軟考網(wǎng)絡(luò)工程師下午題精講

&&基本概念：1.IPSec服務(wù)：（1）數(shù)據(jù)完整性：保持數(shù)據(jù)一致性，防止未授權(quán)地生、修改、刪除行為；（2）認證：驗證發(fā)送者身份與數(shù)據(jù)真實性、不可抵賴性、抗重放；（3）保密性：傳輸?shù)臄?shù)據(jù)經(jīng)過共享密鑰加密；（4） 應(yīng)用透明：IPSec安全頭插入在標(biāo)準IP頭和上層協(xié)議（如TCP）之間，任何服務(wù)和應(yīng)用像處理標(biāo)準IP分組一樣不經(jīng)修改的透明處理和通過現(xiàn)有IP路由器；2.IPSec功能：（1） 認證頭（AH）：用于數(shù)據(jù)完整性和數(shù)據(jù)源的認證，采用生成報文摘要的方式（SHA1/MD5）；（2） 封裝安全負荷（ESP）：用于數(shù)據(jù)完整性、保密性認證和抗重放攻擊，對IP數(shù)據(jù)采用對稱加密算法進行加密（DES/3DES/AES128）；（3） Internet密鑰交換協(xié)議（IKE）：用于ESP和AH的協(xié)商、生成和分發(fā)，并對遠程訪問進行初始認證。3.IPSec的兩種模式：IPSec支持傳輸模式和隧道模式。其區(qū)別在于對IP分組的封裝和修改。（1） 傳輸模式：直接在原IP頭與TCP協(xié)議之間插入AH、ESP頭之間（2） 遂道模式：在原IP頭之前插入AH和ESP頭，并用一個新的IP頭來對插入后的IP數(shù)據(jù)進行封裝。新的IP頭中加入了收發(fā)雙方配置的隧道源/目標(biāo)IP地址，這對IP地址與傳輸端口實際IP地址無關(guān)，用于建立遂道封閉報文的通信。&&在路由器上配置的基本思路：1.IKE第一階段：本階段通常稱為IKE主模式，用于協(xié)商安全關(guān)聯(lián)（SA）的框架，也就是對IPSec的安全方案進行協(xié)商和定義。本階段并不給出確切的算法和密鑰，而是確定一個安全框架。具體工作包括：（1）數(shù)據(jù)加密算法類型；（2）散列認證算法類型；（3） 認證方式，一般是預(yù)共享密鑰方式；（4）密鑰長度；（5） SA生存期；（6） 對端初始認證口令及對端地址的設(shè)置。2.IKE第二階段：創(chuàng)建IPSec變換集，也稱為IPSec快速模式。本階段只有一條配置命令，就是創(chuàng)建一個變換集。變換集的功能是為IPSec安全信道指定具體的安全算法。具體工作包括：（1） 為變換集定義一個引用標(biāo)識；（2） 確定認證頭AH的具體散列算法；（3） 確定封裝安全負荷ESP的具體加密算法。【注意】IKE1中的數(shù)據(jù)加密算法類型與IKE2中ESP加密算法是 對應(yīng)的。例如在IKE1中指定了ESP加密算法為DES，則在IKE2中ESP具體加密算法必須是DES算法中的一種，包括：des/3des/aes；同理,IKE1中的散列認證算法類型與IKE2中AH具體散列算法也是 對應(yīng)的。例如IKE1中指定為MD5類型，則在IKE2中的AH具體散列算法必須是MD5算法中的一種，包括：ah-md5-hmac/ah-sha-hmac。上述這些具體算法也是定義變換集命令的實際參數(shù)。另夕卜，CISCO路由器還支持對ESP的散列認證，算法包括：esp-md5-hmac/esp-sha-hmac/兩種，但很少用到。配置加密圖(加密映射)本階段將預(yù)定義和配置一個加密圖(cryptomap的直譯，也譯作加密映射)，并在后面配置隧道和端口時進行引用。加密圖是一個IPSec安全序列，包含了隧道對端IP,轉(zhuǎn)換集(包括報文的AH和ESP算法，IKE第二階段已定義，在加密圖中直接映射引用)。配置好的加密圖對通過遂道的IP數(shù)據(jù)填寫目標(biāo)IP，插入AH認證，并進行ESP加密。實際是一個封裝過程。本階段工作主要包括：定義加密圖；設(shè)置對端端口IP(通常是對端路由器外網(wǎng)串口IP)；設(shè)置隧道AH和ESP(映射用于本隧道的轉(zhuǎn)換集)；映射用于本隧道的訪問控制列表。建立和配置隧道本階段開始建立和配置隧道。IPSec的隧道模式下，會對原IP數(shù)據(jù)再次進行封裝，加上新的IP頭，IP頭中最有價值的信息是為隧道兩端專門定義的專用隧道IP地址。加上帶有隧道IP的IP數(shù)據(jù)可以防止被竊聽和分析到源與目標(biāo)中的通信量。本階段工作主要包括：(1)定義隧道接口；配置隧道端口IP；(3)配置隧道源地址；(4)配置隧道目標(biāo)地址；將加密圖應(yīng)用于此隧道。本隧道接口禁止轉(zhuǎn)發(fā)組播(因為這是個跨網(wǎng)的中繼口，轉(zhuǎn)發(fā)本網(wǎng)段內(nèi)的組播實際是沒有意義的，禁用組播實際可以減輕本接口無效流量，默認為允許轉(zhuǎn)發(fā)，非必要命令)。配置路由器夕網(wǎng)端口主要是配置路由器夕網(wǎng)端口。