IPsec-×××

sign :JamesSong

一、topology：

二、IPsec-×××的在網絡中傳輸數據的四大要素：

? ?（1）、私密性：對稱加密、非對稱加密

? ?（2）、數據包的完整性：MD5校驗

? ?（3）、確定源是誰：數字簽名

? ?（4）、不可否認性：問源是否發過數據包

?三、需求：

? ?PC1要和PC3實現即安全，又私密，又完整的數據傳輸服務，那么就要想辦法在不拉專線的情況下，達到這個試驗的目的，那么我們采用的方法是line to line IPsec-×××。

?四、注意：

? ?在做IPsec-×××的配置之前，我們一樣要保證底層路由的通暢性，那么我們要時刻聯想到我們的底層配置的靈魂所在，就是下面的兩個ping通，一個知道原則：（1）、加密點路由：必須知道雙方通信點的路由和對方加密點的路由，并且能夠ping通自己的通信點和對方的加密點（2）、通信點路由：知道對方通信點的路由

?五、自我思路整理：

? ?首先，R1收到PC傳給它的數據包，這個數據包是去請求PC2的地址，那么當R1收到這個數據包的時候，會查看這個數據包的源目的IP地址，源：192.168.1.2，目的：172.16.1.2，于是查看自己的路由表，知道去往目的PC2的條目是默認通過走R1的f0/0接口發往ISP的，那么它一看是數據包是從f0/0接口發出去的，它自動匹配f0/0借口下所掛載的相應在dahezi下面的策略，當然，在匹配這些策略之前，它還會查看這個數據包的源和目的是不是匹配R1所寫的ACL所感興趣的流量，如過發現是感興趣流量，就直接匹配dahezi下面的策略。之后就進入到了第一階段策略的協商過程。

第一階段協商：是通過UDP 500端口進行協商的，發送6個包：

? ?1包：R1把自己的第一階段配置發給R3（明文），即把一階段配置發給R3

? ? ? ? ? ? ? ?r1(config)#cry isakmp policy 10 ? ? ? ? ? ? ? ? /*定義一個策略*/

? ? ? ? ? ? ? ?r1(config-isakmp)#group 2 ? ? ? ? ? ? ? ? ? ? ? ?/*把R1和R3放入到同一個組內*/

? ? ? ? ? ? ? ?r1(config-isakmp)#hash md5 ? ? ? ? ? ? ? ? ? ? ? /*保證R1和R3之間的認證時候，采用的

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? HASH算法是MD5*/

? ? ? ? ? ? ? ?r1(config-isakmp)#encryption des ? ? ? ? ? ? ? ? /*用DES算法對認證進行加密*/

? ? ? ? ? ? ? ?r1(config-isakmp)#authentication pre-share ? ? ? /*采用與共享密鑰的方式進行認證*/

? ?2包：R3把自己的第一階段協商的配置發給R1 （明文），把一階段配置發給R1

? ?3、4包：互相傳遞各自的公鑰Q，而且這個公鑰Q還會衍生出三個子密鑰（明文）：A、B、C

? ? ? ? ? ? ? ?A：用于5、6包的傳輸，起暗號作用

? ? ? ? ? ? ? ?B：用于5、6包的傳輸，起加密作用

? ? ? ? ? ? ? ?C：用于真實數據包的傳輸，其實C還會衍生出兩個子密鑰：H（暗號）、F（加密）

? ?5、6包：R1把自己配置的預共享KKK加上自己生成的公鑰Q衍生出來的子密鑰A,即(KKK+A)，一 ?

