第10章網絡系統安全學習目標和素質目標理解交換機接口安全的原理和掌握防MAC泛洪攻擊的配置理解DHCPSnooping的原理和掌握防DHCP欺騙的配置理解動態ARP檢測的原理和掌握防ARP欺騙的配置理解防IP源地址欺騙的原理掌握防IP源地址欺騙的配置理解IPSecVPN的概念和原理和掌握IPSecVPN的配置。培養愛國情懷和工匠精神。培養學生的網絡安全意識。提高學生的靈活應變能力。10.1以太網安全以太網主要是由交換機組成，要保證以太網的安全就需要在交換機上做必要的安全措施，這些措施包含（但不僅限于）：接口安全、防DHCP欺騙、ARP安全、防IP源欺騙，這些措施將在本小節介紹。除此還有防止STP、VRRP、路由協議被攻擊的措施，這些措施已經在相關章節介紹，不在本節介紹。10.1.1交換機的接口安全MAC泛洪攻擊原理黑客在STA3上，發送具有虛假源MAC地址的幀（即：不是STA3的真實MAC），每發送一個幀，源MAC改變一次，MAC表就會多一條記錄，如此反復直到交換機MAC地址表爆滿，交換機就無法再學習新的MAC記錄。圖中交換機的MAC表爆滿后，STA4開機，交換機將無法學習STA4在哪個接口。交換機進入稱為“失效開放”的模式，開始像集線器一樣工作，將要發往STA4的數據幀從除了源端口外的全部接口泛洪出去。10.1.1交換機的接口安全通過在交換機的特定接口上部署端口安全，可以限制接口的MAC地址學習數量，并且配置出現越限時的懲罰措施。安全MAC地址通常與安全保護動作結合使用，常見的安全保護動作有：Restrict：丟棄源MAC地址不存在的報文并上報告警。Protect：只丟棄源MAC地址不存在的報文，不上報告警。Shutdown：接口狀態被置為error-down，并上報告警。類型定義特點安全動態MAC地址使能端口安全而未使能StickyMAC功能時轉換的MAC地址。設備重啟后表項會丟失，需要重新學習。缺省情況下不會被老化，只有在配置安全MAC的老化時間后才可以被老化。安全靜態MAC地址使能端口安全時手工配置的靜態MAC地址。不會被老化，手動保存配置后重啟設備不會丟失。StickyMAC地址使能端口安全后又同時使能StickyMAC功能后轉換到的MAC地址。不會被老化，手動保存配置后重啟設備不會丟失。10.1.1交換機的接口安全配置接口安全防止MAC泛洪攻擊進入接口視圖，執行【port-securityenable】命令，使能接口安全功能。默認情況下，交換機的接口未使能接口安全功能。（可選）執行【port-securitymax-mac-nummax-number】命令，配置接口安全動態MAC學習限制數量。默認時，接口學習的MAC地址限制數量為1。（可選）執行【port-securityprotect-action{protect|restrict|shutdown}】命令，配置接口安全保護動作。默認情況下，接口安全保護動作為restrict。執行【port-securitymac-addresssticky】命令，使能接口自動StickyMAC功能。默認情況下，接口未使能StickyMAC功能。（可選）執行【port-securitymac-addressstickymac-addressvlanvlan-id】命令，手動配置一條sticky-mac表項。10.1.1交換機的接口安全Switch1GE0/0/1GE0/0/2GE0/0/3PC1PC2PC3PC4Switch2[Switch1]interfaceGigabitEthernet0/0/1[Switch1-GigabitEthernet0/0/1]port-securityenable[Switch1-GigabitEthernet0/0/1]port-securitymax-mac-num1[Switch1-GigabitEthernet0/0/1]port-securityprotect-actionrestrict[Switch1]interfaceGigabitEthernet0/0/3[Switch1-GigabitEthernet0/0/3]port-securityenable[Switch1-GigabitEthernet0/0/3]port-securitymax-mac-num2[Switch1-GigabitEthernet0/0/3]port-securityprotect-actionshutdown端口安全配置舉例-安全動態MAC[Switch1]displaymac-addresssecurityMACaddresstableofslot0:----------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SI MAC-Tunnel---------------------------------------------------------------------------------------5489-98ac-71a91--GE0/0/3security -5489-98b1-7b301--GE0/0/1security -10.1.1交換機的接口安全SwitchGE0/0/1GE0/0/2GE0/0/3PC1PC2PC3[Switch]interfaceGigabitEthernet0/0/1[Switch-GigabitEthernet0/0/1]port-securityenable[Switch-GigabitEthernet0/0/1]port-securitymax-mac-num1[Switch-GigabitEthernet0/0/1]port-securitymac-addresssticky[Switch]interfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]port-securityenable[Switch-GigabitEthernet0/0/2]port-securitymax-mac-num1[Switch-GigabitEthernet0/0/2]port-securitymac-addresssticky端口安全配置舉例-StickyMAC[Switch1]displaymac-addressstickyMACaddresstableofslot0:-------------------------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID VSI/SI MAC-Tunnel-------------------------------------------------------------------------------------------------------5489-98b1-7b301- - GE0/0/1sticky-5489-9815-662b1- - GE0/0/2sticky -10.1.2DHCPSnoopingDHCP服務是一個沒有認證的服務，即客戶端和服務器端無法互相進行合法性的驗證。如果在網絡中存在多臺DHCP服務器，誰先應答，客戶端就采用其供給的網絡配置參數。假如非授權的DHCP服務器先應答，這樣客戶端最后獲得的網絡參數即是非授權的，客戶端可能獲取不正確的IP地址、網關、DNS等信息。1342發現階段DHCPDISCOVER（廣播）提供階段DHCPOFFER（單播/廣播）選擇階段DHCPREQUEST（廣播）確認階段DHCPACK（單播）DHCPClientDHCPServer二層廣播域10.1.2DHCPSnoopingDHCPSnooping是DHCP的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務器獲取IP地址。DHCP服務器記錄DHCP客戶端IP地址與MAC地址等參數的對應關系，防止網絡上針對DHCP攻擊。目前DHCP協議在應用的過程中遇到很多安全方面的問題，網絡中存在一些針對DHCP的攻擊，如DHCPServer仿冒者攻擊、DHCPServer的拒絕服務攻擊、仿冒DHCP報文攻擊等。DHCPSnooping主要是通過DHCPSnooping信任功能和DHCPSnooping綁定表實現DHCP網絡安全。10.1.2DHCPSnoopingDHCP餓死攻擊原理：攻擊者持續大量地向DHCPServer申請IP地址，直到耗盡DHCPServer地址池中的IP地址，導致DHCPServer不能給正常的用戶進行分配。DHCPServer向申請者分配IP地址時，無法區分正常的申請者與惡意的申請者。解決方案：對于餓死攻擊，可以通過DHCPSnooping的MAC地址限制功能來防止。DHCPServerDHCPClientSwitchAttackerDHCPREQUESTCHADDR=ASourceMac=Mac-ADHCPREQUESTCHADDR=BSourceMac=Mac-BDHCPREQUESTCHADDR=CSourceMac=Mac-CDHCPREQUESTCHADDR=DSourceMac=Mac-D攻擊者通過不斷偽造源MAC地址不同的的DHCPdiscover報文，向服務器申請IP地址。正常主機用戶向DHCPServer申請IP地址。DHCPACKCHADDR=BIPAddress10.1.1.1DHCPACKCHADDR=CIPAddress10.1.1.2DHCPACKCHADDR=DIPAddress10.1.1.3DHCPNAKCHADDR=AIPAddress0.0.0.0DHCPServer是根據請求報文中的CHADDR字段來為其分配IP地址，并最終被耗光，當合法用戶請求時已經無地址可分配了。10.1.2DHCPSnoopingDHCP欺騙攻擊原理：攻擊者可以通過發送大量的DHCP請求，耗盡網絡中合法DHCP服務器的資源，使得合法用戶無法獲得IP地址。在這種情況下，攻擊者可以進一步進行欺騙攻擊，偽裝成合法的DHCP服務器以欺騙其他用戶。解決方案：交換機上開啟DHCPSNOOPING功能，通過建立和維護一個綁定表來過濾掉非信任的DHCP信息，只允許合法的DHCP應答通過。