IPSecVPN两个阶段协商过程分析-李心春01
上亿文档资料，等你来发现
IPSecVPN两个阶段协商过程分析-李心春01
（一）IPSecVPN隧道的建立过程分为两个阶段；第一个阶段：分为两种模式主模式（MainMode；区别：主模式与野蛮模式的区别：；（1）野蛮模式协商比主模式协商更快；因为主模式需要交互6个消息，而野蛮模式只需要交互；（2）主模式协商比野蛮模式协商更严谨、更安全；因为主模式在“消息5&消息6”中对ID信；（二）两个阶段分别完成任务：；（1）第一个阶段
（一） IPSec VPN隧道的建立过程分为两个阶段：
第一个阶段：分为两种模式主模式（Main Mode和野蛮模式（又称主动模式Aggressive） 第二个阶段：快速模式（Quick Mode）
区别：主模式与野蛮模式的区别：
（1）野蛮模式协商比主模式协商更快。
因为主模式需要交互6个消息，而野蛮模式只需要交互3个消息；
（2）主模式协商比野蛮模式协商更严谨、更安全。
因为主模式在“消息5&消息6”中对ID信息进行了加密。而野蛮模式由于受到交换次数的限制，ID消息在“消息1&消息2”中以明文的方式发送给对端。即主模式对对端身份进行了保护，而野蛮模式则没有。
（二） 两个阶段分别完成任务：
（1）第一个阶段IKE设置，有三个任务需要完成：
（a）协商一系列算法和参数（这些算法和参数用于保护隧道建立过程中的数据）；
（b）必须计算出两边使用的加密KEY值，例如，两边使用3DES算法加密，3DES算法则需要一个密码，这个密码两端必须一样，但又不能在链路上传递。
（c）对等体的验证，如何才能知道对端就是我要与之通信的对端。这里验证有三种方法：预共享、数字签名和加密临时值。
上面一系列过程都是IKE（Internet 密钥交换协议，大多数厂商都把这个叫做VPNs Gateway）这个协议来实现。对于第一阶段需要注意以下几点：
（a1）只有remote vpn和easy vpn是积极模式的，其他都是用主模式来协商的；
（a2）让IKE对等体彼此验证对方并确定会话密钥，这个阶段用DH进行密钥交换，创建完IKE SA后，所有后续的协商都将通过加密和完整性检查来保护。
（a3）第一阶段帮助在对等体之间创建了一条安全通道，使后面的第二阶段过程协商受到安全保护。
（2）第二阶段：
协商IPSec SA使用的安全参数，创建IPSec SA（SA可以加密两个对等体之间的数据，这才是真正的需要加密的用户数据），使用AH或ESP来加密IP数据流。至此IPSec VPN隧道才真正建立起来。
（三） 综上，有如下结论：
第一阶段作用：对等体之间彼此验证对方，并协商出IKE SA，保护第二阶段中IPSec SA协商过程；
第二阶段作用：协商IPSec单向SA，为保护IP数据流而创建；
（四） 举例验证：以主模式，AH协议来简单分析一下IPSec VPN链接建立的过程（附带报
第一个阶段三个任务，分别用6个消息来完成，每两个为一组，这些消息的具体格式取决于使用的对等体认证方法，使用预共享密钥进行验证的主模式（6条）协商过程使用ISAKMP消息格式来传递（基于UDP，端口号为500）。6条消息如下：
（1）准备工作：
在前2条消息发送之前，发送者和接受者必须先计算出各自的cookie（可以防重放和DOS攻击），这些cookie用于标识每个单独的协商交换消息。
cookie――RFC建议将源目的IP、源目的端口、本地生成的随机数、日期和时间进行散列操作。Cookie成为留在IKE协商中交换信息的唯一标识，实际上cookie是用来防止DOS攻击的，它把和其他设备建立IPSec所需要的连接信息不是以缓存的形式包存在路由器里，而是把这些信息HASH成个cookie值。
（2）1&2消息：
消息1：由发送方（协商发起端）发起，携带一些参数，发送方向接收方发送一条包含一组或多组策略提议（Raisecom工业路由器中是多组），在策略提议中包括5元组信息：
加密算法――DES；
散列算法――MD5-HMAC；
DH――Diffie-Hellman组-2；
认证方式――预共享；
IKE SA寿命。
如下是Raisecom中高级选项配置的策略：
（认证方式采用“预共享”方式）
（对于DPD，具体作用不知道，默认是关闭）
下面简要介绍一下上述五元组信息：
（a）协商模式：可以选择主模式（Main Mode）或者野蛮模式（Aggressive）。当选择主模式时，只能使用IP地址作为ID的类型。当用户端设备的IP
地址为动态获
取的情况时，需要选择野蛮模式。IKE野蛮模式相对于主模式来说更加灵活，可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字，并最终完成协商。
（b）验证方法AH（Authentication Header）：
身份验证确认通信双方的身份。目前在IKE提议中，仅可用pre-shared-key（预共享密钥）身份验证方法，使用该验证方法时必须配置身份验证字，并且两端的密钥要完全一致。
（c）加密算法：
包括DES和3DES加密算法；DES算法采用56bits的密钥进行加密，3DES算法采用168bits的密钥进行加密；AES128（Advanced Encryption Standard，即高级加密标准）采用Rijndael中的128bits的密钥进行加密；AES192（Advanced Encryption Standard，即高级加密标准）采用Rijndael中的192bits的密钥进行加密；AES256（Advanced Encryption Standard，即高级加密标准）采用Rijndael中的256bits的密钥进行加密； 一般来说，密钥越长的算法强度越高，受保护数据越难被破解，但消耗的计算资源会更多。
（d）Diffie-Hellman组标识（DH）：
用户可以选择Group 1即768bit 或 Group 2即1024bit。
