安全協議——IPSec（自動協商策略內容）

安全協議——IPSec（自動協商策略內容）

IPSec 是一系列網絡安全協議的總稱，它是由 IETF（Internet Engineering TasForce，Internet工程任務組）開發的，可為通訊雙方提供訪問控制、無連接的完整性、數據來源認證、反重放、加密以及對數據流分類加密等服務。

IPSec 是網絡層的安全機制。通過對網絡層包信息的保護，上層應用程序即使沒有實現安全性，也能夠自動從網絡層提供的安全性中獲益。這打消了人們對 ×××（Virtual Private Network，虛擬專用網絡）安全性的顧慮，使得 ××× 得以廣泛應用。

一 .IPSec對報文的處理過程

    （1） 對報文添加認證頭：從 IPSec隊列中讀出 IP模塊送來的 IP報文，根據配置選

擇的協議模式（傳輸或是隧道模式）對報文添加 AH頭，再由 IP層轉發。

    （2） 對報文進行認證后解去認證頭：IP層收到 IP報文經解析是本機地址，并且協議號為 51，則查找相應的協議開關表項，調用相應的輸入處理函數。此處理函數對報文進行認證和原來的認證值比較，若相等則去掉添加的 AH頭，還原出原始的 IP報文再調用 IP輸入流程進行處理；否則此報文被丟棄。

二. IPSec的配置包括：

 <1>  創建加密訪問控制列表      ：：根據是否與加密訪問控制列表匹配，可以確定那些 IP 包加密后發送，那些 IP 包直接轉發。需要保護的安全數據流使用擴展 IP訪問控制列表進行定義。

<2>定義安全提議                ：：安全提議保存 IPSec需要使用的特定安全性協議以及加密/驗證算法，為 IPSec協商安全聯盟提供各種安全參數。為了能夠成功的協商 IPSec的安全聯盟，兩端必須使用相同的安全提議。

               @@@ 需要配置的內容    （     ·定義安全提議

                                                 ·設置安全協議對 IP報文的封裝模式

·選擇安全協議

                                     ）

<3> 選擇加密算法與認證算法   ：：AH協議沒有加密功能，只對報文進行認證。VRP主體軟件 IPSec中 ESP支持的安全加密算法有五種：3des、des、blowfish、cast、skipjack。

                              AH和 ESP支持的安全認證算法有 MD5（消息摘要 Version 5）算法與 SHA（安全散列算法）算法兩種。md5算法使用 128位的密鑰，sha1算法使用 160位的密鑰；md5算法的計算速度比 sha1算法快，而 sha1算法的安全強度比 md5算法高。

安全隧道的兩端所選擇的安全加密算法與認證算法必須一致。

 <4>創建安全策略       ：： 需要了解的         ·  需要進行 ipsec保護的數據

·數據流受安全聯盟保護需要多久

·需要使用的安全策略

·安全策略是手工創建還是通過 IKE協商創建

<5> 在接口上應用安全策略組      ：：   為使定義的安全聯盟生效，應在每個要加密的出站數據、解密的入站數據所在接口

（邏輯的或物理的）上應用一個安全策略組，由這個接口根據所配置的安全策略組

和對端加密路由器配合進行報文的加密處理。當安全策略組被從接口上刪除后，此接口便不再具有 IPSec的安全保護功能。 當從一個接口發送報文時，將按照從小到大的順序號依次查找安全策略組中每一條安全策略。若報文匹配了一條安全策略引用的訪問控制列表，則使用這條安全策略對報文進行處理；若報文沒有匹配安全策略引用的訪問控制列表，則繼續查找下一條安全策略；若報文對所有安全策略引用的訪問控制列表都不匹配，則報文直接被發送（IPSec不對報文加以保護）一個接口上只能應用一個安全策略組；一個安全策略組只能應用在一個接口上。

好的，學習完了基礎知識，讓我們應用一下唄，這有個小案例，我們可以參考一下。

首先聲明，我們這個案例是一個多通道，也就是有兩條通道。

  因為我們一個acl對應一個安全策略，一個安全協議對應一個安全策略，多個安全策略對應一個安全策略組，一個策略組對應一個端口。

所以我們配置過程中需要有這樣幾條記錄：兩個acl，兩個安全協議，兩個安全策略，一個安全策略組。

下面是配置的一些截圖，大家參考一下

詳細配置信息

F1

F2

F3

Sw1

測試結果

Pc1 ping pc3

Pc2 ping pc3