欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

IPSEC野蛮模式的详细介绍(图文教程)

程序员文章站 2022-07-03 11:01:52
Internet 协议安全性 (IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯... 12-07-07...

ipsec野蛮模式 简介:

ike 的协商模式

在rfc2409(the internet key exchange )中规定,ike 第一阶段的协商可以采用两种模式:主模式(main mode )和野蛮模式(aggressive mode )。

主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息;交换的身份信息受已生成的 diffie-hellman共享密钥的保护。但这增加了3 条消息的开销。

野蛮模式则允许同时传送与sa、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数,但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制,但可以满足某些特定的网络环境需求。例如:远程访问时,如果响应者(服务器端)无法预先知道发起者(终端用户)的地址、或者发起者的地址总在变化,而双方都希望采用预共享密钥验证方法来创建ike sa,那么,不进行身份保护的野蛮模式就是唯一可行的交换方法;另外,如果发起者已知响应者的策略,或者对响应者

野蛮模式的作用:

对于两端ip地址不是固定的情况(如adsl拨号上网),并且双方都希望采用预共享密钥验证方法来创建ike sa,就需要采用野蛮模式。另外如果发起者已知回应者的策略,采用野蛮模式也能够更快地创建ike sa。

ipsec下两种模式的区别:

1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息,野蛮模式只需要交互3个消息。

2、主模式协商比野蛮模式协商更严谨、更安全。因为主模式在5、6个消息中对id信息进行了加密。而野蛮模式由于受到交换次数的限制,id信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护,而野蛮模式则没有。

3、两种模式在确定预共享密钥的方式不同。主模式只能基于ip地址来确定预共享密钥。而积极模式是基于id信息(主机名和ip地址)来确定预共享密钥。

野蛮模式的必要性:

两边都是主机名的时候,就一定要用野蛮模式来协商,如果用主模式的话,就会出现根据源ip地址找不到预共享密钥的情况,以至于不能生成skeyid。

1、因为主模式在交换完3、4消息以后,需要使用预共享密钥来计算skeyid,但是由于双方的id信息在消息5、6中才会被发送,此时主模式的设备只能使用消息3、4中的源ip地址来找到与其对应的预共享密钥;如果主模式采用主机名方式,主机名信息却包含在消息5、6中,而ipsec双方又必须在消息5、6之前找到其相应的预共享密钥,所以就造成了矛盾。

2、在野蛮模式中,id信息(ip地址或者主机名)在消息1、2中就已经发送了,对方可以根据id信息查找到对应的预共享密钥,从而计算出skeyid。

案例

   例:本实验采用华为三台f100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的vpn通道的建立。fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访。fw2和fw3通过dhcp服务器动态获取地址。

实验图:

IPSEC野蛮模式的详细介绍(图文教程)

fw1 的配置:

<f1>langu chinese

change language mode, confirm? [y/n]y

% 改变到中文模式。

<f1>system-view

进入系统视图, 键入ctrl+z退回到用户视图.

配置ip

[f1]firewall zone trust

[f1-zone-trust]add interface ethernet 0/4

接口已经加入到untrust安全区域了.

[f1-zone-trust]quit

[f1]firewall zone untrust

[f1-zone-untrust]add interface ethernet 0/1

接口已经加入到dmz安全区域了.

[f1-zone-untrust]quit

[f1]interface ethernet0/4

[f1-ethernet0/4]ip add 192.168.10.1 24

[f1-ethernet0/4]interface ethernet0/1

[f1-ethernet0/1]ip add 192.168.110.200 24

[f1-ethernet0/1]

%2012/3/29 19:26:47:341 f1 ifnet/4/updown:链路协议在接口ethernet0/1上状态变为up

[f1-ethernet0/1]quit

     默认路由:

[f1]ip route-static 0.0.0.0 0.0.0.0 192.168.110.1

    定义acl实现对数据流的过滤

[f1]acl number 3000

[f1-acl-adv-3000]rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.120.0 0.0.0.255