（e）ISAKMP-SA生存周期：
IKE使用了两个阶段为IPSec进行密钥协商并建立安全联盟。第一阶段，通信各方彼此间建立了一个已通过身份验证和安全保护的通道，即ISAKMP安全联盟（ISAKMP SA）；第二阶段，用在第一阶段建立的安全通道为IPSec协商安全服务，即为IPSec协商具体的安全联盟，建立IPSec SA，IPSec SA用于最终的IP数据安全传送。ISAKMP-SA生存周期可以设定为60-604800之间的一个整数。
（f）定时发送keepalive报文（不是必须携带）：
IKE通过ISAKMP SA向对端定时发送KeepAlive报文维护该条ISAKMP SA的链路状态。当对端在配置的超时时间内未收到此KeepAlive报文时，如该ISAKMP SA带有timeout标记，则删除该ISAKMP SA及由其协商的IPSec SA；否则，将其标记为timeout。 如下是抓包获取到的信息（设备为Raisecom工业路由器）：
由上图可知，模式为主模式，载荷类型为SA。SA的数目和内容详见下图：
将载荷类型SA展开如下：
由下图可知，该SA中携带了三组策略，正好Raisecom中web页面配置的三组策略：
第一组Type Payload：Transform（3）# 0展开如下：
SA生存时间为10800；加密机制为DES；认证算法为SHA；认证方法选择PSK（预共享密钥）；DH为Group 2；
第二组Type Payload：Transform（3）# 1展开如下：
Type Payload：Transform（3）# 2展开如下：
报文中的组顺序和web页面上组顺序不一致，这个无所谓，只要能对上即可，因为实际中只要这三个组能匹配上即可。
消息2：由响应者（即对端设备）回应，内容基本一样，主要与发起者比较，是否与发起者的IKE策略匹配，不匹配则进行下一组比较，如果最终都找不到匹配，隧道就停止建立；
（note：发起者将其所有IKE策略发给接受者，接受者则在自己的策略中寻找与之匹配的策略；对比顺序从优先级号小的到大的；默认策略实际就是个模板没作用，如果认证只配置预共享的话，其他参数就会copy默认策略里的）
报文如下：
三亿文库包含各类专业文献、各类资格考试、幼儿教育、小学教育、中学教育、IPSecVPN两个阶段协商过程分析-李心春01等内容。　IKE野蛮模式案例应用 分享 - 谷普下载IKE野蛮模式案例应用点击复制内容
IKE为了使IKE支持目前广泛的通过ADSL及拨号方式构建VPN的方案中的特殊情况DD即局端设备的IP 地址为固定分配的，用户端设备的IP 地址为动态获取的情况，，在IKE阶段的协商中增加了IKE模式，它可以选择根据协商发起端的IP 地址或者ID 来查找对应的身份验证字，并最终完成协商。IKE 野蛮模式相对于主模式来说更加灵活，能够支持协商发起端为动态IP地址的情况。实验要求： &fw2的Ethernet0/4口为公网固定IP地址，fw1的eth0/4为动态获取IP地址，所以分要和总部建立起IPSEC连接必须具备IKE野蛮模式，为了保证信息安全采用IPsec/IKE方式创建安全隧道实验拓扑：实验主要配置(1)isp配置dhcp服务[isp]dhcp enable[isp]dhcp server ip-pool fw1[isp-dhcpfw1]network 1.1.1.0 mask 255.255.255.0[isp-dhcpfw1]gateway-list 1.1.1.2[isp-dhcpfw1]dns-list 222.85.85.85(2) &配置fw1[fw1-Ethernet0/4]ip add dhcp-alloc & &#获得ip# 配置本端防火墙设备的名字。[fw1] ike local-name fw1 # 配置acl。[fw1] acl number 3000 [fw1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255[fw1-acl-adv-3000]rule deny ip source &any destination any# 配置IKE对等体peer。[fw1] ike peer fw2 [fw1-ike-peer-fw2] exchange-mode aggressive [fw1-ike-peer-fw2] pre-shared-key abc [fw1-ike-peer-fw2] id-type name [fw1-ike-peer-fw2] remote-name fw2 [fw1-ike-peer-fw2] remote-address 2.2.2.1# 创建IPsec安全提议prop。[fw1] ipsec proposal prop [fw1-ipsec-proposal-prop] encapsulation-mode tunnel [fw1-ipsec-proposal-prop] transform esp [fw1-ipsec-proposal-prop] esp encryption-algorithm des [fw1-ipsec-proposal-prop] esp authentication-algorithm sha1 # 创建安全策略policy并指定通过IKE协商建立安全联盟。[fw1] ipsec policy policy 10 isakmp [fw1-ipsec-policy-isakmp-policy-10] ike-peer fw2 &# 配置安全策略policy引用访问控制列表3000。[fw1-ipsec-policy-isakmp-policy-10] security acl 3000 # 配置安全策略policy引用IPsec安全提议prop。[fw1-ipsec-policy-isakmp-policy-10] proposal prop # 进入Eth0/4并配置IP地址。 [fw1]firewall &zone untrust [fw1-zone-untrust]add interface &eth0/4 & &#eth0/4加入区域[fw1] interface Ethernet 0/4[fw1-Ethernet0/0/0] ip address 1.1.1.1 255.255.0.0 [fw1-Ethernet0/0/0] ipsec policy policy & # 配置E0/0/0引用安全策略组policy。(2) &配置fw2防火墙# 配置本端防火墙设备的名字。[fw2] ike local-name fw2 # 配置acl。[fw2] acl number 3000 [fw2-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255[fw2-acl-adv-3000]rule deny ip source &any destination any# 配置IKE对等体peer。[fw2] ike peer fw1 [fw2-ike-peer-fw1] exchange-mode aggressive [fw2-ike-peer-fw1] local-address 2.2.2.1 [fw2-ike-peer-fw1] pre-shared-key abc [fw2-ike-peer-fw1] id-type name [fw2-ike-peer-fw1] remote-name fw1 # 创建IPsec安全提议prop。[fw2] ipsec proposal prop [fw2-ipsec-proposal-prop] encapsulation-mode tunnel [fw2-ipsec-proposal-prop] transform esp [fw2-ipsec-proposal-prop] esp encryption-algorithm des [fw2-ipsec-proposal-prop] esp authentication-algorithm sha1 # 创建安全策略policy并指定通过IKE协商建立安全联盟。[fw2] ipsec policy policy 10 isakmp [fw2-ipsec-policy-isakmp-policy-10] ike-peer fw1 &# 配置安全策略policy引用访问控制列表3000。[fw2-ipsec-policy-isakmp-policy-10] security acl 3000 # 配置安全策略policy引用IPsec安全提议prop。[fw2-ipsec-policy-isakmp-policy-10] proposal prop # 进入Eth0/4并配置IP地址。 [fw2]firewall &zone untrust [fw2-zone-untrust]add interface &eth0/4 & &#eth0/4加入区域[fw2] interface Ethernet 0/4[fw2-Ethernet0/4] ip address 2.2.2.1 255.255.0.0 [fw2-Ethernet0/4] ipsec policy policy & # 配置E0/0/0引用安全策略组policy。实验结果及使用display ike sa命令检查双方是否都已建立SA192.68.1.100与192.168.2.254的连通性(测试时从分支到总进行测试)实验结束本文出自 “刘园的博客” 博客，请务必保留此出处
来源：谷普下载ipsec+ike野蛮模式配置实验
ipsec+ike野蛮模式配置实验
　　一、【组网和实验环境】　　　　按如上的接口ip先作配置　　本文实验采用的交换机是H3C模拟器，下载地址如下：　　mod=viewthread&tid=109740&highlight=H3C%E6%A8%A1%E6%8B%9F%E5%99%A8 有兴趣的朋 友可以在论坛上去下载。　　二、【实验过程】　　先查看R2通过PPP协商后是否被分配了IP地址　　&R2&dis int s　　&R2&dis int Serial 0/6/0　　Serial0/6/0 current state: UP &　　Line protocol current state: UP　　Description: Serial0/6/0 Interface　　The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 　　Internet Address is negotiated, 20.1.12.2/32　　Link layer protocol is PPP 　　LCP opened, IPCP opened　　Output queue : (Urgent queuing : Size/Length/Discards) &0/50/0　　Output queue : (Protocol queuing : Size/Length/Discards) &0/500/0 　　Output queue : (FIFO queuing : Size/Length/Discards) &0/75/0　　Interface is V35　　41 packets input, &518 bytes　　41 packets output, &514 bytes　　用R2ping对端的Loopback地址，可以通　　2& &ping -a 192.168.2.1 192.168.1.1　　PING 192.168.1.1: 56 &data bytes, press CTRL_C to break　　Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=20 