《計算機網(wǎng)絡安全防護技術（第二版）》 課件 第4章 任務4.1配置 IPSEC VPN

第4章虛擬專用網(wǎng)技術編著：

秦燊勞翠金

任務4.1配置IPSECVPN

隨著A公司的發(fā)展壯大，在多地開設了分公司，總公司和各分公司之間的網(wǎng)絡需要互連；在家辦工的員工以及出差的員工需要連接到公司內(nèi)網(wǎng)；供貨商、銷售商也需要連接到公司的外聯(lián)網(wǎng)。傳統(tǒng)的專線連接，雖然可以確?？偣九c分公司間網(wǎng)絡連接的安全性，但布署成本高、變更不靈活。出差的員工雖然可以通過遠程撥號接入公司內(nèi)網(wǎng)，但速度慢、費用高。而虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術，能利用因特網(wǎng)或其他公共互聯(lián)網(wǎng)絡的基礎設施，創(chuàng)建一條安全的虛擬專用網(wǎng)絡通道，是公司建立自己的內(nèi)聯(lián)網(wǎng)（Intrannet）和外聯(lián)網(wǎng)（Extranet）的最好選擇。

虛擬專用網(wǎng)絡，一方面是虛擬的，它的傳輸通道可以是因特網(wǎng)這樣的共享資源，因為共享，所以費用低。另一方面，它又是專用的，利用加密技術和隧道技術，可以為分處各地的公司節(jié)點構建出一條安全的專用隧道，確保數(shù)據(jù)的私密性（Confidentiality）、完整性（Integrity）和源認證（Authentication）等得到保障。再一方面，它是靈活的，只需通過軟件配置，就可以方便的增刪用戶，擴充分支接入點。

加密技術是虛擬專用網(wǎng)絡的基礎，安全隧道技術是虛擬專用網(wǎng)絡的核心。安全隧道技術實質(zhì)上是一個加密、封裝、傳輸和拆封、解密的過程。虛擬專用網(wǎng)絡傳輸數(shù)據(jù)的過程形式多樣，為便于理解，抽取一種典型的情況舉例說明：公司分部與公司總部分處兩地，運用VPN技術，通過因特網(wǎng)，將它們連接成一個專用網(wǎng)絡?，F(xiàn)從公司分部，以私網(wǎng)IP地址訪問公司總部的網(wǎng)絡。

首先，發(fā)送端的明文流量進入VPN設備，根據(jù)訪問控制列表和安全策略決定該流量是直接明文轉發(fā)，還是加密封裝后進入安全隧道轉發(fā)，還是將該流量丟棄。

若需進入安全隧道，先把包括私網(wǎng)IP地址在內(nèi)的數(shù)據(jù)報文進行加密，以確保數(shù)據(jù)的私密性；再將安全協(xié)議頭部、加密后的數(shù)據(jù)報文和預共享密鑰與一起進行HASH運算提取指紋，即進行HMAC，以確保數(shù)據(jù)的完整性和源認證；再封裝上新的公網(wǎng)IP地址，轉發(fā)進入公網(wǎng)。數(shù)據(jù)在公網(wǎng)傳輸?shù)倪^程，即是在安全隧道中傳輸?shù)倪^程，除了公網(wǎng)IP地址是明文的，其它部分都被加密封裝保護起來了。數(shù)據(jù)到達隧道的另一端，即到達公司總部后，先由VPN設備對數(shù)據(jù)包進行裝配、還原，經(jīng)過認證、解密，獲取、查看其私網(wǎng)目的IP地址，轉發(fā)到公司總部的目的地。任務4.1IPSECVPN

因為IP協(xié)議在設計之初并沒有考慮安全性，存在很多安全隱患，所以在隨后的IPV6設計中，加強了安全設計，IPSec（IPSecurity）成為IPV6的重要組成部分。IPSec不僅是IPV6的一個部分，同時，它也能被IPv4使用，通過IPSec可以選擇所需的安全協(xié)議、算法、定義密鑰的生成與交換方法，為通信節(jié)點間提供安全的IP傳輸通道。

IPSec使用兩種安全協(xié)議提供服務，一種是AH（AuthenticationHeader,驗證頭），另一種是ESP（EncapsulatingSecurityPayload，封裝安全載荷）。其中，AH協(xié)議只提供源認證和完整性校驗，不提供加密保護。ESP協(xié)議則提供加密、源認證和完整性校驗。

不論是AH還是ESP，都有兩種工作模式，一種是傳輸模式（TransportMode），另一種是隧道模式（TunnelMode）。在傳輸模式中，源和目的IP地址及IP包頭域是不加密的，從源到目的端的數(shù)據(jù)使用原來的IP地址進行通信。攻擊者截獲數(shù)據(jù)后，雖無法破解數(shù)據(jù)內(nèi)容，但可看到通信雙方的地址信息。傳輸模式適用于保護端到端的通信，如局域網(wǎng)內(nèi)網(wǎng)絡管理員遠程網(wǎng)管設備時的通道加密。

