IPsec ×××

IPsec ××× :

IPsec 是一系列爲IP網絡提供完整安全性的協議和服務的集合，因工做在IP層，從而爲上層協議和應用提供透明的安全服務

IPsec ××× 僅適用於單播數據報文。

Because the IPsec Working Group has not yet addressed the issue of group key distribution, IPsec does not currently work with multicasts or broadcast IP datagrams.

NAT 應使用靜態的 ，IPsec ×××才能正常工做。

且NAT應該在IPsec ×××完成封裝以後，再發揮做用。即IPsec ×××應使用全局地址。

R5--R1---(R2)—R3--R4

site : R5 和 R4 Internet ： R2

R1,R2,R3,R4,R5的配置附件以下：

創建ipsec ×××以前先初始化基本配置：

R1： 模擬總部的出口路由器

Inter fa0/0

No shut

Ip address 172.16.1.1 255.255.255.0

Inter s2/0

No shut

Ip address 192.168.1.1 255.255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.1.2 只保證R1--àR3之間通訊

R2: 模擬Internet

Inter s2/0

No shut

Ip address 192.168.1.2 255.255.255.0

Inter s2/1

No shut

Ip address 192.168.2.1 255.255.255.0

R3: 模擬分公司的路由器

Inter s2/0

No shut

Ip address 192.168.2.2 255.255.255.0

Inter s2/1

No shut

Ip address 192.168.3.1 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.2.1 只保證R3-àR1之間通訊

R4: 模擬分公司的出口路由器

Inter s2/0

No shut

Ip address 192.168.3.2 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 192.168.3.1 保證能訪問公網

R5: 模擬總部路由器

Inter fa0/0

No shut

Ip address 172.16.1.2 255.255.255.0

Ip route 0.0.0.0 0.0.0.0 172.16.1.1 保證能訪問公網

Site2site ×××的配置流程：

1.R1上定義IKE（ISAKMP）的策略

Crypto isakmp policy 1

Encryption 3des

Authentication pre-share

Group 2

Hash sha

說明：

定義了ISAKMP policy 1，加密方式爲3des，hash算法爲sha，認證方式爲Pre-Shared Keys (PSK)，密鑰算法（Diffie-Hellman）爲group 2。

2.R1 上定義認證標識：

Crypto isakmp key cisco address 192.168.2.2 255.255.255.0

說明：

由於以前定義的認證方式爲Pre-Shared Keys (PSK)，因此須要定義認證密碼，這裏定義與peer 192.168.2.2的認證密碼爲cisco，而且雙方密碼必須一致，不然沒法創建IKE SA，其中0表示密碼在running-config中顯示爲明文。

3.R1上定義transform set

Crypto ipsec transform-set ××× esp-aes esp-sha-hmac

說明：

配置transform-set爲×××，其中數據封裝使用esp加3des加密，而且使用esp結合sha作hash計算，默認的IPsec mode爲tunnel。

4.R1上定義感興趣流量

Access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.3.0 0.0.0.255

說明：這裏須要被IPsec保護公司之間傳輸的的流量，即172.16.1.0/24發往 192.168.3.0/24的流量，切記不可以使用any來表示地址。

5.建立Crypto map ：

Crypto map ×××_MAP 1 ipsec-isakmp

Set peer 192.168.2.2

Set transform-set ×××

Match address 100

說明：

在R1上配置crypto map爲×××_MAP，序號爲1，即第1組策略，其中指定加密數據發往的對端爲192.168.2.2，即和192.168.2.2,創建IPsec隧道，調用的IPsec transform爲×××，而且指定ACL 100中的流量爲被保護的流量。

6.將Crypto map應用於接口：

Inter s2/0

Crypto map ×××_MAP

說明：

將crypto map應用在去往對端公司的接口上。

同理：在R3上的配置相似R1

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key cisco address 192.168.1.1 255.255.255.0

crypto ipsec transform-set ××× esp-aes esp-sha-hmac

crypto map ×××_MAP 1 ipsec-isakmp

set peer 192.168.1.1

set transform-set ×××

match address 100

access-list 100 permit ip 192.168.3.0 0.0.0.255 172.16.1.0 0.0.0.255

interface Serial2/0

crypto map ×××_MAP

IPsec提供隧道和傳輸兩種安全模式，知足不一樣網絡需求。

應用場合：

企業中心和分支機構之間提供安全隧道服務。

分支與分支之間或駐外辦事處

出差用戶異地發起IPsec隧道鏈接

傳輸模式： host2host報文處理

在原始IP頭和上層協議之間插入ESP或AH協議頭。

隧道模式： 轉發設備上作封裝設備處理

增長新的IP頭，使原來的IP頭成爲負載。

AH： 提供數據據完整性檢查。

在使用AH時，首先在原始數據前生成一個AH頭部

傳輸模式： AH插在IP頭以後，TCP等上層協議之間。

隧道模式： AH插在新IP頭和原始報文之間

ESP： 提供數據加密，完整性

只加密有效載荷（上層傳輸協議，數據和ESP報尾），不含IP頭部

不能保證IP頭的篡改

（在端到端的通訊中，對原始數據進行加密）

AH側重於認證 ESP側重於加密 可組合使用以增強數據完整性和加密性

傳輸模式中的AH：

原IP頭在左邊，而後是插入AH，來實現傳輸模式。並對整個數據包進行散列運算來提供認證。新的數據包將不支持NAT，因包頭改變IP會形成認證失敗。可在AH封裝前使用NAT。

傳輸模式中的ESP：

在原IP頭和數據字段之間插入ESP頭，數據段尾部插入ESP尾等信息。並不認證IP頭，容許在數據包之上使用NAT。

隧道模式： AH+ESP結合使用

提供原始整個IP包的安全性。