ms　　Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=255 time=20 ms　　Reply from 192.168.1.1: bytes=56 Sequence=5 ttl=255 time=26 ms　　查看ike 和ipsec的sa是否已经建立　　&R2&　　&R2&　　&R2&dis ike sa　　total phase-1 SAs: &1　　connection-id &peer & & & & & &flag & & & &phase & doi　　----------------------------------------------------------　　6 & & & & &20.1.12.1 & & & RD|ST & & & & 1 & & IPSEC 　　7 & & & & &20.1.12.1 & & & RD|ST & & & & 2 & & IPSEC 　　flag meaning　　RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT　　&R2&　　&R2&　　&R2&　　&R2&dis ipsec sa　　===============================　　Interface: Serial0/6/0　　path MTU: 1500　　===============================　　-----------------------------　　IPsec policy name: &policy2&　　sequence number: 10　　mode: isakmp　　-----------------------------　　connection id: 4　　encapsulation mode: tunnel　　perfect forward secrecy: None　　tunnel:　　local &address: 20.1.12.2　　remote address: 20.1.12.1　　Flow :　　sour addr: 192.168.2.1/255.255.255.255 &port: 0 &protocol: IP　　dest addr: 192.168.1.1/255.255.255.255 &port: 0 &protocol: IP　　[inbound ESP SAs] 　　spi:
(0xf4f4b1f)　　proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1　　sa remaining key duration (bytes/sec): /3341　　max received sequence-number: 4　　udp encapsulation used for nat traversal: N　　[outbound ESP SAs] 　　spi: x322b031)　　proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1　　sa remaining key duration (bytes/sec): /3341　　max sent sequence-number: 5　　udp encapsulation used for nat traversal: N　　已经建立，实验成功。　　三【配置文本】　　version 5.20, Alpha 1011　　#　　sysname R1　　#　　password-control login-attempt 3 exceed lock-time 120　　#　　undo voice vlan mac-address 00e0-bb00-0000　　#　　ike local-name rta　　#　　ipsec cpu-backup enable　　#　　undo cryptoengine enable　　#　　ip pool 1 20.1.12.2 20.1.12.254　　#　　domain default enable system　　#　　vlan 1　　#　　domain system　　access-limit disable　　state active & 　　idle-cut disable　　self-service-url disable　　#　　ike peer rtb　　exchange-mode aggressive　　pre-shared-key cipher J5fBBpuCrvQ=　　id-type name　　remote-name rtb　　#　　ipsec proposal tran1　　esp authentication-algorithm sha1　　esp encryption-algorithm 3des　　#　　ipsec policy policy1 10 isakmp　　security acl 3000　　ike-peer rtb　　proposal tran1　　#　　acl number 3000　　rule 0 permit ip source 192.168.1.1 0 destination 192.168.2.1 0　　rule 1 deny ip　　#　　interface Serial0/6/0　　link-protocol ppp　　remote address pool 1　　ip address 20.1.12.1 255.255.255.0　　ipsec policy policy1　　#　　interface Serial0/6/1　　link-protocol ppp　　#　　interface Serial0/6/2　　link-protocol