《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第4章 任務(wù)4.1配置 IPSEC VPN

第4章虛擬專用網(wǎng)技術(shù)編著：

秦?zé)鰟诖浣?/p>

任務(wù)4.1配置IPSECVPN

隨著A公司的發(fā)展壯大，在多地開(kāi)設(shè)了分公司，總公司和各分公司之間的網(wǎng)絡(luò)需要互連；在家辦工的員工以及出差的員工需要連接到公司內(nèi)網(wǎng)；供貨商、銷售商也需要連接到公司的外聯(lián)網(wǎng)。傳統(tǒng)的專線連接，雖然可以確?？偣九c分公司間網(wǎng)絡(luò)連接的安全性，但布署成本高、變更不靈活。出差的員工雖然可以通過(guò)遠(yuǎn)程撥號(hào)接入公司內(nèi)網(wǎng)，但速度慢、費(fèi)用高。而虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)，能利用因特網(wǎng)或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，創(chuàng)建一條安全的虛擬專用網(wǎng)絡(luò)通道，是公司建立自己的內(nèi)聯(lián)網(wǎng)（Intrannet）和外聯(lián)網(wǎng)（Extranet）的最好選擇。

虛擬專用網(wǎng)絡(luò)，一方面是虛擬的，它的傳輸通道可以是因特網(wǎng)這樣的共享資源，因?yàn)楣蚕恚再M(fèi)用低。另一方面，它又是專用的，利用加密技術(shù)和隧道技術(shù)，可以為分處各地的公司節(jié)點(diǎn)構(gòu)建出一條安全的專用隧道，確保數(shù)據(jù)的私密性（Confidentiality）、完整性（Integrity）和源認(rèn)證（Authentication）等得到保障。再一方面，它是靈活的，只需通過(guò)軟件配置，就可以方便的增刪用戶，擴(kuò)充分支接入點(diǎn)。

加密技術(shù)是虛擬專用網(wǎng)絡(luò)的基礎(chǔ)，安全隧道技術(shù)是虛擬專用網(wǎng)絡(luò)的核心。安全隧道技術(shù)實(shí)質(zhì)上是一個(gè)加密、封裝、傳輸和拆封、解密的過(guò)程。虛擬專用網(wǎng)絡(luò)傳輸數(shù)據(jù)的過(guò)程形式多樣，為便于理解，抽取一種典型的情況舉例說(shuō)明：公司分部與公司總部分處兩地，運(yùn)用VPN技術(shù)，通過(guò)因特網(wǎng)，將它們連接成一個(gè)專用網(wǎng)絡(luò)?，F(xiàn)從公司分部，以私網(wǎng)IP地址訪問(wèn)公司總部的網(wǎng)絡(luò)。

首先，發(fā)送端的明文流量進(jìn)入VPN設(shè)備，根據(jù)訪問(wèn)控制列表和安全策略決定該流量是直接明文轉(zhuǎn)發(fā)，還是加密封裝后進(jìn)入安全隧道轉(zhuǎn)發(fā)，還是將該流量丟棄。

若需進(jìn)入安全隧道，先把包括私網(wǎng)IP地址在內(nèi)的數(shù)據(jù)報(bào)文進(jìn)行加密，以確保數(shù)據(jù)的私密性；再將安全協(xié)議頭部、加密后的數(shù)據(jù)報(bào)文和預(yù)共享密鑰與一起進(jìn)行HASH運(yùn)算提取指紋，即進(jìn)行HMAC，以確保數(shù)據(jù)的完整性和源認(rèn)證；再封裝上新的公網(wǎng)IP地址，轉(zhuǎn)發(fā)進(jìn)入公網(wǎng)。數(shù)據(jù)在公網(wǎng)傳輸?shù)倪^(guò)程，即是在安全隧道中傳輸?shù)倪^(guò)程，除了公網(wǎng)IP地址是明文的，其它部分都被加密封裝保護(hù)起來(lái)了。數(shù)據(jù)到達(dá)隧道的另一端，即到達(dá)公司總部后，先由VPN設(shè)備對(duì)數(shù)據(jù)包進(jìn)行裝配、還原，經(jīng)過(guò)認(rèn)證、解密，獲取、查看其私網(wǎng)目的IP地址，轉(zhuǎn)發(fā)到公司總部的目的地。任務(wù)4.1IPSECVPN