非法DHCPOFFER/ACK/NAK報文DHCP客戶端請求報文DHCPClient1非法DHCPServerDHCPClient2合法DHCPServer10.1.2DHCPSnoopingDHCPSnooping的信任功能，能夠保證DHCP客戶端從合法的DHCP服務器獲取IP地址。DHCPSnooping信任功能將接口分為信任接口和非信任接口：信任接口正常接收DHCP服務器響應的DHCPACK、DHCPNAK和DHCPOffer報文。設備只將DHCP客戶端的DHCP請求報文通過信任接口發送給合法的DHCP服務器，不會向非信任接口轉發。非信任接口收到的DHCPServer發送的DHCPOFFER、DHCPACK、DHCPNAK報文會被直接丟棄。DHCPClient1非法DHCPServerDHCPClient2合法DHCPServerDHCPSnooping信任接口DHCPSnooping非信任接口使能DHCPSnooping的接口合法DHCPOFFER/ACK/NAK報文非法DHCPOFFER/ACK/NAK報文DHCP客戶端請求報文10.1.2DHCPSnooping二層接入設備使能了DHCPSnooping功能后，從收到DHCPACK報文中提取關鍵信息（包括PC的MAC地址以及獲取到的IP地址、地址租期），并獲取與PC連接的使能了DHCPSnooping功能的接口信息（包括接口編號及該接口所屬的VLAN），根據這些信息生成DHCPSnooping綁定表。由于DHCPSnooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數的對應關系，故通過對報文與DHCPSnooping綁定表進行匹配檢查，能夠有效防范非法用戶的攻擊。DHCPServerDHCPClient1192.168.1.98/24MAC-1DHCPClient2192.168.1.99/24MAC-2DHCPACKGE0/0/1GE0/0/2GE0/0/3IPMACVLAN接口Lease192.168.1.98MAC-11GE0/0/11192.168.1.99MAC-21GE0/0/2110.1.2DHCPSnooping配置DHCPSnooping防DHCP欺騙VLAN視圖下使能DHCPSnooping功能的步驟：進入系統視圖，執行【dhcpenable】命令，全局使能DHCP功能。執行【dhcpsnoopingenable】命令，全局使能DHCPSnooping功能。進入VLAN視圖，執行【dhcpsnoopingenable】命令，使能VLAN的DHCPSnooping功能，這時該VLAN下的接口全部會使能DHCPSnooping功能。默認情況下，接口為“不信任”狀態。（可選）進入接口視圖。執行【dhcpsnoopingdisable】命令，可單獨去使能VLAN下特定接口的DHCPSnooping功能。（可選）配置接口為信任狀態。在VLAN視圖下執行【dhcpsnoopingtrustedinterfaceinterface-type

interface-number】命令；或者接口視圖下執行【dhcpsnoopingtrusted】命令。執行【

displaydhcpsnoopinginterface】命令，查看接口下DHCPSnooping的配置信息。執行【displaydhcpsnoopinguser-bindall】命令，查看接口的DHCPSnooping動態綁定表信息。10.1.2DHCPSnoopingDHCPSnooping配置舉例DHCPClient1DHCPClient2DHCPServerVLAN2VLAN2SwitchGE0/0/1GE0/0/2GE0/0/3配置方式一：接口視圖[Switch]dhcpsnoopingenableipv4[Switch]interfaceGigabitEthernet0/0/1[Switch-GigabitEthernet0/0/1]dhcpsnoopingenable[Switch]interfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]dhcpsnoopingenable[Switch]interfaceGigabitEthernet0/0/3[Switch-GigabitEthernet0/0/3]dhcpsnoopingenable[Switch-GigabitEthernet0/0/3]dhcpsnoopingtrusted配置方式二：VLAN視圖[Switch]dhcpsnoopingenableipv4 [Switch]vlan2[Switch-vlan2]dhcpsnoopingenable [Switch]interfaceGigabitEthernet0/0/3[Switch-GigabitEthernet0/0/3]dhcpsnoopingtrusted [Switch]displaydhcpsnoopinginterfaceGigabitEthernet0/0/3DHCPsnoopingrunninginformationforinterfaceGigabitEthernet0/0/3:DHCPsnooping :Enable

Trustedinterface :Yes

