IPsec与IKE的关系

www.h3c.com
数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication）
IPsec提供了标准、健壮且包含广泛的机制来保证IP以上 提供了标准、健壮且包含广泛的机制来保证 以上 提供了标准 层的安全
www.h3c.com
4
目录
ESP协议采用的加密算法
esp encryption-algorithm { 3des | des | aes}
www.h3c.com
28
IPSec 的配置任务及命令 的配置任务及命令(1/1)
定义加密卡安全提议
[H3C] ipsec card-proposal proposal-name 设置安全协议对IP报文的封装模式 [H3C-ipsec-card-proposal-test]encapsulation-mode{ transport | tunnel }
www.h3c.com
27
IPSec 的配置任务及命令 的配置任务及命令(1/0)
创建加密访问控制列表 定义安全提议
[H3C] ipsec proposal proposal-name [H3C] ipsec card-proposal proposal-name
设置安全协议对IP报文的封装模式
[H3C-ipsec-proposal-test] encapsulation-mode { transport | tunnel }
第4章 IPsec与IKE 章 与
ISSUE 1.1
日期： 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播
课程目标
学习完本课程，您应该能够： 学习完本课程，您应该能够：
了解IPSec提出背景 了解 提出背景 熟悉IPSec工作原理 工作原理 熟悉 熟悉IKE工作原理 工作原理 熟悉 掌握IPSec的基本配置和应用 的基本配置和应用 掌握
www.h3c.com
24
IPSEC NAT穿越典型应用 穿越典型应用
IPSEC隧道 隧道
通 过 IKE 握 手 保持NAT表项
企业总部
不检查IKE源IP/UDP端口 使用UDP 500/500封装
通过IKE握手保 持NAT表项
IKE使能 NAT穿越
ADSL获得私网 获得私网 IP地址 地址
NAT ADSL获得私网 地 获得私网IP地 获得私网 址
IPSEC穿越 穿越NAT的实现 穿越 的实现
IKE协商 协商
解决IKE报文使用UDP端口500的问题 双方支持NAT穿越 的确认 双方的协商报文经过了NAT设备 的确认
UDP封装格式来实现数据报文 封装格式来实现数据报文NAT穿越 封装格式来实现数据报文 穿越 使用IKE 握手保持 握手保持NAT表项不超时 使用 表项不超时
30
IKE的配置任务 的配置任务(1) 的配置任务
创建IKE安全策略 安全策略 创建 选择加密算法 选择认证方法 选择哈希散列算法 选择DH的组标识 设置IKE协商安全联盟的生存周期
www.h3c.com
31
IKE的配置任务 的配置任务(2) 的配置任务
配置预共享密钥 配置IKE keepalive定时器
接受对端 确认的策略
发起方的密钥生成信息
产生密钥
密钥生成
密钥交换
接收方的密钥生成信息
密钥生成
发起方身份和验证数据
验证对方 身份
身份验证和 交换过程验证
ID交换及验证 交换及验证
身份验证和 交换过程验证
接收方的身份和验证数据
www.h3c.com
17
IKE的交换过程（野蛮模式） 的交换过程（野蛮模式） 的交换过程
DES (Data Encryption Standard) ,3DES AES 其他的加密算法： 其他的加密算法：Blowfish ，cast …
www.h3c.com
7
IPSec 的安全特点
数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication） 反重播（Anti-Replay）
TCP UDP
IPSec
IP
加密的IP报文 加密的 报文
www.h3c.com
21
IKE在IPSec中的作用 在 中的作用
降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重播服务 IPSec 允许在端与端之间动态认证
www.h3c.com
22
IPSEC NAT穿越 穿越
企业分支
企业分支
www.h3c.com
25
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSec配置前的准备 配置前的准备
确定需要保护的数据 确定使用安全保护的路径 确定使用那种安全保护 确定安全保护的强度
IPSEC穿越 穿越NAT存在的问题 存在的问题 穿越
IKE协商的 地址和端口不匹配 协商的IP地址和端口不匹配 协商的 IPSEC不能验证 不能验证NAT报文 不能验证 报文 NAT超时影响 超时影响IPSEC 超时影响
IP网
ISP分配私网 地址 分配私网IP地址 分配私网
www.h3c.com
23
www.h3c.com
6
IPSec 的组成
IPSec 提供两个安全协议
AH (Authentication Header)报文认证头协议 报文认证头协议
MD5(Message Digest 5) SHA1(Secure Hash Algorithm)
ESP (Encapsulation Security Payload)封装安 封装安 全载荷协议
选择安全协议
[H3C-ipsec-card-proposal-test] transform { ah| esp| ah-esp}
设置AH协议采用的认证算法
ah authentication-algorithm { md5 | sha1 }