因?yàn)镮P協(xié)議在設(shè)計(jì)之初并沒(méi)有考慮安全性，存在很多安全隱患，所以在隨后的IPV6設(shè)計(jì)中，加強(qiáng)了安全設(shè)計(jì)，IPSec（IPSecurity）成為IPV6的重要組成部分。IPSec不僅是IPV6的一個(gè)部分，同時(shí)，它也能被IPv4使用，通過(guò)IPSec可以選擇所需的安全協(xié)議、算法、定義密鑰的生成與交換方法，為通信節(jié)點(diǎn)間提供安全的IP傳輸通道。

IPSec使用兩種安全協(xié)議提供服務(wù)，一種是AH（AuthenticationHeader,驗(yàn)證頭），另一種是ESP（EncapsulatingSecurityPayload，封裝安全載荷）。其中，AH協(xié)議只提供源認(rèn)證和完整性校驗(yàn)，不提供加密保護(hù)。ESP協(xié)議則提供加密、源認(rèn)證和完整性校驗(yàn)。

不論是AH還是ESP，都有兩種工作模式，一種是傳輸模式（TransportMode），另一種是隧道模式（TunnelMode）。在傳輸模式中，源和目的IP地址及IP包頭域是不加密的，從源到目的端的數(shù)據(jù)使用原來(lái)的IP地址進(jìn)行通信。攻擊者截獲數(shù)據(jù)后，雖無(wú)法破解數(shù)據(jù)內(nèi)容，但可看到通信雙方的地址信息。傳輸模式適用于保護(hù)端到端的通信，如局域網(wǎng)內(nèi)網(wǎng)絡(luò)管理員遠(yuǎn)程網(wǎng)管設(shè)備時(shí)的通道加密。

隧道模式中，用戶的整個(gè)IP數(shù)據(jù)包被加密后封裝在一個(gè)新的IP數(shù)據(jù)包中，新的源和目的IP地址是隧道兩端的兩個(gè)安全網(wǎng)關(guān)的IP地址，原來(lái)的IP地址被加密封裝起來(lái)了。攻擊者截獲數(shù)據(jù)后，不但無(wú)法破解數(shù)據(jù)內(nèi)容，而且也無(wú)法了解通信雙方的地址信息。隧道模式適用于站點(diǎn)到站點(diǎn)間建立隧道，保護(hù)站點(diǎn)間的通信數(shù)據(jù)，如跨越公網(wǎng)的總公司和分公司、移動(dòng)用戶通過(guò)公網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)等場(chǎng)景。

IPSECVPN的傳輸分為兩個(gè)階段，協(xié)商階段和數(shù)據(jù)傳輸階段。

如圖4-1-1所示，打開(kāi)EVE-NG，搭建實(shí)驗(yàn)拓?fù)洹D4-1-1實(shí)驗(yàn)拓?fù)鋱D

一、基礎(chǔ)配置：1.IP地址配置：VPCS1>ip192.168.1.1255.255.255.0192.168.1.254R1(config)#intg0/1R1(config-if)#ipadd192.168.1.254255.255.255.0R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipadd192.168.2.1255.255.255.0R1(config-if)#noshuR2(config)#intg0/0R2(config-if)#ipadd192.168.2.2255.255.255.0R2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipadd200.1.1.1255.255.255.0R2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipadd200.1.1.2255.255.255.0R3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipadd200.2.2.1255.255.255.0R3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipadd200.2.2.2255.255.255.0R4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd192.168.3.254255.255.255.0R4(config-if)#noshuVPCS2>ip192.168.3.1255.255.255.0192.168.3.2542.配置內(nèi)網(wǎng)路由（1）總公司網(wǎng)絡(luò)內(nèi)部互通，配置如下：R2(config)#iproute192.168.1.0255.255.255.0192.168.2.1（2）為總公司內(nèi)部路由器R1配置默認(rèn)路由：R1(config)#iproute0.0.0.00.0.0.0192.168.2.2（3）分公司網(wǎng)絡(luò)內(nèi)部已互通，不需要配置。3.配置外網(wǎng)路由，使Internet公網(wǎng)互通：R2(config)#iproute200.2.2.0255.255.255.0200.1.1.2R4(config)#iproute200.1.1.0255.255.255.0200.2.2.1