ppp　　#　　interface Serial0/6/3　　link-protocol ppp　　#　　interface NULL0　　#　　interface LoopBack0　　ip address 192.168.1.1 255.255.255.255　　#　　interface Ethernet0/4/0　　port link-mode bridge　　#　　interface Ethernet0/4/1　　port link-mode bridge　　#　　interface Ethernet0/4/2　　port link-mode bridge　　#　　interface Ethernet0/4/3　　port link-mode bridge　　#　　interface Ethernet0/4/4　　port link-mode bridge　　#　　interface Ethernet0/4/5　　port link-mode bridge　　#　　interface Ethernet0/4/6　　port link-mode bridge　　#　　interface Ethernet0/4/7　　port link-mode bridge　　#　　ip route-static 0.0.0.0 0.0.0.0 Serial0/6/0　　#　　load xml-configuration　　#　　user-interface con 0　　user-interface vty 0 4　　#　　return　　&R2&DIS CU　　#　　version 5.20, Alpha 1011　　#　　sysname R2　　#　　password-control login-attempt 3 exceed lock-time 120　　#　　undo voice vlan mac-address 00e0-bb00-0000　　#　　ike local-name rtb　　#　　ipsec cpu-backup enable　　#　　undo cryptoengine enable　　#　　domain default enable system　　#　　vlan 1　　#　　domain system　　access-limit disable　　state active　　idle-cut disable　　self-service-url disable　　#　　ike peer rta　　exchange-mode aggressive　　pre-shared-key cipher J5fBBpuCrvQ=　　id-type name　　remote-name rta　　remote-address 20.1.12.1　　#　　ipsec proposal tran2　　esp authentication-algorithm sha1　　esp encryption-algorithm 3des　　#　　ipsec policy policy2 10 isakmp　　security acl 3000　　ike-peer rta　　proposal tran2　　#　　acl number 3000　　rule 0 permit ip source 192.168.2.1 0 destination 192.168.1.1 0　　rule 1 deny ip　　#　　interface Serial0/6/0　　link-protocol ppp　　ip address ppp-negotiate　　ipsec policy policy2　　#　　interface Serial0/6/1　　link-protocol ppp　　#　　interface Serial0/6/2　　link-protocol ppp　　#　　interface Serial0/6/3　　link-protocol ppp　　#　　interface NULL0　　#　　interface LoopBack0　　ip address 192.168.2.1 255.255.255.255　　#　　interface Ethernet0/4/0　　port link-mode bridge　　#　　interface Ethernet0/4/1　　port link-mode bridge　　# & & & & & & & 　　interface Ethernet0/4/2　　port link-mode bridge　　#　　interface Ethernet0/4/3　　port link-mode bridge　　#　　interface Ethernet0/4/4　　port link-mode bridge　　#　　interface Ethernet0/4/5　　port link-mode bridge　　#　　interface Ethernet0/4/6　　port link-mode bridge　　#　　interface Ethernet0/4/7　　port link-mode bridge　　#　　ip route-static 0.0.0.0 0.0.0.0 Serial0/6/0　　#　　load xml-configuration　　#　　user-interface con 0　　user-interface vty 0 4　　#　　return
&&&主编推荐
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
职称考试题目
招生信息考研政治
网络安全安全设置工具使用手机安全
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&拒绝访问 |
| 百度云加速
请打开cookies.