[f1-acl-adv-3000]rule deny ip source any destination any

[f1-acl-adv-3000]quit

[f1]acl number 3001

[f1-acl-adv-3001]rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.130.0 0.0.0.255

[f1-acl-adv-3001]rule deny ip source any destination any

[f1-acl-adv-3001]quit

     配置安全提议

[f1]ipsec proposal tran1        创建名为tran1的安全协议

[f1-ipsec-proposal-tran1]encapsulation-mode tunnel       报文封装形式采用隧道模

[f1-ipsec-proposal-tran1]transform esp         安全协议采用esp协议

[f1-ipsec-proposal-tran1]esp encryption-algorithm des      选择加密算法

[f1-ipsec-proposal-tran1]esp authentication-algorithm md5    认证算法

[f1-ipsec-proposal-tran1]quit

[f1]ipsec proposal tran2           创建名为tran2的安全协议

[f1-ipsec-proposal-tran2]encapsulation-mode tunnel      

[f1-ipsec-proposal-tran2]transform esp                  

[f1-ipsec-proposal-tran2] esp encryption-algorithm des 

[f1-ipsec-proposal-tran2]esp authentication-algorithm md5

[f1-ipsec-proposal-tran2]quit

创建ike peer并进入ike peer视图:

[f1]ike local-name fw1     配置ike协商时的本地id

[f1]ike peer peer1

[f1-ike-peer-peer1]exchange-mode aggressive         配置ike协商方式为野蛮模式

[f1-ike-peer-peer1]pre-shared-key simple 123456       配置预共享密钥

[f1-ike-peer-peer1]id-type name         配置对端id类型

[f1-ike-peer-peer1]remote-name fw2         配置对端名称

[f1-ike-peer-peer1]quit

[f1]ike peer peer2             

[f1-ike-peer-peer2]exchange-mode aggressive   

[f1-ike-peer-peer2]pre-shared-key simple abcdef

[f1-ike-peer-peer2]id-type name               

[f1-ike-peer-peer2]remote-name fw3            

[f1-ike-peer-peer2]quit

    创建安全策略,协商方式为动态方式

[f1]ipsec poli policy1 10 isakmp

[f1-ipsec-policy-isakmp-policy1-10]proposal tran1         引用安全提议

[f1-ipsec-policy-isakmp-policy1-10]security acl 3000      引用访问列表               

[f1-ipsec-policy-isakmp-policy1-10]ike-peer peer1

[f1-ipsec-policy-isakmp-policy1-10]quit

[f1]ipsec poli policy1 20 isakmp

[f1-ipsec-policy-isakmp-policy1-20]proposal tran2             

[f1-ipsec-policy-isakmp-policy1-20]security acl 3001          

[f1-ipsec-policy-isakmp-policy1-20]ike-peer peer2             

[f1-ipsec-policy-isakmp-policy1-20]quit

     在接口上应用安全策略组:

[f1]interface ethernet0/1

[f1-ethernet0/1]ipsec policy policy1

[f1-ethernet0/1]quit  

查看配置信息:

IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

fw2 的配置:

<f2>langu chin

change language mode, confirm? [y/n]y

% 改变到中文模式。

<f2>sys

<f2>system-view

进入系统视图, 键入ctrl+z退回到用户视图.

[f2]firewall zone trust

[f2-zone-trust]add interface ethernet 0/4

[f2-zone-trust]quit

[f2]firewall zone untrust

[f2-zone-untrust]add interface ethernet 0/1

[f2-zone-untrust]quit

[f2]inter ethernet0/4

[f2-ethernet0/4]ip add 192.168.20.1 24

[f2-ethernet0/4]inter ethernet0/1    

[f2-ethernet0/1]ip address dhcp-alloc     配置dhcp动态获取地址

[f2-ethernet0/1]