隧道模式中，用戶的整個IP數(shù)據(jù)包被加密后封裝在一個新的IP數(shù)據(jù)包中，新的源和目的IP地址是隧道兩端的兩個安全網(wǎng)關的IP地址，原來的IP地址被加密封裝起來了。攻擊者截獲數(shù)據(jù)后，不但無法破解數(shù)據(jù)內(nèi)容，而且也無法了解通信雙方的地址信息。隧道模式適用于站點到站點間建立隧道，保護站點間的通信數(shù)據(jù)，如跨越公網(wǎng)的總公司和分公司、移動用戶通過公網(wǎng)訪問公司內(nèi)網(wǎng)等場景。

IPSECVPN的傳輸分為兩個階段，協(xié)商階段和數(shù)據(jù)傳輸階段。

如圖4-1-1所示，打開EVE-NG，搭建實驗拓撲。圖4-1-1實驗拓撲圖

一、基礎配置：1.IP地址配置：VPCS1>ip192.168.1.1255.255.255.0192.168.1.254R1(config)#intg0/1R1(config-if)#ipadd192.168.1.254255.255.255.0R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipadd192.168.2.1255.255.255.0R1(config-if)#noshuR2(config)#intg0/0R2(config-if)#ipadd192.168.2.2255.255.255.0R2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipadd200.1.1.1255.255.255.0R2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipadd200.1.1.2255.255.255.0R3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipadd200.2.2.1255.255.255.0R3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipadd200.2.2.2255.255.255.0R4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd192.168.3.254255.255.255.0R4(config-if)#noshuVPCS2>ip192.168.3.1255.255.255.0192.168.3.2542.配置內(nèi)網(wǎng)路由（1）總公司網(wǎng)絡內(nèi)部互通，配置如下：R2(config)#iproute192.168.1.0255.255.255.0192.168.2.1（2）為總公司內(nèi)部路由器R1配置默認路由：R1(config)#iproute0.0.0.00.0.0.0192.168.2.2（3）分公司網(wǎng)絡內(nèi)部已互通，不需要配置。3.配置外網(wǎng)路由，使Internet公網(wǎng)互通：R2(config)#iproute200.2.2.0255.255.255.0200.1.1.2R4(config)#iproute200.1.1.0255.255.255.0200.2.2.1

二、為R2配置IPSecVPN

采用IPSec保護通信雙方的數(shù)據(jù)，需要通信雙方協(xié)商決定一個SA（SecurityAssociation，安全聯(lián)盟），SA是單向的，它包括協(xié)議、算法、密鑰等內(nèi)容。IPSecSA由三個參數(shù)唯一標識，這三個參數(shù)是：目的IP地址、安全協(xié)議（ESP或AH）和一個稱為SPI（SecurityParametersIndex）的32位值。SPI可以手工指定，也可以由第一階段自動生成。

通信雙方需要保護的數(shù)據(jù)稱為感興趣流，通過ACL配置，ACL允許的流量，將被保護。保護感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗證算法（md5、sha、sha256、sha384、sha512），由第二階段的ipsec轉換集來定義。

第二階段還要定義安全策略cryptomap用來指定對哪個感興趣流進行保護；保護感興趣流時采用哪個ipsec轉換集；指定密鑰和SPI等參數(shù)的產(chǎn)生方法是手工配置，還是通過調(diào)用第一階段的IKE自動協(xié)商生成；對于隧道模式還要指定隧道對端的IP地址。