ESP协议采用的认证算法
esp authentication-algorithm { md5 | sha1 }
Peer1
发送本地 IKE策略， 策略， 策略 密钥生成信息 发起方策略，密钥生成信息 发起方策略，
Peer2
查找匹配 的策略， 的策略，密钥生成
确认对方使 用的算法， 用的算法， 产生密钥
接来自百度文库方的密钥生成信息， 接收方的密钥生成信息， 身份和验证数据
SA交换， 交换， 交换 密钥生成
接受对端 确认的策略， 确认的策略， 密钥生成
19
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSec 与IKE的关系 的关系
IKE的SA协商 的 协商
IKE
IKE
SA
SA
TCP UDP
IPSec
www.h3c.com
8
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSec 基本概念
数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 安全提议
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSEC提出背景 提出背景
IP包本身不具有任何的安全性，不能保证： 包本身不具有任何的安全性，不能保证： 包本身不具有任何的安全性
指定安全隧道的终点 配置安全策略中引用的转换方式
proposal proposal-name1 [ proposal-name2...proposal-name6 ]
在接口上应用安全策略组
[H3C-GigabitEthernet0/0] ipsec policy policy-name
www.h3c.com
IKE的安全机制 的安全机制
完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发
www.h3c.com
16
IKE的交换过程（主模式） 的交换过程（主模式） 的交换过程
Peer1
发送本地 IKE策略 策略
发起方策略
Peer2
确认对方使 用的算法 查找匹配 的策略
接收方确认的策略
SA交换 交换
IKE
IKE（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥
www.h3c.com
14
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
ESP协议采用的加密算法
esp encryption-algorithm { 3des | des | aes}
选择加密卡
[H3C-ipsec-card-proposal-aa]use encrypt-card Slot number
www.h3c.com
29
IPSec 的配置任务及命令 的配置任务及命令(2)
选择安全协议
[H3C-ipsec-proposal-test] transform { ah| esp| ah-esp}
设置AH协议采用的认证算法
ah authentication-algorithm { md5-hmac-96 | sha1-hmac-1-96 }
ESP协议采用的认证算法
esp authentication-algorithm { md5-hmac-96 | sha1-hmac-96 }
创建安全策略
[H3C] ipsec policy policy-name sequence-number [ manual | isakmp ]
配置安全策略引用的访问控制列表
[H3C-ipsec-policy-policy1-10] security acl access-list-number tunnel remote ip-address
www.h3c.com
10
AH协议 协议
IP 包头
传输模式
数据 数据 数据
16 31
IP 包头
隧道模式
AH
新IP 包头
0
AH
8
原IP 包头
AH头结构 头结构
下一个头
负载长度 安全参数索引(SPI) 序列号 验证数据
保留域
www.h3c.com
11
ESP 协议
IP 包头
传输模式 IP 包头 隧道模式 新IP 包头 ESP头 头 原IP 包头 ESP头部 头部 加密后的数据
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置
IPSec概述 概述
IPSec（IP Security）是IETF制定的为保证在 Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH（协议号51） 和报文 安全封装协议ESP（协议号50）两个协议 IPSec有隧道（tunnel）和传送（transport）两种工 作方式
发起方身份和验证数据
验证对方 身份
身份验证和 交换过程验证
ID交换及验证 交换及验证
www.h3c.com
18
DH交换及密钥产生 交换及密钥产生
(g ,p)
peer1
peer2
a
c=gamodp damodp
b
d=gbmodp cbmodp
damodp= cbmodp=gabmodp
www.h3c.com
加密部分
数据
ESP尾部 尾部 ESP验证 验证
数据
ESP尾部 尾部
ESP验证 验证
0
ESP协议包结构 协议包结构
8
16
安全参数索引(SPI) 序列号 有效载荷数据（可变）
24
填充字段(0-255字节） 填充字段长度 下一个头 验证数据
www.h3c.com
12
目录
IPSec提出背景 提出背景 IPSec概述 概述 IPsec基本概念 基本概念 IKE概述 概述 IKE安全机制 安全机制 IKE与IPSEC的关系 与 的关系 IPSEC配置 配置