此网站 () 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(3ae95e69b5e44370-ua98).
重新安装浏览器，或使用别的浏览器用户名：gaosc900926
文章数：51
评论数：17
访问量：20155
注册日期：
阅读量：1297
阅读量：3317
阅读量：580992
阅读量：465021
51CTO推荐博文
&野蛮模式ipsec的典型组网和配置
一．IPSec VPN技术原理
虚拟专用网（VPN）使得用户可以在开放的Internet上基于IPSec或PPTP/L2TP或SSL协议族的一系列加密认证以及密钥交换技术，构建一个安全的私有专网，具有同本地私有网络一样的安全性、可靠性和可管理性等特点，这样可以大大降低了企业/政府/科研机构等建设专门私有网络的费用。
VPN 连接可以连接两个局域网 (LAN) 或一个远程拨号用户和一个 LAN。在这VPN连接的两个VPN端点间流动的信息流以加密的密文形式经过共享的Internet设备，例如，路由器、交换机以及其它组成公用 WAN 的网络设备。
要在公网传输过程中确保 VPN 通信的安全性，IPSec VPN的两个端点间必须创建一个IPSec隧道。IPSec 隧道由一对指定安全参数索引 (SPI) 的单向&安全联盟&(SA) ( 位于隧道的两端) 、目标 IP 地址以及使用的安全协议 ( &认证包头&或&封装安全性负荷& ) 组成。通过这些参数可以对数据进行加密与完整性处理，保证通信数据的私密性和完整性。
2.IPSecVPN技术原理简介
& IPSec最终为网络数据提供ESP与AH安全保护。ESP协议为数据提供了加密与完整性保护，AH协议只对数据提供完整性保护。一般来说IPSec VPN使用ESP协议，AH协议只在某些禁止使用加密的情况下使用。加密算法、验证算法、密钥管理都是为了ESP/AH服务的。
封装安全载荷（ Encapsulating Security Protocol，ESP）是插入IP数据报内的一个协议头，以便为IP提供机密性、数据源验证、抗重播以及数据完整性等安全服务。隧道模式下，它加密封装整个IP数据报。
验证头（ Authentication Header，AH）是一种IPSec协议，用于为IP提供数据完整性、数据原始身份验证和一些可选的、有限的抗重播服务。它定义在RFC 2402中。除了机密性之外，AH提供ESP能够提供的一切东西。但要注意的是， AH不对受保护的IP数据报的任何部分进行加密。
&加密算法：并非只有单独的一种！有多种技术都可用来加密信息、安全地交换密钥、维持信息完整以及确保一条消息的真实性。将所有这些技术组合在一起，才能在日益开放的世界中，提供保守一项秘密所需的各项服务。
验证算法：为保守一个秘密，它的机密性是首先必须保证的。但假如不进行身份验证，也没有办法知道要同你分享秘密的人是不是他／她所声称的那个人。同时假如不能验证接收到的一条消息的完整性，也无法知道它是否确为实际发出的那条消息。
&Internet密钥交换（ Internet Key Exchange，IKE）：定义了安全参数如何协商，以及共享密钥如何建立。但它没有定义的是协商内容。这方面的定义是由&解释域（ DOI）&文档来进行的。
安全联盟（Security Association，SA）：用IPSec保护一个IP包之前，必须先建立一个安全联盟（SA）。IKE用于动态建立SA。IKE代表IPSec对SA进行协商，并对SADB数据库进行填充。
3.密钥管理（IKE密钥协商）
密钥的分配和管理对于成功使用 VPN 很关键。只有参与通信的VPN双方得到共同密钥才能使VPN正确加密通信。保证参与通信的VPN双方能够安全地协商出共同的密钥是整个VPN通信的关键。所以密钥协商是VPN安全使用的关键，他不仅要解决密钥协商，还需要解决VPN双方的身份认证、算法协商、保护模式协商。
IPSec 使用&互联网密钥交换& (IKE)协议支持密钥的自动生成和协商以及安全联盟协商。身份验证方式支持预共享密钥和证书两种。
预共享密钥认证方式：通过使用预共享密钥的&自动密钥IKE&来认证 IKE 会话中的参与者时，各方都必须预先配置和安全地交换预共享密钥。一旦预共享密钥被正确分配后，就可使用IKE协议了。
证书验证方式：经过CA签发的证书中含有CA私钥签名和身份信息，可以使用CA的公开密钥（可以公开给任何人得到）去验证证书的有效性。同时交换中需要传递自身私钥的签名，通过证书中的公钥验证。经过这些过程就可以确认证书的有效性和证书持有人的唯一性。各方得到各自的证书后就可以使用IKE协议了。
IKE将在预先确定的时间间隔内自动更改其密钥。经常更改密钥会大大提高安全性，自动更改密钥会大大减少密钥管理任务。但是，更改密钥会增加信息流开销，因此，过于频繁地更改密钥会降低数据传输效率。
IKE密钥交换包括两个阶段的信息交换：第一阶段和第二阶段。第一阶段支持主模式和野蛮模式两种交换模式，第二阶段是快速模式。
第1 阶段可能发生在 Main mode（主模式）或 Aggressive mode（野蛮模式）下。这两种模式如下所述：
