IPSEC ×××的复习

拓扑图如上，启用R1 R2 R5三个路由器 ，R1的环回和R2的环回之间的访问走×××，R1的环回192.168.1.0/24

R2的环回192.168.2.0/24

R1#show version

Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2)  路由器的版本标识中如果有k标志，则说明该路由器可以使用RSA DH 生成公钥和私钥

实验结果

R1#show crypto isakmp sa  查看第一阶段数据库

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

25.1.1.1        15.1.1.1        QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

state 为QM的时候，代表隧道已经建立

R1#show crypto ipsec sa   查看第二阶段数据库

interface: Serial1/2

    Crypto map tag: openlab, local addr 15.1.1.1

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

   current_peer 25.1.1.1 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

    #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 1, #recv errors 0

     local crypto endpt.: 15.1.1.1, remote crypto endpt.: 25.1.1.1

     path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2

     current outbound spi: 0xC39B730(205109040)

     inbound esp sas:

      spi: 0xC1A0D62B(3248543275)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 1, flow_id: 1, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1379)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

      spi: 0xC39B730(205109040)

        transform: esp-3des esp-md5-hmac ,

        in use settings ={Tunnel, }

        conn id: 2, flow_id: 2, crypto map: openlab

        sa timing: remaining key lifetime (k/sec): (4429687/1377)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

inbound和outbound的配置是一样的

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

.!!!!（为是触发更新，隧道的建立需要流量的触发，所以第一个包会丢失）

Success rate is 80 percent (4/5), round-trip min/avg/max = 36/42/52 ms

R1#ping 192.168.2.1 source 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!

配置要点

1. 第一阶段的数据库

若选择的认证方式是共享密钥还需要配置共享密钥

2. 配置ACL

3. 配置第二阶段数据库

4. 最后使用一张MAP将以上配置组合在一起，并将map在接口上进行调用即可。

R1的配置

#show run

crypto isakmp policy 10   第一阶段数据库

 encr 3des

 hash md5

 authentication pre-share   认证方式选择的是共享密钥

 group 2  

crypto isakmp key 6 cisco123 address 25.1.1.1    设置共享密钥  address写的是对端的IP地址

crypto ipsec transform-set xxx esp-3des esp-md5-hmac 第二阶段数据库

crypto map openlab 10 ipsec-isakmp   匹配到同一张map中

 set peer 25.1.1.1

 set transform-set xxx

 match address 100

interface Loopback0

 ip address 192.168.1.1 255.255.255.0

interface Serial1/2

 ip address 15.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab           调用在接口上

ip route 0.0.0.0 0.0.0.0 15.1.1.2

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   抓取走××× 的流量

R2的配置（和R1相同道理）

#show run

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2  

crypto isakmp key 6 cisco123 address 15.1.1.1

crypto ipsec transform-set xxx esp-3des esp-md5-hmac

crypto map openlab 10 ipsec-isakmp

 set peer 15.1.1.1

 set transform-set xxx

 match address 100

interface Loopback0

 ip address 192.168.2.1 255.255.255.0

interface Serial1/2

 ip address 25.1.1.1 255.255.255.0

 serial restart-delay 0

 crypto map openlab    

ip route 0.0.0.0 0.0.0.0 25.1.1.2

access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R5的配置

interface Loopback0

 ip address 5.5.5.5 255.255.255.0

interface Serial1/0

 ip address 15.1.1.2 255.255.255.0

 serial restart-delay 0

interface Serial1/1

 ip address 25.1.1.2 255.255.255.0

 serial restart-delay 0

抓取R1的S1/2的流量

只能看见公有地址，发现三层之后就变成ESP，所有的流量都被加密了。

2018.11.6 复习IPSEC ×××

××× 的分类

LAN-TO-LAN 两端的IP地址固定  

包括:GRE,ATM,MPLS ×××,Frame Relay(帧中继)

Remote ××× 一端固定，另外一端不固定

包括：IPSec ×××,PPTP(Windows),L2TP+IPSEC（Windows）,SSL ×××(主要用于网页)

IPSec ×××

安全性

私密，完整，源认证、不可否认

IPSEC框架

加密 DES 3DES AES

验证 MD5 SHA-1             完整性（校验）

封装协议 ESP(加密+校验) AH（只进行校验）

模式 transport（传输模式，从三层之后进行封装）tunnel（隧道模式，从四层之后开始封装）

密钥有效期 3600s 1800s

密码算法

对称算法 DES 3DES AES(包括128 192 256)

非对称算法 RSA DH

对称算法加密：同一密钥进行加密和解密  加密后数据变大较小

优点：速度快 安全 紧凑

缺点：明文传输密钥可能会被劫持或者窃听；密钥数量多（根据参与者数量成平方增长，指数增长）；数量多，管理存储问题；不支持数字签名和不可否认

非对称算法加密：加密和解密用的不是同一个密钥；仅仅用于密钥签名和数字签名；加密后数据变大较多

优点：因为加密后数据大，所以更加安全；不必发送密钥给接收者，不用安心密钥会被中途劫持的问题；密钥数量和参与者的数量一样；不需要事先与参与者之间建立关系以进行交换密钥；支持数字签名和不可否认

缺点：加密速度慢；加密后数据长度大

2018.11.8

校验

（只进行比较前96位）MD5    128位 不等长的输入，等长的输出  经常使用的校验算法

SHA    160 256 384 512

散列函数的特点

固定大小、雪崩效应，单向，冲突避免（两个不一样的数据生成的值不一样），建议MD5，流量实际传递的过程中仅仅只携带96位的校验

流行的散列算法

MD5,SHA-1

ESP 可以对流量进行加密和校验

AH 只能对流量进行校验

IKE  建立×××的过程

CA证书机构 核实证书的真实性

2018年11月14日

IKE建立隧道，ESP加密，共享密钥保证不可否认性

EASY  IP地址下放  1.5阶段

两个数据库进行核实，两边的一致就会建立×××

iskmp数据库  第一阶段 明文发送

（1）

A.数据包中含有的信息有：加密算法（默认DES）HASH算法（默认SHA） 身份认证方式 （数字签名进或者共享密钥） SA有效期 86400（一天更换一次）

B.  ** DH组号 1/2/5 2-1024位安全 只能使用DH算法

第一阶段的数据库是为了加密第二阶段的数据库

Iskmp sa第一阶段 前四个包为明文，后两个包为密文

1.2包 SA如果一样，建立×××

3.4包 DH算法的公钥互相交换，定义公钥长度

5.6包 流量被加密，密钥被DH加密。HASH，对端的IP地址，主机名称，使用数字签名（**共享密钥）

Ipsec sa  第二阶段

全部是加密的流量

**（1）ACL   （走××× 的流量）抓取流量，关注源IP和目标IP

**（2）P2 SA  第二阶段数据库

模式

超时时间

封装协议

加密算法

HASH算法