%2012/3/29 19:48:16:393 f2 ifnet/4/updown:链路协议在接口ethernet0/1上状态变为up

[f2-ethernet0/1]quit

[f2] ip route-static 0.0.0.0 0.0.0.0 192.168.120.1

[f2]acl number 3000

[f2-acl-adv-3000]rule permit ip source 192.168.120.0 0.0.0.255 destination 192.168.110.0 0.0.0.255

[f2-acl-adv-3000]rule deny ip source any destination any

[f2-acl-adv-3000]quit

[f2]ipsec proposal tran1

[f2-ipsec-proposal-tran1]encapsulation-mode tunnel

[f2-ipsec-proposal-tran1]transform esp    

[f2-ipsec-proposal-tran1]esp encryption-algorithm des 

[f2-ipsec-proposal-tran1]esp authentication-algorithm md5

[f2-ipsec-proposal-tran1]quit

[f2]ike local-name fw2

[f2]ike peer peer1

[f2-ike-peer-peer1]exchange-mode aggressive

[f2-ike-peer-peer1]pre-shared-key simple 123456

[f2-ike-peer-peer1]id-type name

[f2-ike-peer-peer1]remote-name fw1

[f2-ike-peer-peer1]quit

[f2]ipsec poli policy2 10 isakmp

[f2-ipsec-policy-isakmp-policy2-10]proposal tran1

[f2-ipsec-policy-isakmp-policy2-10]security acl 3000

[f2-ipsec-policy-isakmp-policy2-10]ike-peer peer1

[f2-ipsec-policy-isakmp-policy2-10]quit

[f2]inter ethernet0/1

[f2-ethernet0/1]ipsec policy policy2

[f2-ethernet0/1]quit

查看配置信息:

 IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

 IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

fw3 的配置:

<f3>lang chin

change language mode, confirm? [y/n]y

% 改变到中文模式。

<f3>sys

<f3>system-view

进入系统视图, 键入ctrl+z退回到用户视图.

[f3]firewall zone trust

[f3-zone-trust]add interface ethernet 0/4

[f3-zone-trust]quit

[f3]firewall zone untrust

[f3-zone-untrust]add interface ethernet 0/1

[f3-zone-untrust]quit

[f3]inter ethernet0/4

[f3-ethernet0/4]ip add 192.168.30.1 24

[f3-ethernet0/4]inter ethernet0/1    

[f3-ethernet0/1]ip address dhcp-alloc

[f3-ethernet0/1]

%2012/3/29 19:06:42:711 f3 ifnet/4/updown:链路协议在接口ethernet0/1上状态变为up

[f3-ethernet0/1]quit

[f3]ip route-static 0.0.0.0 0.0.0.0 192.168.130.1

[f3]acl number 3000

[f3-acl-adv-3000]rule permit ip source 192.168.130.0 0.0.0.255 destination 192.168.110.0 0.0.0.255

[f3-acl-adv-3000]rule deny ip source any destination any

[f3-acl-adv-3000]quit

[f3]ipsec proposal tran2

[f3-ipsec-proposal-tran2]encapsulation-mode tunnel

[f3-ipsec-proposal-tran2]transform esp

[f3-ipsec-proposal-tran2]esp encryption-algorithm des

[f3-ipsec-proposal-tran2]esp authentication-algorithm md5

[f3-ipsec-proposal-tran2]quit

[f3]ike local-name fw3

[f3]ike peer peer2

[f3-ike-peer-peer2]exchange-mode aggressive

[f3-ike-peer-peer2]pre-shared-key simple abcdef

[f3-ike-peer-peer2]id-type name

[f3-ike-peer-peer2]remote-name fw1

[f3-ike-peer-peer2]quit

[f3]ipsec poli policy3 20 isakmp

[f3-ipsec-policy-isakmp-policy3-20]proposal tran2

[f3-ipsec-policy-isakmp-policy3-20]security acl 3001

[f3-ipsec-policy-isakmp-policy3-20]ike-peer peer2

[f3-ipsec-policy-isakmp-policy3-20]quit

[f3]inter ethernet0/1

[f3-ethernet0/1]ipsec policy policy3

查看配置信息:

 IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

switch1 的配置:

<sw1>lang chin

change language mode, confirm? [y/n]y

% 改变到中文模式。

<sw1>system-view

进入系统视图, 键入ctrl+z退回到用户视图.