Main Mode（主模式）： 发起方和接受方之间进行三个双向信息交换（总共六条信息）以获取以下信息：
第一次交换，（信息1 和2）：提出并接受加密和认证算法。
第二次交换，（信息3 和4）：执行 Diffie-Hellman 交换，发起方和接受方各提供一个当前数 ( 随机生成的号码)。
第三次交换，（信息5和6）：发送并验证其身份。
在第三次交换信息时传输的信息由在前两次交换中建立的加密算法保护。因此，在明文中没有传输参与者的身份。
Aggressive Mode（野蛮模式）：发起方和接受方获取相同的对象，但仅进行两次交换，总共有三条消息：
第1条消息: 发起方建议 SA，发起 Diffie-Hellman 交换，发送一个当前数及其 IKE 身份。
第2条消息: 接受方接受 SA，认证发起方，发送一个当前数及其 IKE 身份，以及发送接受方的证书（如果使用证书）。
第3条消息: 发起方认证接受方，确认交换，发送发起方的证书 ( 如果使用证书)。
由于参与者的身份是在明文中交换的 ( 在前两条消息中)， Aggressive mode ( 野蛮模式) 不提供身份保护。
第2 阶段：当参与者建立了一个已认证的安全隧道后，他们将继续执行&第 2 阶段&。在此阶段中，他们将协商 SA 以保护要通过IPSec隧道传输的数据。
与&第 1 阶段&的过程相似，参与者交换提议以确定要在 SA 中应用的安全参数。&第2 阶段&提议还包括一个安全协议 － &封装安全性负荷& (ESP) 或&认证包头& (AH) － 和所选的加密和认证算法。如果需要&完全正向保密&(PFS)，提议中还可以指定一个 Diffie-Hellman 组。
二．案例应用：
本实验采用华为四台F100防火墙，实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部，实现fw1可以与fw2的内部网络互访，fw1和fw3的内部网络互访。（fw4模拟交换机）。
实验拓扑图如下：
FW1的配置：
&F1&dis cur
interface Ethernet0/1
&ip address 1.1.1.1 255.255.255.0
&ipsec policy policy&&在接口处启用ipsec策略，加密相关私网数据
interface Ethernet0/2
&ip address 192.168.10.1 255.255.255.0
firewall zone trust&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&add interface Ethernet0/0
&add interface Ethernet0/1
&add interface Ethernet0/2加入受信任区域
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 preference 60一定要有去往对端的路由
acl number 3000
&rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.25
5&&指定去往对端私网的数据流，注意与对端的acl应为 镜像，这样对方才
&rule 20 deny ip&&&&&&能相对数据加解密
acl number 3001
&rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.25
5&&&&&&&&&&&&&&&&&&&&&&&&&&&
&rule 20 deny ip
ipsec proposal an1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
ipsec proposal an2&安全提议
encapsulation-mode tunnel&&&&&&&&&&&&&&&&&
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
ike local-name F1
ike peer peer1&配置IKE参数
&exchange-mode aggressive&选用野蛮模式
&pre-shared-key 12345&&配置预共享钥匙，两端必须一直
&id-type name
&remote-name FW2
ike peer peer2
&exchange-mode aggressive
&pre-shared-key 12345
&id-type name
&remote-name FW3
ipsec policy policy 10 isakmp&创建ipsec策略，其安全内容采用ike自动协商
&security acl 3000&指定哪些数据需要加密
&ike-peer peer1&应用Ike的对等体&
&proposal an1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 引用安全提议
