思科专家级认证ccieWord下载.docx
《思科专家级认证ccieWord下载.docx》由会员分享,可在线阅读,更多相关《思科专家级认证ccieWord下载.docx(27页珍藏版)》请在冰豆网上搜索。
数字签名
IPSec安全协议
验证报头(AH)
封装安全有效负载(ESP)
密钥管理和安全关联
IPSec分组的处理
配置步骤总结
各类IPSec范畴VPN
普通LAN_to_LANVPN
DynamicLAN_to_LANVPN
DynamicMultipointVPN(DMVPN)
EasyVPN(EzVPN)又名远程VPN或接入VPN
SSLVPN
图1:
如上图所示,在普通情况下,穿越了公网的两个LAN的PC,是无法直接通过输入对方LAN的内网IP地址进行访问的,无法解决公司的某些办公问题和数据访问问题。
图2:
如上图所示,如果两个LAN的路由器是直接相连,那么任何PC都可以直接输入对方LAN的内网IP地址进行访问,解决公司的办公和数据访问等任何问题。
但是LAN和LAN之间,有时因为距离问题或成本问题,无法做到直接相连路由器,必须得穿越公网,这样就无法解决上述的访问需求,要解决此类问题,可通过隧道技术,对IP包头重新封装,保留内网地址同时对ISP隐藏,待穿越了ISP之后,到达目标LAN路由器,再还原IP包头,此时再查看最初的目的IP(即内网IP)。
如下图:
返回目录
通过手动Tunnel来解决远程LAN之间使用内网地址互访:
在穿越了公网的LAN需要直接使用内网地址访问对端PC时,可通过隧道技术来解决,而且隧道技术是当前解决此问题的唯一方法,隧道技术可在OSI二层的三层实施,隧道技术,正是VPN技术。
然而,由于LAN与LAN之间传输的数据带有私密性,有时必须考虑到数据的安全性,需要对数据进行加密后再传输。
所以在隧道技术VPN的环境下,最好能够在隧道中集成加密技术。
而IPSec,正是在这种需求下诞生的,IPSec就同时集成了隧道技术和加密技术,称为IPSecVPN,而IPSec,是定义隧道如何实现,加密如何实施,是一系列框架的总结,IPSec并非一个单纯的协议。
二层VPN
递送报头在二层,如:
ATM,帧中继
三层VPN
递送报头在三层,如:
GRE,MPLS,IPSec
GRE(通用路由选择封装)由Cisco开发,并被标准化,但没有安全机制。
MPLSVPN,也是Cisco倡导的,也被IETF标准化。
用户关心数据安全性,IPSec是IETF开发的一组协议,支持身份验证,完整性,访问控制和机密性。
在普通情况下,两个LAN之间建立隧道的VPN,称为LAN_to_LANVPN,
VPN另一方预先不知道的,可使用远程接入VPN,称为easyVPN(EzVPN)。
安全协议:
验证报头(AH),封装安全有效负载(ESP)
密钥管理:
ISAKMP,IKE,SKEME
算法:
用于加密和身份验证
以往的字母替换法。
加密和解密的数学函数,数据安全是建立在密钥基础上的,知道算法没关系,没有密钥没用。
加密算法分:
对称加密算法和非对称加密算法。
对称加密算法:
发送方和接收方使用相同的密钥,使用什么加密,就使用什么解密,所以要有好的方法分发密钥,要不然被截取,依然不安全,常见算法有:
DES,3DES,AES.
DES56位,不推荐,24小时内可枚举破解。
非对称加密算法:
也叫公钥算法,用两个密钥,加密的叫公钥,可以公开,解密的是私钥,在数学上是相关的,但无法推导。
任何有公钥的人都可以加密,但只有有私钥的人才能解密,而私钥只有接受方才知道,可以不传出去。
公钥算法没有完全取代对称算法,只是用作他们的密钥分发,因为自己慢,所以不会取代对称加密,只是他们的补充。
公钥加密可以用来验证消息,叫做数字签名,有不可抵赖性,思想是将变长的消息转换成定长的压缩输出-消息摘要,根据消息摘要无法重建原始消息。
过程:
要发文件给对方,先计算一个摘要,然后公钥对摘要进行加密变成数字签名,将文件和签名一起发过去,如果对方根据文件计算出的摘要与原有不符,便认为被改过.