相同策略名不同序號的安全策略構成一個安全策略組，一個安全策略組可以應用到一個接口上。將安全策略組應用到安全網(wǎng)關的接口上后，一旦有流量經(jīng)過這個接口，就會撞上這個cryptomap安全策略組，若該這些流量匹配這個安全策略組指定的感興趣流，就對這些流量進行加密封裝，同時加上新的源IP地址和目的IP地址。再根據(jù)新的目的IP地址，重新查路由表送出受保護的流量。為R2配置IPSecVPN的方法如下：1.啟用IKER2(config)#cryptoisakmpenable命令cryptoisakmpenable用于啟用第一階段的IKE。IKE（InternetKeyExchange,因特網(wǎng)密鑰交換）是一種通用的交換協(xié)議，可為IPSEC提供自動協(xié)商交換密鑰的服務。若第二階段的安全策略cryptomap指定密鑰和SPI等參數(shù)的產(chǎn)生方式是通過調(diào)用第一階段的IKE自動協(xié)商產(chǎn)生，則需要啟用IKE，IKE默認已經(jīng)啟用，若被手工關閉，則需再次啟用。IKE采用了ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）所定義的密鑰交換框架體系，若無特殊說明，后文中IKE與ISAKMP這兩個詞可互相通用。2.配置第一階段：1）創(chuàng)建isakmppolicy10，查看默認參數(shù)：R2(config)#cryptoisakmppolicy10R2#showcryptoisakmppolicyGlobalIKEpolicyProtectionsuiteofpriority10encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimit可以看到IKE的默認參數(shù)：加密算法是DES，驗證算法是SHA，驗證方法是RSA簽名，DH組是組1，ISAKMPSA的存活時間是86400秒。2）為isakmppolicy10自定義參數(shù)：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryption3desR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-share//將驗證方法設置為預共享密鑰。R2(config-isakmp)#group23）配置ISAKMP預共享密鑰：R2(config)#cryptoisakmpkeyciscoaddress200.2.2.23.配置第二階段：（1）配置感興趣流。通過ACL配置感興趣流，ACL允許的流量將被保護。命令如下：R2(config)#ipaccess-listextendedvpnacl1R2(config-ext-nacl)#permitip192.168.1.00.0.0.255192.168.3.00.0.0.2552）配置ipsec轉換集：ipsec轉換集用來定義保護感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗證算法（md5、sha、sha256、sha384、sha512）。R2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmac3）配置第二階段的安全策略cryptomap安全策略由策略名、序號組成，相同策略名的安全策略構成一個安全策略組，一個接口只能連接一個安全策略組。安全策略用來指定對哪個感興趣流進行保護；保護時采用哪個ipsec轉換集；密鑰和SPI等參數(shù)的產(chǎn)生方法是手工指定，還是通過調(diào)用第一階段的IKE自動協(xié)商生成；隧道模式下還要指定隧道對端的IP地址。R2(config)#cryptomapcrymap110ipsec-isakmp//關鍵字ipsec-isakmp指密鑰和SPI等參數(shù)由第一階段isakmp自動協(xié)商生成。R2(config-crypto-map)#matchaddressvpnacl1R2(config-crypto-map)#settransform-settrans1R2(config-crypto-map)#setpeer200.2.2.24.在外部接口調(diào)用cryptomapR2(config)#intg0/1R2(config-if)#cryptomapcrymap1三、配置網(wǎng)關R4在公司分部的網(wǎng)關R4上用同樣的方法進行配置：R4(config)#cryptoisakmpenableR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryption3desR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddress200.1.1.1R4(config)#ipaccess-listextendedvpnacl2R4(config-ext-nacl)#permitip192.168.3.00.0.0.255192.168.1.00.0.0.255R4(config-ext-nacl)#exitR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptomapcrymap210ipsec-isakmp（將紅色字體部分加粗）R4(config-crypto-map)#matchaddressvpnacl2R4(config-crypto-map)#setpeer200.1.1.1R4(config-crypto-map)#settransform-settrans1R4(config-crypto-map)#exitR4(config)#intg0/0R4(config-if)#cryptomapcrymap2四、配置總部與分部間的私網(wǎng)路由1.在總部出口網(wǎng)關上配置去往分部內(nèi)網(wǎng)的路由。在總部的出口網(wǎng)關R2上，配置“iproute192.168.3.0255.255.255.0200.1.1.2”，R2遇到去往192.168.3.0的流量，通過查路由表，從g0/1接口送出。在g0/1接口上，撞上cryptomap，匹配感興趣流，并根據(jù)IPSECVPN的配置，對數(shù)據(jù)進行加密封裝，同時加上新的源IP地址和目的IP地址，分別是源200.1.1.1，目的200.2.2.2。根據(jù)新的目的IP地址，重新查路由表，發(fā)現(xiàn)出接口是g0/1，再把加密后的數(shù)據(jù)從g0/1送出。配置命令如下：R2(config)#iproute192.168.3.0255.255.255.0200.1.1.22.在分部出口網(wǎng)關上配置去往總部內(nèi)網(wǎng)的路由。R4(config)#iproute192.168.1.0255.255.255.0200.2.2.1五、測試及查詢：1.ping測試R1#ping192.168.3.1source192.168.1.254re100由于源地址192.168.1.254和目的地址192.168.3.1匹配感興趣流，所以路由器會將這些從192.168.1.254出發(fā)的ICMP數(shù)據(jù)包加密封裝后送往目的IP地址192.168.3.1。2.查詢配置及狀態(tài)1）查詢crypto的相關配置R2#showrun|secryptocryptoisakmppolicy10encr3deshashsha512authenticationpre-sharegroup2cryptoisakmpkeyciscoaddress200.2.2.2cryptoipsectransform-settrans1esp-aesesp-sha512-hmacmodetunnelcryptomapcrymap110ipsec-isakmpsetpeer200.2.2.2settransform