二、為R2配置IPSecVPN

采用IPSec保護(hù)通信雙方的數(shù)據(jù)，需要通信雙方協(xié)商決定一個(gè)SA（SecurityAssociation，安全聯(lián)盟），SA是單向的，它包括協(xié)議、算法、密鑰等內(nèi)容。IPSecSA由三個(gè)參數(shù)唯一標(biāo)識(shí)，這三個(gè)參數(shù)是：目的IP地址、安全協(xié)議（ESP或AH）和一個(gè)稱為SPI（SecurityParametersIndex）的32位值。SPI可以手工指定，也可以由第一階段自動(dòng)生成。

通信雙方需要保護(hù)的數(shù)據(jù)稱為感興趣流，通過(guò)ACL配置，ACL允許的流量，將被保護(hù)。保護(hù)感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗(yàn)證算法（md5、sha、sha256、sha384、sha512），由第二階段的ipsec轉(zhuǎn)換集來(lái)定義。

第二階段還要定義安全策略cryptomap用來(lái)指定對(duì)哪個(gè)感興趣流進(jìn)行保護(hù)；保護(hù)感興趣流時(shí)采用哪個(gè)ipsec轉(zhuǎn)換集；指定密鑰和SPI等參數(shù)的產(chǎn)生方法是手工配置，還是通過(guò)調(diào)用第一階段的IKE自動(dòng)協(xié)商生成；對(duì)于隧道模式還要指定隧道對(duì)端的IP地址。

