HCIE-Security Day26:IPSec:实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证)
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证)
组网需求
网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下:
通过组网实现如下需求:在FW_A和FW_B之间建立IKE方式的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。
操作步骤
1、配置接口ip地址和安全区域,配置安全策略默认放行
2、配置静态路由确保r1和r3互通
3、在f1上配置ipsec策略,并在接口上应用此ipsec策略
3.1 定义被保护的数据流。
通过acl(permit)指定需要ipsec保护的数据流。一个ipsec安全策略中只能引用一个acl。
在sa的出方向上,匹配acl将被ipsec保护,具体指:报文经过ipsec加密处理后再发送。未匹配任何permit规则或匹配deny的保护将不会被保护,即报文直接转发。对等体间匹配一条permit规则即匹配一个需要保护的数据流,则对应生成一对sa。
在sa的入方向上,经过ipsec保护的报文将被解封装处理,未经过ipsec保护的报文正常转发。
若不同的数据流有不同的安全要求,需要创建不同的acl和相应的ipsec安全策略
若不同的数据流的安全要求相同,可以在一条acl中配置多条rule来保护不同的数据流
ipsec隧道两端的acl规则定义的协议类型要一致,如一端是ip协议,另一端也必须是ip协议。
//f1
acl number 3000//应当采用高级acl,可以对ip、tcp、dscp、udp、gre等进行筛选
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
//f2
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.2 配置ipsec 安全提议。缺省参数可不设置
ipsec安全提议是安全策略或者安全框架的一个组成部分,包括了ipsec使用的安全协议、认证、加密算法以及数据的封装模式,定义了ipsec的保护方法,为ipsec协商sa提供各种安全参数。ipsec隧道两端设备需要配置相同的安全参数。
//f1
ipsec proposal tran1
transform esp//配置安全协议,可以是ah、esp、ah-esp,默认是esp
esp authentication-algorithm sha2-256//配置esp协议使用的认证算法,模式是sha2-256
esp encryption-algorithm aes-256//配置esp协议使用的加密算法,模式人aes-256
encapsulation-mode tunnel//配置安全协议对数据的封装模式,可以是transport、tunnel、auto,默认是tunnel
//f2
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
3.3 配置ike安全提议
ike安全提议是ike对等体的一个组成部分,定义了对等体进行ike协商时使用的参数,包括加密算法、认证方法、认证算法、dh组和ike安全联盟的生成周期。
ike协商时,协商发起方会将自己的ike安全提议发送给对端,由对端进行匹配,协商响应方按照优先级顺序进行匹配,匹配的ike安全提议将被用来建立ike的安全隧道。
优先级由ike安全提议的序号表示,数值越小越优先。
ike安全提议的匹配原则是:协商双方具有相同的加密算法、认证方法、认证算法和dh组。匹配的ike安全提议的ike sa的生存周期取两端的最小值。
//f1f2
ike proposal 10
encryption-algorithm aes-256//配置ike协商所使用的加密算法。默认是aes-256
dh group14//配置ike协商时采用的dh组,默认是group14
authentication-algorithm sha2-256//配置ikev1协商时所使用的认证算法,默认是sha2-256
authentication-method pre-share//配置认证方法,默认是pre-shared key认证方法
integrity-algorithm hmac-sha2-256//配置ikev2协商时所使用的完整性算法,默认是hmac-sha2-256
prf hmac-sha2-256//配置ikev2协商时所使用的伪随机数产生函数的算法,默认是hmac-sha2-256
3.4 配置ike peer
配置ike动态协商方式建立ipsec隧道时,需要引用ike对等体,并配置ike协商时对等体间的一系列属性。
//f1
ike peer b//创建ike对等体
pre-shared-key Test!1234//配置身份认证参数,默认是预共享密钥方式
ike-proposal 10//引用ike安全提议
remote-address 1.1.5.1//配置ike协商时对端ip地址
version 1|2 //配置ike对等体使用的ike协议版本号,默认同时支持ikev1和ikev2两个版本
exchange-mode main/aggressive/auto//配置ikev1阶段1协商模式,默认是主模式
//f2
ike peer a
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.3.1
3.5 配置ipsec策略(isakmp方式)
ipsec安全策略是创建sa的前提,规定了对哪些数据流采用哪种保护方法,配置时,通过引用acl和ipsec安全提议,将acl定义的数据流和ipsec安全提议定义的保护方法关联起来,并可以指定sa的协商方式、ipsec隧道的起点和终点,所需要的密钥和sa的生存周期等。
