Ipsec vpn 建立过程debug详解
Ipsec vpn 建立过程debug详解考虑到ipsec大家基本都会配置,所以附件中是实验的配置和命令说明及截图,下面是debug详解,都是做技术的都不容易,就不要钱了~呵呵。这篇详解出自openlab培训中心的老师之手,在这里感谢openlab培训中心的两位张老师对我的教导和传授,我才可能分享给大家。
前面加一小段ipsec高级原理:
如果路由器同时处理IPSEC和NAT 对于输出的流量路由器先执行NAT后执行IPSEC对于输入的流量路由器先执行IPSEC后执行NAT
选择符(cisco叫感兴趣流) 用ACL来实现的
IPSEC的组成部分
ESP 负载安全封装协议
AH认证头部协议
IKE internet密钥交换协议
ESP 协议号是50 (在防火墙要放进来因为防火墙不能监控ESP的状态所以不能自动创建往回返的) 不加密IP头部私密性和完整性,源认证。能够阻止重放攻击(每一个包都有序列号)
ESP包的字段:SPI(明文发的。比如R1加密包发给R2 R2要解密但是SA很多 那么怎么判断用什么解密呢?就是用SPI 发送过来的加密包带SPI解密直接看自己的SPI一样就能解)
序列号:发出的数据带ACK防止防重放攻击。
下一个头部:(从这点能看出来它是一个IPV6的协议改进过来的)下一个头部指明是IP表示隧道模式下一个头部指明TCP表明传输模式
ESP建议不要分片如果必须分片解决办法:
先分段后加密(推荐)默认的方法支持硬件转发表
先加密后分段
AH(认证头部)
数据完整性,防重放攻击。
AH把头部也做HASH,但是只做固定的地方可变的地方不做(服务类型棋标分段便宜TTL头校验和)IP地址也HASH所以没法做NAT (IPV6的技术IPV6没有NAT)
IPSec
1相互认证 IKE
2建立IPsec sa IKE
3加密具体流量 ESP AH
IKE介绍
协商协议参数 (ESP|AH)
交换公共密钥 (DH交换)
对双方进行认证(预共享密钥|数字签名)
在交换后对密钥进程管理(有效期)
IKE的三个组成部分
SKEME 定义一种密钥交换 DH
OAKLEY 对多模式的支持 比如左面有des 3des 右面有des 2边要协商最后用什么加密
ISAKMP 定义了封装格式和协商包的交换方式 (真正办事的协议)
IKE阶段1的lifetime 默认1天
IKE阶段2的lifetime 默认1小时
IKE的三个模式
主模式 6messages IKE阶段1
主动模式 3messages IKE阶段1 远程vpn预共享密钥时有可能用(当时认为PC的处理能力是有限的)
快速模式 3messages IKE阶段2
9个包 主模式+快速模式
5~9是加密的
第一阶段6个包:
1,2个包协商peer和策略(协商5~9如何加密 只是加密 协商的加密策略并不加密实际的数据)
3,4个包DH交换密钥 (既然5~9要加密那么3,4个包来计算一个KEY 这个KEY计算3把 其中一个是用于5~9策略的加密
一个用于IKE阶段2的真正数据加密)
5,6 加密和HASH前几个包
7~9协商阶段2数据如何加密(加密HASH封装方式ESP or AH模式隧道or传输key lifetime默认1小时 PFS可选)
阶段1和阶段2的加密方法可以不一样因为他们是独立的。一个单向的ike sa 两个双向的IPSEC SA
**** Hidden Message *****
容易困扰他已经出现 {:6_267:} {:6_263:} {:6_265:}{:6_265:}{:6_265:} {:6_290:}{:6_290:}{:6_290:} 支持一下 {:6_263:} {:6_267:} 学习一下! see see
{:6_290:} {:1_1:} 您此刻的心