ipsec policy policy 20 isakmp
&security acl 3001
&ike-peer peer2
&proposal an2
interface Ethernet0/1
&ip address dhcp-alloc&通过DHCP动态获得地址
&ipsec policy policy
#&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
interface Ethernet0/2
&ip address 192.168.20.1 255.255.255.0
&ip route-static 0.0.0.0 0.0.0.0 2.1.1.2 preference 60
acl number 3000
&rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
&rule 20 deny ip
ipsec proposal an1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
ipsec policy policy 10 isakmp
&security acl 3000
&ike-peer peer1
&proposal an1
ike peer peer1
&exchange-mode aggressive
&pre-shared-key 12345
&id-type name
&remote-name F1
&remote-address 1.1.1.1
ike local-name FW2
firewall zone trust
&add interface Ethernet0/0
&add interface Ethernet0/1
&add interface Ethernet0/2&&&&&&&&&&&&&&&
&add interface Ethernet0/3
interface Ethernet0/1
&ip address dhcp-alloc
&ipsec policy policy
interface Ethernet0/2
&ip address 192.168.30.1 255.255.255.0
&ip route-static 0.0.0.0 0.0.0.0 3.1.1.2 preference 60
acl number 3000
&rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
&rule 20 deny ip
ipsec proposal an2
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
ipsec policy policy 10 isakmp
&security acl 3000
&ike-peer peer1
&proposal an1
ike peer peer2
&exchange-mode aggressive
&pre-shared-key 12345
&id-type name
&remote-name F1
&remote-address 1.1.1.1
ike local-name FW3
firewall zone trust
&add interface Ethernet0/0
&add interface Ethernet0/1
&add interface Ethernet0/2&&&&&&&&&&&&&&&
&add interface Ethernet0/3
FW4模拟交换机的配置：
interface Ethernet0/1
&ip address 1.1.1.2 255.255.255.0
interface Ethernet0/2
&ip address 2.1.1.2 255.255.255.0
interface Ethernet0/3
&ip address 3.1.1.2 255.255.255.0
firewall zone trust
&add interface Ethernet0/0
&add interface Ethernet0/1
&add interface Ethernet0/2
&add interface Ethernet0/3
&set priority 85
dhcp server ip-pool fw2&&创建地址池
&network 2.1.1.0 mask 255.255.255.0
&gateway-list 2.1.1.2
dhcp server ip-pool fw3
&network 3.1.1.0 mask 255.255.255.0
&gateway-list 3.1.1.2
结果测试：
&10.0网段ping 20.0网段 ，30.0网段
30.0 网段ping10.0网段
&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)}