IPSEC ×××的復習

拓撲圖如上，啟用R1 R2 R5三個路由器 ，R1的環回和R2的環回之間的訪問走×××，R1的環回192.168.1.0/24

R2的環回192.168.2.0/24

R1#show version

Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2)  路由器的版本標識中如果有k標志，則說明該路由器可以使用RSA DH 生成公鑰和私鑰

實驗結果

R1#show crypto isakmp sa  查看第一階段數據庫

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

25.1.1.1        15.1.1.1        QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

state 為QM的時候，代表隧道已經建立

R1#show crypto ipsec sa   查看第二階段數據庫

interface: Serial1/2

    Crypto map tag: openlab, local addr 15.1.1.1

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

   current_peer 25.1.1.1 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

    #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 1, #recv errors 0

     local crypto endpt.: 15.1.1.1, remote crypto endpt.: 25.1.1.1

     path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2

     current outbound spi: 0xC39B730(205109040)

     inbound esp sas:

      spi: 0xC1A0D62B(3248543275)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 1, flow_id: 1, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1379)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

      spi: 0xC39B730(205109040)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 2, flow_id: 2, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1377)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

inbound和outbound的配置是一樣的

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

.!!!!（為是觸發更新，隧道的建立需要流量的觸發，所以第一個包會丟失）

Success rate is 80 percent (4/5), round-trip min/avg/max = 36/42/52 ms

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!

配置要點

1. 第一階段的數據庫

若選擇的認證方式是共享密鑰還需要配置共享密鑰

2. 配置ACL

3. 配置第二階段數據庫

4. 最后使用一張MAP將以上配置組合在一起，并將map在接口上進行調用即可。

R1的配置

#show run

crypto isakmp policy 10   第一階段數據庫

 encr 3des

 hash md5

 authentication pre-share   認證方式選擇的是共享密鑰

 group 2  

crypto isakmp key 6 cisco123 address 25.1.1.1    設置共享密鑰  address寫的是對端的IP地址

crypto ipsec transform-set xxx esp-3des esp-md5-hmac 第二階段數據庫

crypto map openlab 10 ipsec-isakmp   匹配到同一張map中

 set peer 25.1.1.1

 set transform-set xxx

 match address 100

interface Loopback0

 ip address 192.168.1.1 255.255.255.0

interface Serial1/2

 ip address 15.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab           調用在接口上

ip route 0.0.0.0 0.0.0.0 15.1.1.2

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   抓取走××× 的流量

R2的配置（和R1相同道理）

#show run

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2  

crypto isakmp key 6 cisco123 address 15.1.1.1

crypto ipsec transform-set xxx esp-3des esp-md5-hmac

crypto map openlab 10 ipsec-isakmp

 set peer 15.1.1.1

 set transform-set xxx

 match address 100

interface Loopback0

 ip address 192.168.2.1 255.255.255.0

interface Serial1/2

 ip address 25.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab    

ip route 0.0.0.0 0.0.0.0 25.1.1.2

access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R5的配置

interface Loopback0

 ip address 5.5.5.5 255.255.255.0

interface Serial1/0

 ip address 15.1.1.2 255.255.255.0

 serial restart-delay 0

interface Serial1/1

 ip address 25.1.1.2 255.255.255.0

 serial restart-delay 0

抓取R1的S1/2的流量

只能看見公有地址，發現三層之后就變成ESP，所有的流量都被加密了。

2018.11.6 復習IPSEC ×××

××× 的分類

LAN-TO-LAN 兩端的IP地址固定  

包括:GRE,ATM,MPLS ×××,Frame Relay(幀中繼)

Remote ××× 一端固定，另外一端不固定

包括：IPSec ×××,PPTP(Windows),L2TP+IPSEC（Windows）,SSL ×××(主要用于網頁)

IPSec ×××

安全性

私密，完整，源認證、不可否認

IPSEC框架

加密 DES 3DES AES

驗證 MD5 SHA-1             完整性（校驗）

封裝協議 ESP(加密+校驗) AH（只進行校驗）

模式 transport（傳輸模式，從三層之后進行封裝）tunnel（隧道模式，從四層之后開始封裝）

密鑰有效期 3600s 1800s

密碼算法

對稱算法 DES 3DES AES(包括128 192 256)

非對稱算法 RSA DH

對稱算法加密：同一密鑰進行加密和解密  加密后數據變大較小

優點：速度快 安全 緊湊

缺點：明文傳輸密鑰可能會被劫持或者竊聽；密鑰數量多（根據參與者數量成平方增長，指數增長）；數量多，管理存儲問題；不支持數字簽名和不可否認

非對稱算法加密：加密和解密用的不是同一個密鑰；僅僅用于密鑰簽名和數字簽名；加密后數據變大較多

優點：因為加密后數據大，所以更加安全；不必發送密鑰給接收者，不用安心密鑰會被中途劫持的問題；密鑰數量和參與者的數量一樣；不需要事先與參與者之間建立關系以進行交換密鑰；支持數字簽名和不可否認

缺點：加密速度慢；加密后數據長度大

2018.11.8

校驗

（只進行比較前96位）MD5    128位 不等長的輸入，等長的輸出  經常使用的校驗算法

SHA    160 256 384 512

散列函數的特點

固定大小、雪崩效應，單向，沖突避免（兩個不一樣的數據生成的值不一樣），建議MD5，流量實際傳遞的過程中僅僅只攜帶96位的校驗

流行的散列算法

MD5,SHA-1

ESP 可以對流量進行加密和校驗

AH 只能對流量進行校驗

IKE  建立×××的過程

CA證書機構 核實證書的真實性

2018年11月14日

IKE建立隧道，ESP加密，共享密鑰保證不可否認性

EASY  IP地址下放  1.5階段

兩個數據庫進行核實，兩邊的一致就會建立×××

iskmp數據庫  第一階段 明文發送

（1）

A.數據包中含有的信息有：加密算法（默認DES）HASH算法（默認SHA） 身份認證方式 （數字簽名進或者共享密鑰） SA有效期 86400（一天更換一次）

B.  ** DH組號 1/2/5 2-1024位安全 只能使用DH算法

第一階段的數據庫是為了加密第二階段的數據庫

Iskmp sa第一階段 前四個包為明文，后兩個包為密文

1.2包 SA如果一樣，建立×××

3.4包 DH算法的公鑰互相交換，定義公鑰長度

5.6包 流量被加密，密鑰被DH加密。HASH，對端的IP地址，主機名稱，使用數字簽名（**共享密鑰）

Ipsec sa  第二階段

全部是加密的流量

**（1）ACL   （走××× 的流量）抓取流量，關注源IP和目標IP

**（2）P2 SA  第二階段數據庫

模式

超時時間

封裝協議

加密算法

HASH算法