收藏
下载资源

第4讲 增强的IPSec特性(一).ppt

上传人:s****8 文档编号:82780474 上传时间:2023-03-26 格式:PPT 页数:52 大小:599KB
返回 下载 相关 举报
第4讲 增强的IPSec特性(一).ppt_第1页
第1页 / 共52页
第4讲 增强的IPSec特性(一).ppt_第2页
第2页 / 共52页
点击查看更多>>
资源描述

《第4讲 增强的IPSec特性(一).ppt》由会员分享,可在线阅读,更多相关《第4讲 增强的IPSec特性(一).ppt(52页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。

1、VPN 安全技术安全技术主讲:张瑛第第 4 讲讲 增强的增强的IPSec特性特性(一)(一)IKE 存活机制存活机制空闲超时空闲超时失效对等体检测失效对等体检测反向路由注入反向路由注入返回 1Back 4.1 IKE 存活消息存活消息l一、IKE的存活机制l Ipsec对等体之间存在IP连接性,这种连接性可能会因为路由选择问题、对等体重启或其他原因失去这种连接性,而IKE事先是无法预知这一点的。l IKE基于UDP,面向无联接,它的数据包在寿命到期之前,IPSec和IKE 之间的关联将一直存在,为了避免因为数据包的丢失而中断这种关联,需要及时创建新的IKE和IPSec SAl来替代旧的IPSe

2、c SA或IKE SA,而如何在新的关联创建之前预知其相关数据包的活动状态,这就是IKE 协议的活动机制。协议的活动机制。l即对等体通过交换某种消息来告知对方自己处于何种活动状态,而这种消息就是指IKE存活存活消息消息.l对等体对等体-网络中处于同等地位的两个实体。这网络中处于同等地位的两个实体。这个实体,可以是交换机,也可以是路由器,还个实体,可以是交换机,也可以是路由器,还可以为某个终端。可以为某个终端。l二、IKE存活机制的配置lspoke-1-east lcrypto isakmp policy 1 lauthentication pre-share l!lcrypto isakmp

3、key cisco address 9.1.1.35 crypto isakmp key Cisco address 9.1.1.36 crypto isakmp keepalive 60 3 l每60秒发送一条存活消息,重试3次,如果连续三次消息未得到确认,则认为对方不可达,即IPSec端点失效,进而删除旧的SA,建立新的SAl三、Ike存活机制的局限性l只能检测IKE SA和端点的状态,但无法避免因为网络不可达而导致的SA失效。l检测失效IKE对等体、防范黑洞和节省CPU资源方面;但其扩展性太低。4.2 失效对等体检测失效对等体检测l一、概述lDPD=Dead Peer Detection

4、l用于替代IKE存活机制来检测失效IPSec对等体。l不同于IKE存活机制不发送定期限消息来检测对等体的存活性。l基于数据流的检测。l如果在某段时间内对等体之间没交换数据流,则无需关心IPSec SA的存活性。l二、工作原理-DPD消息格式l1.消息交换l头14个字节为HASHED_VENDOR_IDlHASHED_VENDOR_ID=0 xAF,0 xCA,0 xD7,0 x13,0 x68,0 xA1,0 xF1,0 xC9,0 x6B,0 x86,0 x96,0 xFC,0 x77,0 x57.lIKE对等体要参与DPD交换必须发送厂商ID.Protocol-ID=500,SPI Siz

5、e=16,l表3-1 DPD 消息类型消息类型lNotifyMessage ValuelR-U-THERE 36136lR-U-THERE-ACK 36137l三、DPD配置l hostname spoke-1-eastl enable password lab l ip subnet-zero l ip domain name lcrypto isakmp policy 1 lauthentication pre-share lcrypto isakmp key cisco address 9.1.1.35 lcrypto isakmp key Cisco address 9.1.1.36

6、lcrypto isakmp keepalive 60 2 l crypto ipsec transform-set test esp-3des esp-sha-hmac lcrypto map vpn 1 ipsec-isakmp lset peer 9.1.1.35 lset peer 9.1.1.36 lset transform-set test lmatch address 100 linterface Serial0/0 lip address 9.1.1.146 255.255.255.252 lcrypto map vpn linterface Ethernet0/1 lip

