HC110311003HCNA-Security-CBSN第九章IPSecVPN技术V1.0分析.ppt

快速模式协商过程 快速模式一共需要交换3个消息 消息1和消息2中，交换SA、KEY、Nonce和ID。用以协商算法、保证PFS以及提供“在场证据” 消息3是用于验证响应者是否可以通信，相当于确认信息。 SA载荷、Ni、Xa、发起者ID 响应SA载荷、 Ni、Xa、响应者ID 确认信息 Peer 1 Peer 2 发 起 方 接 收 方 密钥保护 密钥生存周期 密钥具有一定生存期，当生存期到达时，用新的密钥替代原有密钥； 完美向前必威体育官网网址（PFS） 定义两个密钥之间无任何关系 Diffie-Hellman(DH)组 公共密钥加密系统，可在一个公共的、不受安全保护通讯信道（Internet）交换共享密钥生成过程信息； IPSec流量处理 出站与入站 丢弃报文 绕过安全服务 应用安全服务 总部 分支机构 入站 入站 出站 出站 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 组网需求 组网需求 PC1与PC2之间进行安全通信，在FWA与FWB之间使用IKE自动协商建立安全通道。 在FWA和FWB上均配置序列号为10的IKE提议。 为使用pre-shared key验证方法的提议配置验证字。 FWA与FWB均为固定公网地址 USG A USG B Eth 0/0/0 /16 Eth 0/0/0 /16 Eth 0/0/1 /24 Eth 0/0/1 /24 Host 1 /24 Host 2 /24 IPSec VPN配置思路 配置IPSec策略 在接口上引用IPSec 放开相应域间的过滤规则 配置到对端内网网段的路由 结束 开始 配置IPSec提议 配置IKE提议 配置IKE对等体 基础配置（如配置接口IP地址等） IPSec配置过程——IPSec提议 执行命令ipsec proposal proposal-name，创建安全提议并进入安全提议视图。 执行命令transform { ah | ah-esp | esp }，选择安全协议。缺省情况使用esp。 执行命令encapsulation-mode tunnel，选择报文封装形式。 执行命令ah authentication-algorithm { md5 | sha1 }，设置AH协议采用的验证算法。缺省情况下，在IPSec安全提议中AH协议采用MD5验证算法 执行命令esp authentication-algorithm { md5 | sha1 }，设置ESP协议采用的验证算法。缺省情况下使用md5，即MD5验证算法。 执行命令esp encryption-algorithm { 3des | des | aes | scb2}，设置ESP协议采用的加密算法。缺省情况使用DES加密算法。 IPSec配置过程——IKE提议 执行命令ike proposal proposal-number，创建并进入IKE安全提议视图。 执行命令authentication-method pre-share，设置验证方法。 执行命令encryption-algorithm { des-cbc | 3des-cbc }，选择加密算法。缺省情况下使用CBC模式的56 bits DES加密算法。 执行命令authentication-algorithm { md5 | sha }，选择验证算法。缺省使用SHA1验证算法。 执行命令dh { group1 | group2 | group5}，选择Diffie-Hellman组标识。缺省为group1，即768-bit的Diffie-Hellman组 执行命令sa duration interval，设置安全联盟生存周期。 如果选择了pre-shared key验证方法，需要为每个对端配置预共享密钥。建立安全连接的两个对端的预共享密钥必须一致。 IPSec配置过程——IKE对等体 执行命令ike peer peer-name，创建IKE Peer并进入IKE Peer视图。 执行命令exchange-mode { main | aggressive }，配置协商模式。 执行命令ike-proposal proposal-number，配置IKE安全提议。 执行命令local-id-type { ip | name }，配置IKE Peer的ID类型（可选）。 执行命令pre-shared-key key-string，配置与对端共享的pre-shared key。 执行local-address ip-address ，配置IKE协商时本端ip地址。 执行命令rem