? ? ? ? ? ? 起做MD5HASH，HASH出來的散列值再用衍生出來的子密鑰B對其進行加密，之后把這個包傳給R3，相反

? ? ? ? ? ? 的，R3也會做相同的動作把自己的散列值傳給R1。

排錯檢查：Show crypto isakmp sa---進行查看，如果顯示的QM字段，那么認為這6個包協商成功

第一階段完成之后，一共完成了兩件事

? ? ? ?1、完成了認證

? ? ? ?2、生成了共享的密鑰和給真實數據包加密的兩個子密鑰

? 第二階段協商：

? ?確定了對真實數據傳輸時采用什么方式封裝，什么方式加密，什么方式HASH，其實就是傳遞了下面的這條命令，決定了上述所有的策略：

? ? ? ? r1(config)#cry ipsec transform-set aaa esp-desesp-md5-hmac

? ?可以通過下面這條命令查看是否封裝方式、加密方式、HASH方式都是一致的：

? ? ? ? Show crypto ipsec sa ? ? ? /*查看第二階段協商的結果*/

? ?show完之后，會發現，屬性中，有一個inbound和outbound屬性，那么我們該怎么理解這個屬性的作用呢，當R3和R1如果想要真正的建立起ipsec×××的關系的話，那么就意味著R3的inound屬性必須要和R1的outbound屬性是完全一樣的，同樣R1的inound屬性必須要和R3的outbound屬性是完全一樣的，這樣的話，他們就建立起了ipsec×××的關系，如果這個來那個個屬性的值不一樣，那么就說明第二階段的協商有問題。

? ?下面是傳輸真正數據的時候了，也是最重要的時候，我先把這個封裝過程后的IP包畫出來，之后再詳細解釋：

? ?記住：在給中間的源目IP進行加密的時候，采用的是DES算法，但是是通過H對其進行加密的。

? ?當R3收到這個包之后，會把第一個頭部的包拆掉，那么在看到的是ESP的頭部，于是在查看其中的SPI值是不是與自己的inboundSPI是不是一樣的，如果相同，就直接用相同的方法解密，并校驗其完整性，知道把這個數據包都拆完，最后發現目的是去往172.16.1.2，而且是自己直連網段，那么紙介就發個了R3

? ?六、命令整理：

? ?r1(config)#cryptokeyring cisco

? ?r1(conf-keyring)#pre-shared-keyaddress 20.1.1.1 key kkk ? ?/*定義預共享密鑰認證，希望20.1.1.1送過

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?來一個密碼，是KKK*/

? ?r1(config)#crypto isakmp profile xiaohezi

? ?r1(conf-isa-prof)#keyringcisco

? ?r1(conf-isa-prof)#matchidentity address 20.1.1.1 ? ? /*定義一個小盒子，里面把上面預定義密鑰認證策

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?略放進來，同時說明對誰認證，收到20.1.1.1的ipsec-

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?***請求，要對它進行認證，認證方法是：cisco

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?，而cisco就是前面定義的認證策略*/

? ?r1(config)#cry isakmp policy 10

? ?r1(config-isakmp)#group2

? ?r1(config-isakmp)#hashmd5

? ?r1(config-isakmp)#encryptiondes

? ?r1(config-isakmp)#authenticationpre-share ? ? ? ?

/*定義第一階段認證策略呢，加入相同的一個組，共享組中相同的P和G參數，運行DH算法，互相交換各自公鑰，生成相同密鑰Q，這個相同密鑰引申三個子密鑰，例如：A,B,C,A用于認證策略的MD5暗號，B用于認證信息的加密，C用于第二階段用戶真正數據加密*/----R1首先會將KKK加上自己的字密鑰A（暗號）一起做一個HASH值，然后用字密鑰B對這個散列值進行加密，R3收到后，R3會用自己生成的子密鑰B對其進行解密，加密后放在一邊，R3會把公鑰KKK在加上自己的子密鑰A，進行一次MD5HASH，把這兩個散列值進行比較，如果一樣，那么成功——》認證成功，生成密鑰C還會在衍生出兩個子密鑰，H（暗號）、F（加密），MD5-Hmac，意味是把真實文件和H放在一起進行HASH，在用F進行加密（用的是des加密法）

? ?r1(config)#cryipsec transform-set aaa esp-des esp-md5-hmac ? /*第二階段策略對于用戶真正數據流量傳

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 輸采用ESP頭部封裝方式，采用DES加密

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ，采用MD5+暗號哈希*/

? ?access-list 100 permit ip host 1.1.1.1host 3.3.3.3 ? ? ? ? ? ? ?/*定義感興趣流量，從哪去哪加密*/

? ?crypto map dahezi 10 ipsec-isakmp

? ?set peer 20.1.1.1

? ?set transform-set aaa

? ?set isakmp-profile xiaohezi

? ?match address 100 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? /*定義一個大盒子，里面把以前定義

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?的策略放進來*/

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?×××感興趣流量，從哪去哪加密

? ?r1(config)#int f0/0

? ?r1(config-if)#crypto map dahezi

? ?exit ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? /*掛接*/

R3同理

轉載于:https://blog.51cto.com/ytyzzm/1387868

總結

以上是生活随笔為你收集整理的IPsec-×××基本技术挖掘的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。