一.ipsec原理

1.定义：

   IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange（IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

 

2.术语解释：

数据加密标准

数据加密标准（Data Encryption Standard，DES）是美国国家标准局于1977年开发的对称密钥算法。它是一种对称密钥算法，可以使用40~56位长的密钥。另一种称为3DES的加密策略也使用同样的DES算法，但它并不只是加密一次，而是先加密一次，再加密（解密）一次，最后做第三次加密，每一次加密都使用不同的密钥。这一过程显著地增加了解密数据的难度。

RSA算法

RSA是一种根据它的发明者Rivest，Shamir和Adleman命名的公开密钥算法。它方便了对称密钥加密中的密钥交换过程。它还可以用来产生数字签名。

消息摘要：MD5

消息摘要（Message Digest 5，MD5）是一种符合工业标准的单向128位的Hash算法，由RSA Data Security Inc.开发，它可以从一段任意长的消息中产生一个128位的Hash值。

互连网密钥交换

互连网密钥交换（Internet Key Exchange，IKE）是一种实现密钥交换定义的协议。IKE是一种在ISAKMP框架下运行的协议。它是从其他密钥交换协议OaKley和SKEME中派生而来的。IKE用于在对等端之间认证密钥并在它们之间建立共享的安全策略。IKE用于确认，譬如标志一个要求加密会话的对等端，以及决定对等端使用何种算法和何种密钥。

 

3.IPSEC的工作模式

隧道模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

传输模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。

 

4.安全特性

·不可否认性 "不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。 ·反重播性 "反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止***者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。 ·数据完整性 防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。 ·数据可靠性（加密） 在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。 ·认证 数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。

 

5.IPSEC安全机制中两种协议

IPsec使用两种协议来提供通信安全――认证头标（AH）和封装安全净载（ESP）。两种安全协议都分为隧道模式和传输模式。传输模式用在主机到主机的IPsec通信，隧道模式用在其它任何方式的通信。

 

二.案例一

1.拓扑图

 

 

2.相关配置

防火墙配置

R1配置

 

 

R2配置

 

 

R3配置

 

3.相关测试

 

案例二（待定）