对消息摘要进行加密,称为加密的消息摘要,或叫消息验证码(HMAC)
(HASH)
IPSec提供访问控制,数据完整性,身份验证,防止重放和数据机密性。
安全协议有:
验证报头(AH),封装安全有效负载(ESP),为IP数据提供安全。
有两种模式,传输模式和隧道模式。
传输模式:
在IP报头和高层协议报头之间插入一个IPSec报头(AH或ESP),IPSec报头和数据都有加密验证,认为目的地是可达的,所以源不会修改目标IP地址,只能用于IP端点和IPSec端点相同的情形。
(比如就是两个点之间直接给自己使用VPN,而不是给别人使用)
所以传输模式不能进行NAT转换。
隧道模式:
保留原始IP报头,写入新报头,并加密其它。
提供数据完整性,身份验证,防止重放,但没有机密性。
它是一种IP协议,位置同ESP。
提供数据完整性,身份验证,防止重放和数据机密性,将原始的加密后封装在报头和报尾,保护IP分组。
加密算法用的最多的是DES和3DES,所以要解决分发问题。
生成,分发和存储统称为密钥管理,下面Internet密钥交换(IKE)协议就是协商密钥的。
SA(安全关联)
(IKE)ISAKMP
在IOS上配置IKE:
cryptoisakmppolicy10
encr3des
hashmd5
authenticationpre-share
group2
加密算法包括:
DES,3DES,AES
验证方法有4种:
预共享密钥(最多),数字签名(最多),2次公钥加密和4次公钥加密。
预共享密钥必须双方一致,
数字签名验证时,IOS只支持RSA,要用证书。
安全策略数据库(SPD)
安全关联数据库(SADB)
安全策略数据库(SPD)决定了如何处理对等体之间的IP数据流
安全关联数据库(SADB)包含每个活动安全关联参数
安全策略数据库(SPD)包含:
目标IP,源IP,名称,数据敏感性等级,传输层协议,源和目标端口。
安全关联数据库(SADB),每个条目都宣言了一个SA,有关以下参数:
序列号,序列号溢出,反重放窗口,SA寿命,
模式:
传输还是隧道
AH验证算法:
MD5还是SHA
ESP验证算法:
ESP加密算法:
DES,3DES
查看SA:
shcryipsecsa
配置加密算法和封装方法(还可定义模式):
cryptoipsectransform-setxxxesp-3desesp-sha-hmac
使用安全协议ESP,用3DES来加密,用sha-hmac来确保数据完整性,使用隧道模式来封装(默认),
查看使用:
shcryipsectransform-set
看IKE协商
shcryisakmppolicy
配置:
group2(默认组1,就是IKE相关算法)
配置密钥:
cryptoisakmpkeycisco123address23.1.1.3
查看:
shcryisakmpsa
一:
ISAKMPSA步骤:
1.定义IKE(Internet密钥交换),即ISAKMP
2.配置密钥
3.配置加密和封装
二:
IPSecSA步骤:
1.创建邻居
2.调用ISAKMP的加密和封装
3.定义要穿越VPN的流量
三:
应用IPSecSA到接口
1.
普通LAN_to_LANVPN
此类VPN,即两个穿越了ISP的LAN之间建立VPN连接,为其内网PC与远程LAN的PC直接通过内网IP进行互访。
router(config)#cryptoisakmppolicy1
router(config-isakmp)#encryption3des
router(config-isakmp)#hashmd5
router(config-isakmp)#authenticationpre-share
router(config-isakmp)#group2
router(config-isakmp)#exit
router(config)#cryptoisakmpkey0cisco123address12.1.1.1
router(config)#cryptoipsectransform-setabcesp-3desesp-md5-hmac
router(cfg-crypto-trans)#exit
router(config)#access-list100permitip192.168.1.00.0.0.25510.1.1.00.0.0.255
router(config)#cryptomapvpn1ipsec-isakmp
1.