本階段工作主要包括：(1)配置串口的IP地址和子網(wǎng)掩碼；(2)本端口禁止轉(zhuǎn)發(fā)組播(非必要命令)；將加密圖應(yīng)用于此端口(這是加密圖的第二次引用)；啟用無類路由模式(非必要命令)。【注意】NE_1P446的實例中，路由器的兩個接口S0/0和E0/1的作用沒有理解。按實例配置代碼來看，隧道是用在了S0/0上，但外網(wǎng)接口卻是E0/1,在拓撲圖中也沒有看到S0/0的標(biāo)識。原理上，哪個口是夕網(wǎng)，加密圖就映射到哪個口上。網(wǎng)上查到的兩個實例文檔以及歷年真題中都沒有出現(xiàn)過既有串口又有以太網(wǎng)外網(wǎng)端口的現(xiàn)象。配置訪問控制列表用訪問控制列表可以在第一步做，也可以放到后面來°ACL是加密圖中進行引用的，用于保證隧道不會被用于傳送第三方IP數(shù)據(jù)，增加隧道安全性。IPSec只支持擴展ACL，不支持標(biāo)準ACL。路由設(shè)置最后還要進行路由設(shè)置。兩個路由器下的內(nèi)網(wǎng)網(wǎng)段要通信，中間存在至少1跳，雙方自然是要設(shè)置路由的，同時也要保證傳往對端路由器內(nèi)網(wǎng)的數(shù)據(jù)經(jīng)過隧道。本階段的工作主要包括：建立默認路由，默認下一跳為對端外網(wǎng)端口IP;建立目標(biāo)為對端內(nèi)網(wǎng)網(wǎng)段靜態(tài)路由，設(shè)置下一跳為對端隧道接口IP?！咀⒁狻繘]有驗證配置路由的必要性。在網(wǎng)上找到的實例和歷年真題案例中里并沒有強調(diào)配置路由，但從常理來說，本端內(nèi)網(wǎng)網(wǎng)段要經(jīng)過一個外網(wǎng)網(wǎng)段到達對端內(nèi)網(wǎng)是必須有路由的;上述配置內(nèi)容的意圖是，到達對端網(wǎng)段的所有數(shù)據(jù)包下一跳必須是對端隧道接口地址，如果在路由表中沒有明確指定的路由，則默認下一跳為對端外網(wǎng)端口IP。如果兩臺路由器下都只有一個內(nèi)網(wǎng)，按常規(guī)意圖來說都是要跳轉(zhuǎn)到對端隧道接口IP的，實際上只用配置(2)就可以了。在考試中一般不會有更復(fù)雜的意圖。&&實例命令注釋InternetR2172.30.1.2172.30.2.2分支機構(gòu)總稲間域網(wǎng)InternetR2172.30.1.2172.30.2.2分支機構(gòu)總稲間域網(wǎng)R1的配置：1.IKE第一階段：cryptoisakmppolicy1注釋：生成IKE策略1；encryptiondes注釋：使用DES加密算法；hashmd5注釋：使用md5認證算法；authenticationpre-share注釋：使用預(yù)共享密鑰；group1注釋：指定Diffie-Hellman長度為768位；lifetime14400注釋：指定SA生存期，默認值為86400，也就是一天。兩端相同;cryptoisakmpkey123address172.30.2.2注釋：設(shè)置對端IP為172.30.2.2的預(yù)共享密鑰為123；2.IKE第二階段：cryptoipsectransform-setVPNsetah-md5-hmacesp-des3注釋：創(chuàng)建標(biāo)識名為VPNset的變換機，設(shè)置AH散列算法為md5,esp加密算法為des3；3.定義加密圖：cryptomapVPNmap10ipsec-isakmp注釋：定義標(biāo)識名為VPNmap，序號為10的加密圖；注意這里的序號是什么意思不明白;setpeer172.30.2.2注釋：設(shè)置對端IP;settransform-setVPNset注釋：映射轉(zhuǎn)換集VPNset，設(shè)置隧道AH及ESP；matchaddress101注釋：引用ACL101；配置隧道：interfacetunnel0注釋：定義隧道接口tunnel0；ipaddress192.168.1.1255.255.255.0注釋：設(shè)置隧道接口IP；noipdirectedbroadcast注釋：禁用組播；tunnelsoure172.30.2.1注釋：設(shè)置隧道源端地址；tunneldestination172.30.2.2注釋：設(shè)置隧道對端地址；cryptomapVPNmap注釋：引用已定義的標(biāo)識為VPNmap的加密圖；配置外網(wǎng)接口：interfacee0/1注釋：進入e0/1接口；ipaddress172.30.2.1255.255.255.0注釋：設(shè)置外網(wǎng)接口IP；noipdirected-broadcast注釋：禁用組播；cryptomapVPNmap；注釋：引用已定義的標(biāo)識為VPNmap的加密圖；配置ACL：access-list101permitiphost10.0.1.3host10.0.2.3注釋：僅允許10.0.1.3到10