相同策略名不同序號(hào)的安全策略構(gòu)成一個(gè)安全策略組，一個(gè)安全策略組可以應(yīng)用到一個(gè)接口上。將安全策略組應(yīng)用到安全網(wǎng)關(guān)的接口上后，一旦有流量經(jīng)過(guò)這個(gè)接口，就會(huì)撞上這個(gè)cryptomap安全策略組，若該這些流量匹配這個(gè)安全策略組指定的感興趣流，就對(duì)這些流量進(jìn)行加密封裝，同時(shí)加上新的源IP地址和目的IP地址。再根據(jù)新的目的IP地址，重新查路由表送出受保護(hù)的流量。為R2配置IPSecVPN的方法如下：1.啟用IKER2(config)#cryptoisakmpenable命令cryptoisakmpenable用于啟用第一階段的IKE。IKE（InternetKeyExchange,因特網(wǎng)密鑰交換）是一種通用的交換協(xié)議，可為IPSEC提供自動(dòng)協(xié)商交換密鑰的服務(wù)。若第二階段的安全策略cryptomap指定密鑰和SPI等參數(shù)的產(chǎn)生方式是通過(guò)調(diào)用第一階段的IKE自動(dòng)協(xié)商產(chǎn)生，則需要啟用IKE，IKE默認(rèn)已經(jīng)啟用，若被手工關(guān)閉，則需再次啟用。IKE采用了ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）所定義的密鑰交換框架體系，若無(wú)特殊說(shuō)明，后文中IKE與ISAKMP這兩個(gè)詞可互相通用。2.配置第一階段：1）創(chuàng)建isakmppolicy10，查看默認(rèn)參數(shù)：R2(config)#cryptoisakmppolicy10R2#showcryptoisakmppolicyGlobalIKEpolicyProtectionsuiteofpriority10encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimit可以看到IKE的默認(rèn)參數(shù)：加密算法是DES，驗(yàn)證算法是SHA，驗(yàn)證方法是RSA簽名，DH組是組1，ISAKMPSA的存活時(shí)間是86400秒。2）為isakmppolicy10自定義參數(shù)：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryption3desR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-share//將驗(yàn)證方法設(shè)置為預(yù)共享密鑰。R2(config-isakmp)#group23）配置ISAKMP預(yù)共享密鑰：R2(config)#cryptoisakmpkeyciscoaddress200.2.2.23.配置第二階段：（1）配置感興趣流。通過(guò)ACL配置感興趣流，ACL允許的流量將被保護(hù)。命令如下：R2(config)#ipaccess-listextendedvpnacl1R2(config-ext-nacl)#permitip192.168.1.00.0.0.255192.168.3.00.0.0.2552）配置ipsec轉(zhuǎn)換集：ipsec轉(zhuǎn)換集用來(lái)定義保護(hù)感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗(yàn)證算法（md5、sha、sha256、sha384、sha512）。R2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmac3）配置第二階段的安全策略cryptomap安全策略由策略名、序號(hào)組成，相同策略名的安全策略構(gòu)成一個(gè)安全策略組，一個(gè)接口只能連接一個(gè)安全策略組。安全策略用來(lái)指定對(duì)哪個(gè)感興趣流進(jìn)行保護(hù)；保護(hù)時(shí)采用哪個(gè)ipsec轉(zhuǎn)換集；密鑰和SPI等參數(shù)的產(chǎn)生方法是手工指定，還是通過(guò)調(diào)用第一階段的IKE自動(dòng)協(xié)商生成；隧道模式下還要指定隧道對(duì)端的IP地址。R2(config)#cryptomapcrymap110ipsec-isakmp//關(guān)鍵字ipsec-isakmp指密鑰和SPI等參數(shù)由第一階段isakmp自動(dòng)協(xié)商生成。R2(config-crypto-map)#matchaddressvpnacl1R2(config-crypto-map)#settransform-settrans1R2(config-crypto-map)#setpeer200.2.2.24.在外部接口調(diào)用cryptomapR2(config)#intg0/1R2(config-if)#cryptomapcrymap1三、配置網(wǎng)關(guān)R4在公司分部的網(wǎng)關(guān)R4上用同樣的方法進(jìn)行配置：R4(config)#cryptoisakmpenableR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryption3desR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddress200.1.1.1R4(config)#ipaccess-listextendedvpnacl2R4(config-ext-nacl)#permitip192.168.3.00.0.0.255192.168.1.00.0.0.255R4(config-ext-nacl)#exitR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptomapcrymap210ipsec-isakmp（將紅色字體部分加粗）R4(config-crypto-map)#matchaddressvpnacl2R4(config-crypto-map)#setpeer200.1.1.1R4(config-crypto-map)#settransform-settrans1R4(config-crypto-map)#exitR4(config)#intg0/0R4(config-if)#cryptomapcrymap2四、配置總部與分部間的私網(wǎng)路由1.在總部出口網(wǎng)關(guān)上配置去往分部?jī)?nèi)網(wǎng)的路由。在總部的出口網(wǎng)關(guān)R2上，配置“iproute192.168.3.0255.255.255.0200.1.1.2”，R2遇到去往192.168.3.0的流量，通過(guò)查路由表，從g0/1接口送出。在g0/1接口上，撞上cryptomap，匹配感興趣流，并根據(jù)IPSECVPN的配置，對(duì)數(shù)據(jù)進(jìn)行加密封裝，同時(shí)加上新的源IP地址和目的IP地址，分別是源200.1.1.1，目的200.2.2.2。根據(jù)新的目的IP地址，重新查路由表，發(fā)現(xiàn)出接口是g0/1，再把加密后的數(shù)據(jù)從g0/1送出。配置命令如下：R2(config)#iproute192.168.3.0255.255.255.0200.1.1.22.在分部出口網(wǎng)關(guān)上配置去往總部?jī)?nèi)網(wǎng)的路由。R4(config)#iproute192.168.1.0255.255.255.0200.2.2.1五、測(cè)試及查詢：1.ping測(cè)試R1#ping192.168.3.1source192.168.1.254re100由于源地址192.168.1.254和目的地址192.168.3.1匹配感興趣流，所以路由器會(huì)將這些從192.168.1.254出發(fā)的ICMP數(shù)據(jù)包加密封裝后送往目的IP地址192.168.3.1。2.查詢配置及狀態(tài)1）查詢crypto的相關(guān)配置R2#showrun|secryptocryptoisakmppolicy10encr3deshashsha512authenticationpre-sharegroup2cryptoisakmpkeyciscoaddress200.2.2.2cryptoipsectransform-settrans1esp-aesesp-sha512-hmacmodetunnelcryptomapcrymap110ipsec-isakmpsetpeer200.2.2.2settransform