKE生存期 IKE策略集的取值 86400 秒 86400 秒 IKE SA生存期 DH Group 2 DH Group 1 密鑰交換算法 Rsasig Preshare 身份認(rèn)證方式 SHA1 MD5 摘要算法 3DES DES 加密算法 更安全的取值 安全的取值 參數(shù) (56bit密鑰 ) (3次 DES運算 ) (128bit密鑰 ) (160bit密鑰 ) (768bit密鑰 ) (1024bit密鑰 ) (共享密鑰 ) (數(shù)字簽名 ) IKE策略集的優(yōu)先級 crypto isakmp policy 100 hash md5 authentication preshare crypto isakmp policy 200 authentication rsasig hash sha crypto isakmp policy 300 authentication preshare hash md5 RouterA(config) RouterB(config) crypto isakmp policy 100 hash md5 authentication preshare crypto isakmp policy 200 authentication rsasig hash sha crypto isakmp policy 300 authentication rsasig hash md5 Priority表示策略集的優(yōu)先級，該值越小表示優(yōu)先級越高 路由器將 首先比較優(yōu)先級最高的策略集是否匹配 ，因此本例中雖然三個策略集都匹配，但路由器只會采用 policy 100 建議把最安全的策略集設(shè)為最高優(yōu)先級 使用共享密鑰進(jìn)行身份認(rèn)證 RouterA(config) crypto isakmp key cisco1234 address router(config) crypto isakmp key keystring address peeraddress crypto isakmp key keystring hostname hostname router(config) 共享密鑰 Cisco1234 Site 1 Site 2 A B Inter RouterA RouterB 兩端路由器使用的共享密鑰必須相同 可以用 IP地址 或 主機名來指定對端 驗證 IKE配置 RouterA show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: PreShared Key DiffieHellman group: 1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: RivestShamirAdleman Signature DiffieHellman group: 1 (768 bit) lifetime: 86400 seconds, no volume limit show crypto isakmp policy router 顯示已配置的和缺省的策略集 端到端 IPSec VPN的配置步驟 3 ? 配置 IPSec參數(shù) 配置 IPSec變換集 用 ACL定義需要 IPSec保護(hù)的流量 創(chuàng)建 crypto map 把 crypto map 應(yīng)用到路由器的端口上 配置 IPSec變換集 crypto ipsec transformset transformsetname transform1 [transform2 [transform3]] router(cfgcryptotrans) router(config) RouterA(config) crypto ipsec transformset mine espdes RouterA (cfgcryptotrans)mode tunnel 每個變換集中可以包含 AH變換、 ESP變換和封裝模式 (隧道模式或傳輸模式 ) 每個變換集中最多可以有一個 AH變換和兩個 ESP變換 IOS支持的變換 RouterA(config) crypto ipsec transfor