Ipsec vpn 建立过程debug详解

雨中漫步

Ipsec vpn 建立过程debug详解



考虑到ipsec大家基本都会配置，所以附件中是实验的配置和命令说明及截图，下面是debug详解，都是做技术的都不容易，就不要钱了~呵呵。这篇详解出自openlab培训中心的老师之手，在这里感谢openlab培训中心的两位张老师对我的教导和传授，我才可能分享给大家。
前面加一小段ipsec高级原理：
如果路由器同时处理IPSEC和NAT 对于输出的流量路由器先执行NAT后执行IPSEC  对于输入的流量路由器先执行IPSEC后执行NAT
选择符（cisco叫感兴趣流） 用ACL来实现的
IPSEC的组成部分
ESP 负载安全封装协议
AH  认证头部协议
IKE internet密钥交换协议
ESP 协议号是50 （在防火墙要放进来因为防火墙不能监控ESP的状态所以不能自动创建往回返的） 不加密IP头部  私密性和完整性，源认证。能够阻止重放攻击（每一个包都有序列号）
ESP包的字段：  SPI（明文发的。比如R1加密包发给R2 R2要解密但是SA很多 那么怎么判断用什么解密呢？就是用SPI 发送过来的加密包带SPI解密直接看自己的SPI一样就能解）
序列号：发出的数据带ACK防止防重放攻击。
下一个头部：（从这点能看出来它是一个IPV6的协议改进过来的）下一个头部指明是IP表示隧道模式  下一个头部指明TCP表明传输模式
ESP建议不要分片如果必须分片解决办法：
先分段后加密（推荐）默认的方法  支持硬件转发表
先加密后分段

AH（认证头部）
数据完整性，防重放攻击。
AH把头部也做HASH，但是只做固定的地方可变的地方不做（服务类型  棋标  分段便宜  TTL  头校验和）IP地址也HASH所以没法做NAT （IPV6的技术IPV6没有NAT）

IPSec
1相互认证       IKE
2建立IPsec sa   IKE
3加密具体流量   ESP   AH
IKE介绍
协商协议参数 （ESP|AH）
交换公共密钥 （DH交换）
对双方进行认证（预共享密钥|数字签名）
在交换后对密钥进程管理（有效期）
IKE的三个组成部分
SKEME 定义一种密钥交换 DH
OAKLEY 对多模式的支持 比如左面有des 3des 右面有des 2边要协商最后用什么加密
ISAKMP 定义了封装格式和协商包的交换方式 （真正办事的协议）
IKE阶段1的lifetime 默认1天
IKE阶段2的lifetime 默认1小时
IKE的三个模式
主模式   6messages IKE阶段1
主动模式 3messages IKE阶段1   远程vpn预共享密钥时有可能用(当时认为PC的处理能力是有限的）
快速模式 3messages IKE阶段2
9个包 主模式+快速模式
5~9是加密的
第一阶段6个包：
1，2个包  协商peer和策略（协商5~9如何加密 只是加密 协商的加密策略并不加密实际的数据）
3，4个包  DH交换密钥 （既然5~9要加密那么3，4个包来计算一个KEY   这个KEY计算3把 其中一个是用于5~9策略的加密
一个用于IKE阶段2的真正数据加密）
5，6 加密和HASH前几个包
7~9  协商阶段2数据如何加密  （加密  HASH  封装方式ESP or AH  模式隧道or传输  key lifetime默认1小时 PFS可选）
阶段1和阶段2的加密方法可以不一样因为他们是独立的。一个单向的ike sa 两个双向的IPSEC SA











      

游客，如果您要查看本帖隐藏内容请回复

qq1209918812

容易困扰他已经出现

shizhao123456

mlsstar

mlsstar

ldsh

sy7527951

支持一下

lxtsst

嘘...安静

s111lx

学习一下！

chengchangye

平道找尼姑

see   see

nighttale

wj2355021

chouchou8

您此刻的心