7、address 10.0.68.1 255.255.255.0 lhalf-duplex lip classless lip route 0.0.0.0 0.0.0.0 9.1.1.145 laccess-list 100 permit ip 10.0.68.0 0.0.0.255 10.1.1.0 0.0.0.255 lline con 0 lline aux 0 lline vty 0 4 lpassword lab llogin lspoke-1-east#show cry isa sa det l l空闲间隔在指定时间内,指定对等体没有从远程对等体那时收到任何数据。lDPD消息的发送条

8、件消息的发送条件:l1.空闲定时器已到期,l2.路由器有数据需要发送给对等体。lDPD的这种检测机制保证了它比IKE存活机制更大的可扩展性,l通过将空闲间隔和重试间隔设置为很小的值,并将重试次数设置得较少,可快速检测到无效IPSec SAlDPD的重要优点是节省系统资源。4.3 空闲超时空闲超时l一、概念l 出于维护IPSec SA 的需要,监控SA的活动,如果某个SA空闲超过一定时间没有活动,即处于空闲状态,则将其删除,保证路由器的利用效率,让其最大限度地同其他对等体建立SA,节约交换路由资源。lSA空闲超时配置lhostname vpn-gw1-east llogging queue-li

9、mit 100 lip subnet-zero lip domain name l crypto isakmp policy 1 lauthentication pre-share lcrypto isakmp key cisco address 9.1.1.146 lcrypto ipsec security-association idle-time 120 lcrypto ipsec transform-set test esp-3des esp-sha-hmac lcrypto map vpn lipsec-isakmp set peer 9.1.1.33 lset transform

10、-set test lmatch address 100 linterface FastEthernet0/0 lip address 9.1.1.35 255.255.255.248 lspeed 100l full-duplex lno cdp enable lcrypto map vpn linterface FastEthernet0/1l ip address 10.1.1.2 255.255.255.0 lspeed 100lduplex fulllno cdp enable lrouter ospf 1 llog-adjacency-changes lnetwork 10.1.1

11、.0 0.0.0.255 area 0lredistribute static lip http server lno ip http secure-server lip classlessl ip route 0.0.0.0 0.0.0.0 9.1.1.33 laccess-list 100 permit ip 10.1.1.0 0.0.0.255 10.0.68.0 0.0.0.255 lline con 0 lline aux 0 lline vty 0 4llogin lvpn-gw1-east#show cry isa sa lvpn-gw1-east#debug crypto ip

12、secl ipsec(create_sa):starting idle timer,120 seconds l ipsec(lifetime_expiry):SA idletime reached;deleting ipsec SA lspoke-1-east#debug crypto ipsec l ISAKMP(0:1):received packet from 9.1.1.35 dport 500 sport 500(I)QM_IDLE l ipsec(key_engine_delete_sas):delete SA with spi 749315455/50 for 9.1.1.35

13、4.4 反向路由注入反向路由注入l一、概念lRRI(Reverse Route Injection)l一种用于集成路由可用性和IPSec状态的机制。可以静态地配置,也可以根据某种端到端动态路由选择交换推导出来。l二、两种RRIl 静态IPSec对等体与动态IPSec对等体l1.静态IPSec对等体l 加密映射以及相应的IPSec安全策略和代理被预先定义好的对等体。l在这种情形中,IPsec会话可以由中心对等体发起,也可以由分支对等体发起。l 在动态对等体中,由分支端或客户发起,接收方的IPSec代理并没有预先定义好。在VPG-GW1-EAST上配置RRI RRI配置配置lhostname vp

14、n-gw1-east llogging queue-limit 100 lip subnet-zero lip domain name lcrypto isakmp policy 1 lauthentication pre-share lcrypto isakmp key cisco address 9.1.1.146 lcrypto ipsec security-association idle-time 120 lcrypto ipsec transform-set test esp-3des esp-sha-hmac lcrypto map vpn 1 ipsec-isakmp lset