一个ipsec安全策略由名称和序号共同唯一确定,相同名称的ipsec安全策略为一个ipsec安全策略组。ipsec安全策略分为手工方式和isakmp方式和策略模板方式。其中isakmp方式ipsec安全策略和策略模板方式ipsec安全策略均由ike自动协商生成各个参数。
isakmp方式适用于对端ip地址固定的场景,一般用于分支的配置。
//f1
ipsec policy map1 10 isakmp//创建isakmp方式ipsec安全策略
security acl 3000//引用acl
ike-peer b//引用ike peer
proposal tran1//引用ipsec安全提议
//f2
ipsec policy map1 10 isakmp
security acl 3000
ike-peer a
proposal tran1
3.6 应用ipsec策略组map1
//f1
interface GigabitEthernet1/0/1
ipsec policy map1
//f2
interface GigabitEthernet1/0/1
ipsec policy map1
验证和分析
1、在r1执行ping命令,触发ike协商
若ike协商成功,隧道建立后可以ping通,反之则不行。
在f1和f2之间抓包。
2、分别在f1和f2上执行display ike sa、 display ipsec sa会显示安全联盟的建立情况。
[f2]dis ike sa
2022-03-14 15:50:36.430
IKE SA information :
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------
2 1.1.3.1:500 RD|A v2:2 IP 1.1.3.1
1 1.1.3.1:500 RD|A v2:1 IP 1.1.3.1
Number of IKE SA : 2
--------------------------------------------------------------------------------
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
以上显示ike sa建立成功。
[f2]dis ipsec sa
2022-03-14 15:53:02.390
ipsec sa information:
===============================
Interface: GigabitEthernet1/0/1
===============================
-----------------------------
IPSec policy name: "map1"
Sequence number : 10
Acl group : 3000
Acl rule : 5
Mode : ISAKMP
-----------------------------
Connection ID : 2
Encapsulation mode: Tunnel
Holding time : 0d 0h 6m 30s
Tunnel local : 1.1.5.1:500
Tunnel remote : 1.1.3.1:500
Flow source : 10.1.2.0/255.255.255.0 0/0-65535
Flow destination : 10.1.1.0/255.255.255.0 0/0-65535
[Outbound ESP SAs]
SPI: 196061125 (0xbafa7c5)
Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/3210
Max sent sequence-number: 5
UDP encapsulation used for NAT traversal: N
SA encrypted packets (number/bytes): 4/336
[Inbound ESP SAs]
SPI: 193769985 (0xb8cb201)
Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/3210
Max received sequence-number: 1
UDP encapsulation used for NAT traversal: N
SA decrypted packets (number/bytes): 4/336
Anti-replay : Enable
Anti-replay window size: 1024
以上显示ipsec sa建立成功。
相关文章
- 技术分享 | 接口自动化测试如何进行认证?
- Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(四)
- 基础认证伪造工具phishery
- 快速集成华为AGConnect认证服务-Rest Api
- 这些OAuth2客户端的认证方式你未必了解
- NSURLCredential 代表认证结果证书?
- 【漏洞修复】AMQP Cleartext认证漏洞,配置EXTERNAL鉴权方式
- 浅析SpringSecurity未授权或权限不足的处理:AuthenticationEntryPoint认证入口点及其实现类简介及AccessDeineHandler介绍
- Shiro(二):Shiro 认证(xml配置方式)
- 通过AGC认证服务在iOS平台实现匿名登录功能
- 紧紧跟随NSX认证的步伐
- 如何使用 Azure Active Directory 认证和 Microsoft Graph 构建 Blazor Web 应用
- C站能力认证(C4前端基础认证) //任务三:根据媒体查询,一套代码实现以下控制页面效果