 划分vlan,并把他们加入接口:

[sw1]vlan 10

[sw1-vlan10]port ethernet0/1

[sw1-vlan10]vlan 20

[sw1-vlan20]port ethernet0/5

[sw1-vlan20]vlan 30

[sw1-vlan30]port ethernet0/3

[sw1-vlan30]inter

[sw1-vlan30]quit

  配置vlan地址:

[sw1]interface vlan-interface 10

[sw1-vlan-interface10]

%2012/3/29 20:13:12:150 sw1 l2inf/5/vlanif link status change:

vlan-interface10: link状态变为up

[sw1-vlan-interface10]ip add 192.168.110.1 255.255.255.0

[sw1-vlan-interface10]

%2012/3/29 20:13:36:503 sw1 ifnet/5/updown:

  链路协议在接口vlan-interface10上状态变为up

[sw1-vlan-interface10]interface vlan-interface 20      

[sw1-vlan-interface20]

%2012/3/29 20:13:45:493 sw1 l2inf/5/vlanif link status change:

vlan-interface20: link状态变为up

[sw1-vlan-interface20]ip add 192.168.120.1 255.255.255.0

[sw1-vlan-interface20]

%2012/3/29 20:13:55:184 sw1 ifnet/5/updown:

  链路协议在接口vlan-interface20上状态变为up

[sw1-vlan-interface20]interface vlan-interface 30      

[sw1-vlan-interface30]

%2012/3/29 20:14:02:434 sw1 l2inf/5/vlanif link status change:

vlan-interface30: link状态变为up

[sw1-vlan-interface30]ip add 192.168.130.1 255.255.255.0

[sw1-vlan-interface30]

%2012/3/29 20:14:12:405 sw1 ifnet/5/updown:

  链路协议在接口vlan-interface30上状态变为up

[sw1-vlan-interface30]quit

  配置dhcp服务:

[sw1]dhcp server ip-pool fw2

[sw1-dhcp-fw2]network 192.168.120.0 mask 255.255.255.0

[sw1-dhcp-fw2]quit

[sw1]dhcp server ip-pool fw3

[sw1-dhcp-fw3]network 192.168.130.0 mask 255.255.255.0

[sw1-dhcp-fw3]quit

[sw1]dhcp  enable     

dhcp任务已经启动!

查看配置信息:

IPSEC野蛮模式的详细介绍(图文教程)

[sw1]dis cu

#

sysname sw1

#

local-server nas-ip 127.0.0.1 key huawei

local-user user1

password simple 123                     

service-type telnet level 3

#

dhcp server ip-pool fw2

network 192.168.120.0 mask 255.255.255.0

#

dhcp server ip-pool fw3

network 192.168.130.0 mask 255.255.255.0

#

vlan 1

#

vlan 10

#

vlan 20

#

vlan 30

#

interface vlan-interface10

ip address 192.168.110.1 255.255.255.0

#

interface vlan-interface20               

ip address 192.168.120.1 255.255.255.0

#

interface vlan-interface30

ip address 192.168.130.1 255.255.255.0

#

interface aux0/0

#

interface ethernet0/1

port access vlan 10

#

interface ethernet0/2

#

interface ethernet0/3

port access vlan 30

#

interface ethernet0/4

#

interface ethernet0/5

port access vlan 20

#

interface ethernet0/6

#                                        

interface ethernet0/7

#

return

测试:

pc1与pc2,pc3之间的ping访问:

IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式的详细介绍(图文教程)

pc2与pc1之间的ping访问:

IPSEC野蛮模式的详细介绍(图文教程)

pc3与pc1之间的ping访问:

IPSEC野蛮模式的详细介绍(图文教程)