15、 peer 9.1.1.146 lset transform-set test lmatch address 100 lreverse-route remote-peer 9.1.1.33 linterface FastEthernet0/0 lip address 9.1.1.35 255.255.255.248 lspeed 100lduplex fulllno cdp enable lcrypto map vpn linterface FastEthernet0/1 lip address 10.1.1.2 255.255.255.0 lspeed 100 lduplex fulllno

16、 cdp enablelrouter ospf 1 llog-adjacency-changes lnetwork 10.1.1.0 0.0.0.255 area 0 lredistribute static subnetslip classless lip route 0.0.0.0 0.0.0.0 9.1.1.33 laccess-list 100 permit ip 10.1.1.0 0.0.0.255 10.0.68.0 0.0.0.255 lline con 0 lline aux 0 lline vty 0 4 llogin lend lvpn-gw1-east#show ip r

17、oute l2.动态对等体lRRI 的功能与静态IPSec对等体相同,只是当成功建立IPSec后才注入前往分支子网的路由。lRRI与HSRP(Hot Standby Routing Protocol)l热备份 常用于路由器之间进行故障切换。HSRP常跟踪路由器接口的状态,并在主设备和辅助设备之间提供了一种故障切换机制,并使用这种功能来提供IPSec冗余。l解决数据流黑洞问题。l范例3-5 IPSec和HSRP配置l演示如何在VPN-GW1-EAST上将备用IP地址映射到加密映射l演示SPOKE-1-EAST上的配置RRI+HSRP配置配置lcrypto isakmp policy 1 laut

18、hentication pre-share lcrypto isakmp key cisco address 9.1.1.146lcrypto isakmp keepalive 60 3 lcrypto ipsec transform-set test esp-3des esp-sha-hmac lset peer 9.1.1.146 lset transform-set test lmatch address 100 lreverse-route remote-peer 9.1.1.33 linterface FastEthernet0/0 lip address 9.1.1.35 255.

19、255.255.248 lduplex full lrandom-detect lstandby delay minimum 30 reload 60/预备延时lstandby ip 9.1.1.34l/2台启用hsrp的交换机共用的虚拟地址 lstandby priority 105 l/设置该交换机hsrp优先级105,默认100,越高越优先 lstandby preemptl/开启hsrp抢占,就是谁优先级高谁当active交换机 lstandby name ipsec lstandby track FastEthernet2/0 l track一个接口lcrypto map vpn r

20、edundancy ipsec lrouter ospf 1 llog-adjacency-changes lredistribute static subnets lnetwork 10.1.1.0 0.0.0.255 area 0 lip classless lip route 0.0.0.0 0.0.0.0 9.1.1.33 lno ip http serverl/关闭web服务,也就是不允许通过web界面管理交换机了 laccess-list 100 permit ip 10.1.1.0 0.0.0.255 10.0.68.0 0.0.0.255 lline con 0 lstopbi

21、ts 1 lline aux 0 lstopbits 1 lline vty 0 4 llogin lspoke-1-east:lcrypto map vpn 1 lipsec-isakmp lset peer 9.1.1.34 lset transform-set test lmatch address 100 linterface Serial0/0 lip address 9.1.1.146 255.255.255.252 lcrypto map vpn linterface Ethernet0/1 lip address 10.0.68.1 255.255.255.0 lduplex halflip classless(默认)lip route 0.0.0.0 0.0.0.0 9.1.1.145 laccess-list 100 permit ip 10.0.68.0 0.0.0.255 10.1.1.0 0.0.0.255 实验实验 lDPD 配置lRRI+HSRP配置

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 生活常识

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知得利文库网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号-8 |  经营许可证:黑B2-20190332号 |   黑公网安备:91230400333293403D

© 2020-2023 www.deliwenku.com 得利文库. All Rights Reserved 黑龙江转换宝科技有限公司 

黑龙江省互联网违法和不良信息举报
举报电话:0468-3380021 邮箱:hgswwxb@163.com