作者:{Fr4nk, Craftsman}@ArkTeam
IPSec VPN是一种采用IPSec协议实现远程接入的VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。
IPsec协议给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中AH协议和ESP协议用于提供安全服务,AH协议定义了认证的应用方法,提供数据源认证、完整性校验和防重放攻击功能;ESP协议定义了加密和可选认证的应用方法,在AH协议基础上还提供数据包加密功能,有助于提高IP数据包的安全性并有效防范网络攻击。IKE协议用于密钥交换,可实现密钥的自动协商。
AH协议在数据包IP包头后添加一个身份验证报文头,提供对数据的完整性保护,可选择的认证算法有MD5、SHA系列等。ESP协议则是在数据包的IP包头后添加一个ESP报文头并在尾部追加一个ESP尾。ESP将需要保护的用户数据进行加密后封装到IP包中,常见的加密算法有DES、3DES、AES等。同时使用AH和ESP时,设备支持的AH和ESP联合使用方式为:先对报文进行ESP封装,再对报文进行AH封装。IPsec有隧道和传输两种工作模式如图1所示:
图1 IPsec VPN工作模式
其中隧道(tunnel)模式对整个IP数据包进行封装和加密,隐藏了源和目的IP地址,通常应用在两个安全网关之间的通讯。传输(transport)模式只对IP有效数据载荷进行封装和加密,源IP和目的IP不加密传送主要应用在两台主机之间的通讯或一台主机和一个安全网关之间的通讯。接下来我们通过仿真软件模拟物理环境中IPSec VPN的配置,网络拓扑如图2所示。
图2 网络结构
配置步骤如下(配置命令如图2所示):
-
首先进行设备接口配置,测试网络的基本连通性;
-
配置IKE1和IKE2两个阶段,并将配置应用到路由器接口,IKE1阶段用预共享密钥,IKE2阶段哈希算法用SHA,加密算法用DES;
-
配置加密图感兴趣数据流的路由。
图3 路由配置
配置好路由后,用ping命令触发感兴趣流量,并查看关联及加密情况(如图3所示)。
图3 查看关联及加密情况
结果显示传输数据已完成加密,隧道模式建立成功, 完成IPSec VPN配置。