對(duì)于VPN有所了解的朋友，肯定也知道IPsec VPN，那么這里我們就將IPsec VPN的一些基礎(chǔ)概念和相關(guān)協(xié)議進(jìn)行一下梳理。IPsec VPN不是一個(gè)單獨(dú)的協(xié)議，它包括：AH協(xié)議、ESP協(xié)議、 IKE協(xié)議以及用于加密和認(rèn)證一些算法。

◆IPsec提供的安全服務(wù)

機(jī)密性：DES、3DES、AES

完整性：MD5 HMAC  、SHA HMAC  （HMAC：散列算法）

源認(rèn)證：帶外域共享密鑰、域共享非對(duì)稱加密、數(shù)字證書（CA）

防重放：AH、ESP

◆IPsec隧道模式和傳輸模式的區(qū)別：

1.隧道模式中，整個(gè)IP數(shù)據(jù)包被用來計(jì)算附加包頭，且被加密，附加包頭和被加密的數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)中。在傳輸模式中只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計(jì)算附加包頭，附加包頭和加密的數(shù)據(jù)被放置在原IP報(bào)頭后面。

2.傳輸模式中，源和目的IP地址以及所有的IP包頭域都是不加密發(fā)送的。而在隧道模式中，真正的IP源地址和目的地址都可以被隱藏為因特網(wǎng)發(fā)送的普通數(shù)據(jù)。

◆AH協(xié)議

一個(gè)用于提供用戶數(shù)據(jù)完整性和認(rèn)證的機(jī)制，通過在整個(gè)IP數(shù)據(jù)包中實(shí)施一個(gè)散列計(jì)算來提供完整性和認(rèn)證服務(wù)。

在隧道模式中，AH報(bào)頭被插入在原始的包頭和新包頭之間

◆ESP協(xié)議

封裝安全載荷（Encapsulating Security Payload）協(xié)議通過加密算法提供了身份驗(yàn)證和數(shù)據(jù)機(jī)密性。

最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），最高支持56位密鑰。3DES使用三倍密鑰加密，相當(dāng)于使用最高到168位的密鑰。AES支持128、 192 、256位密鑰長(zhǎng)度，是IPsecVPN中最常使用的加密算法，也是對(duì)稱加密中最安全的算法。

◆安全聯(lián)盟SA

在IPsec中使用AH和ESP時(shí)，協(xié)議將與一組安全信息和服務(wù)發(fā)生關(guān)聯(lián)，稱為安全聯(lián)盟

SA定義了各種類型的安全措施，這些安全措施的內(nèi)容包含了IP包加密解密和認(rèn)證的相關(guān)信息。具體為：提供的服務(wù)、算法、密鑰。

可以通過手動(dòng)配置，也可以通過密鑰管理協(xié)議自動(dòng)協(xié)商。

◆Internet密鑰交換IKE

IKE基于Internet安全聯(lián)盟和密鑰管理協(xié)議（ISAKAMP）定義的框架。

IKE在隧道建立過程中將完成以下任務(wù)：

協(xié)商協(xié)議參數(shù)

交換公共密鑰

對(duì)雙方進(jìn)行認(rèn)證

在交換后對(duì)密鑰進(jìn)行管理

◆IPsecVPN 的配置

配置IKE的協(xié)商

1，啟用IKE

Router<config>#crypto isakmp enable 

2，建立IKE協(xié)商策略

Router<config>#crypto isakmp policy priority 

3，配置IKE協(xié)商參數(shù)

Router<config-isakmp>#hash  {md5|sha1}  
Router<config-isakmp>#encryption  {des|3des}  
Router<config-isakmp>#authentication pre-share  

使用預(yù)先共享的密鑰，此密碼是手工配置的

Router<config-isakmp>#lifetime seconds 

4.設(shè)置共享密鑰和對(duì)端對(duì)址

Router<config>#crypto isakmp key keystring address peer-address 

配置IPsec相關(guān)參數(shù)

1，指定Crypto訪問列表

Crypto訪問列表不像普通訪問控制列表那樣"允許"或 "拒絕"流量，它在VPN隧道中定議什么樣的報(bào)文將被IPsec加密傳輸，什么樣的報(bào)文不用被加密而直接傳輸。

Crypto訪問列表必須是互為鏡像的。比如：路由器A加密了所有流向路由器B的TCP流量，則路由器B必須加密流回路由器A的所有TCP的流量。

Router<config>access-list number {deny|permit} protocol source source-wildcard destination destination-wildcard 

2.配置IPsec傳輸模式

傳輸模式設(shè)置定義用于VPN隧道的認(rèn)證類型、完整性和負(fù)載加密。

Router<config>#crypto ipsec transform-set transform-set-name transform1  
 
AH驗(yàn)證參數(shù)：ah-md5-hmac、ah-sha-hmac  
 
ESP加密參數(shù)：esp-des、esp-3des、esp-null  
 
ESP驗(yàn)證參數(shù)：esp-md5-hma、esp-sha-hamc  
 

配置端口的應(yīng)用

設(shè)置Crypto Map

1，創(chuàng)建Crypto Map:

Router<config>#crypto map map-name seq-sum ipsec-isakmp  
Router<config-crypto-map>#match address access-list-number  
Router<config-crypto-map>#set peer ip-address  
Router<config-crypto-map>#set transform-set name 

2，應(yīng)用到接口上

Router<config>#interface interface slot/port  
Router<config-if>crypto map map-name 

IPsec VPN配置的檢查

Router#show crypto isakmp policy  
Router#show crypto isakmp sa  
Router#show crypto ipsec sa  
Router#show crypto map 

IKE模式