H3C IPSec基本原理及配置指导

IPSec基本原理及配置指导

一、IPSec描述：

1、IPSec在RFC2401中描述了IP得安全体系结构IPSec，以便保证在IP网络数据传输的安全性。

2、IPSec在IP层对IP报文提供安全服务。

3、IPSec并非单一协议，而是由一系列的安全开放标准构成。

4、IPSec实现于OSI参考模型的网络层，因此，上层的协议都可以得到IPSec 的保护。

5、IPSec是一个可扩展的体系，不受任何一种算法的局限，可以引入多种开放的验证算法。

6、IPSec的缺点是难部署，协议体系复杂，不支持组播，只能对点对点的数据进行保护，不利于语音视频实时性高的应用。

二、IPSec体系结构

1、IPSec使用两种安全协议来提供通信安全服务：

i.AH（验证头）：AH提供完整性保护和数据源验证以及可选的抗重播

服务，但是不能提供机密性保护。

ii.ESP（封装安全载荷）：ESP可以提供AH的所有功能，而且还可以提供加密功能。

2、AH和ESP可以单独使用，也可以一起使用，从而提供额外的安全性。

3、安全协议AH和ESP都具有两种工作模式：

i.传输模式：用于保护端到端的安全性。

ii.隧道模式：用于保护点到点的安全性。

4、IPSec通过两种途径获得密钥：

i.手工配置：管理员预先手工配置，这种方法不便于随时更改，安全

性较低，不易维护。

ii.通过IKE协商，通信双方可以通过IKE动态生成并交换密钥，获得更高的安全性。

5、IPSec SA（安全联盟）

i.SA提供IPSec数据流安全服务的基础概念。

ii.SA是通信双方就如何保证通信安全达成的一个协定。具体确定了对IP报文进行处理。

iii.SA是单向的，入站数据流和出站数据流分别由入站SA和出站SA 处理。

iv.一个SA由（SPI，IP目的地址，安全参数索引）构成。

v.SA可以手工配置，也可以通过IKE自动协商生成。

vi.SA的生存时间有“以时间进行限制”和“以流量进行限制”。

vii.IPSec把类似“对哪些数据提供哪些服务”这样的信息储存在SPD （安全策略数据库）中，而SPD中的项指向SAD（安全联盟数据库）,

如果，一个需要加密的出站数据包，系统会将他与SPD进行比较，

如果匹配一项，系统会使用该项对应的SA以及算法进行对数据包的

加密。否则，需要新建一个SA。

6、IKE

i.无论是AH还是ESP，在对一个IP包进行操作之前，首先必须要建

立一个IPSec SA，IPSec SA可以手工建立，也可以通过IKE协商建

立。

ii.IKE可以为IPSec提供自动协商交换密钥，建立SA服务，能够简化IPSec的使用和管理，大大的简化了IPSec的配置和管理。

iii.IKE不在网上直接传送密钥，而是通过DH交换，最终计算出双方的共享密钥。

iv.IKE可以定时更新SA，也可以定时更新密钥,而且各个SA之间没有关系。

v.IKE采用了ISAKMP所定义的密钥交换框架体系。

7、IKE与IPSec的关系

i.IPSec利用SPD来判断一个数据包是否需要安全服务，当需要安全

服务时，就会去SAD去查找相应的IPSec SA，IPSecSA有两种生

成方式，一种是通过管理员手工配置，另外一种是通过IKE协商完成。

ii.IKE为IPSec提供PFS特性。

iii.IKE不仅用于IPSec，他是一个通用的交换协议，可以用于交换任何的共享密钥。例如RIP、OSPF的安全协商服务。

8、IKE的协商阶段

i.IKE也使用SA（IKE-SA），与IPSec SA不同，IKE SA是用于保护一

对节点之间通信的密钥和策略的一个集合。

ii.IKE的两个协商阶段：

1.阶段1：IKE使用DH交换建立共享密钥，在网络上建立一个IKE

SA，为阶段2协商提供保护。其交换模式分为主模式和野蛮模

式。

2.阶段2：在阶段1的保护下完成IPSec SA的协商。其交换模式

为快速模式。

3.IKE的主模式：主模式是强制实现阶段1交换模式。主模式总计

3个步骤，策略协商、DH交换、ID交换及验证。这种模式主要

应用在通信双方预先知道对方的IP地址，对于点对点的应用比

较适宜。

4.IKE的野蛮模式：对于远程拨号访问，由于拨号用户的IP地址无

法确认，就不能使用这种方法。

9、配置IPSec

i.配置前的准备

1.确定需要保护的数据：可以通过扩展的ACL来定义需要验证和

加密的数据。

2.确定使用的安全保护路径：确定是要保护端到端的数据还是点到

点的数据。

3.确定对数据流采用哪种方式进行安全保护：对于只验证不加密推

荐使用AH，对于即验证又加密推荐使用ESP。同时使用AH和

ESP可以过多的损耗系统资源。

ii.配置IPSec VPN顺序

1.配置安全ACL

2.配置安全提议

i.创建安全提议命令：【router】ipsec proposal

ii.选择安全协议：【router-ipsec-proposal-tran1】

transform{ah|ah-esp|esp}，默认选择esp。

iii.选择工作模式：【router-ipsec-proposal-tran1】encapsulation-mode{transport|tunnel}。

iv.选择安全算法（加密算法）

【router-ipsec-proposal-tran1】esp

encryption-algorithm{3des|des|aes}。

v.选择安全算法（验证算法）

【router-ipsec-proposal-tran1】esp

authentication-algorithm{md5|sha1}。

【router-ipsec-proposal-tran1】ah

authentication-algorithm{md5|sha1}。

3.配置安全策略（配置安全策略有两种方式，手工配置参数的安全

策略和通过IKE自动协商参数的安全策略）。

i.手工配置安全策略（手工配置安全策略详见H3C配置文

档手册）

ii.IKE自动协商安全配置

1.创建一条安全策略，并进入安全策略视图。

2.配置安全策略引用的ACL

3.配置安全策略引用的安全提议

4.在安全策略中引用IKE对等体

5.配置使用次安全策略发起协商时使用的PFS特性

6.配置安全策略的SA生存周期