Dhcpusermaxnumber :1024(default)Currentdhcpusernumber :0-----more------10.1.3ARP安全ARP攻擊原理黑客所控制的計算機B收到計算機A的請求（ARP請求是廣播），計算機B人為稍作延時再發送ARP響應，保證這個響應遲于網關的響應到達計算機A，計算機B回答：10.1.1.1和10.1.1.3的MAC均為B.B.B。由于ARP條目會采用最新的響應，因此計算機A就誤認為10.1.1.3的MAC為B.B.B了，路由器也誤認為10.1.1.1的MAC為B.B.B。10.1.3ARP安全動態ARP檢測（DAI）原理DAI基于DHCPSnooping來工作，DHCPSnooping綁定表包括IP地址與MAC地址的綁定信息，并將其與VLAN、交換機端口相關聯，DAI可以用來檢查接口的ARP請求和應答(主動式ARP和非主動式ARP)，確保請求和應答來自真正的MAC、IP所有者。交換機通過檢查接口記錄的DHCP綁定信息和ARP報文的信息決定是否合法的ARP報文，不合法的ARP報文將被拒絕轉發。圖中，交換機知道計算機B的IP地址為10.1.1.2、MAC地址為B.B.B、在哪個接口，計算機B發送的虛假ARP報文將被丟棄。10.1.3ARP安全配置DAI防止ARP中間人攻擊DAI依賴于DHCPSnooping來實現它的功能。設備使能DHCPSnooping功能后，當DHCP用戶上線時，設備會自動生成DHCPSnooping綁定表。對于靜態配置IP地址的用戶，設備不會生成DHCPSnooping綁定表，所以需要手動添加靜態綁定表，在系統視圖下執行【user-bindstatic{{ip-addressip-address&<1-10>}|mac-addressmac-address}*[interfaceinterface-type

interface-number][vlanvlan-id[ce-vlance-vlan-id]]】命令。進入接口視圖，或者進入VLAN視圖，執行【arpanti-attackcheckuser-bindenable】命令，使能ARP報文檢查功能。默認情況下，接口或VLAN未使能對ARP報文的檢查功能。進入接口視圖，執行【arpanti-attackcheckuser-bindcheck-item{ip-address|mac-address|vlan}*】命令；或者VLAN視圖下執行【arpanti-attackcheckuser-bindcheck-item{ip-address|mac-address|interface}*】命令，配置ARP報文檢查方式。默認情況下，對IP地址、MAC地址、VLAN和接口都進行檢查。使用【displayarpanti-attackconfiguration{arp-rate-limit|arpmiss-rate-limit|arp-speed-limit|arpmiss-speed-limit|entry-check|gateway-duplicate|log-trap-timer|packet-check|all}】和【displayarpanti-attackconfigurationcheckuser-bindinterfaceinterface-typeinterface-number】命令查看當前ARP防攻擊配置。10.1.3ARP安全配置DAI防止ARP中間人攻擊案例[S1]dhcpsnoopingenable[S1]vlan1[S1-vlan1]dhcpsnoopingenable//在VLAN1使能DHCPSnooping[S1-vlan1]user-bindstaticip-address192.168.1.100mac-address5489-9389-03BDinterfaceg0/0/4vlan1//手動添加靜態綁定表[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingtrusted//配置接口為可信任接口[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]arpanti-attackcheckuser-bindenable//使能ARP報文檢查功能[S1-GigabitEthernet0/0/2]arpanti-attackcheckuser-bindcheck-itemip-addressmac-addressvlan//配置ARP報文檢查方式，對IP地址、MAC地址、VLAN和接口都進行檢查G0/0/3、G0/0/4接口配置和G0/0/2的一樣DHCPClient1DHCPClient2DHCPServerS1GE0/0/2GE0/0/3GE0/0/1192.168.1.100GE0/0/410.1.4IP源防護IP源地址欺騙是黑客進行DoS攻擊時經常同時使用的一種手段，黑客發送具有虛假源IP地址的數據包。IP源防護（IPSourceGuard，IPSG）可以防止局域網內的IP地址欺騙攻擊。和DAI類似，IPSG也是基于DHCPSnooping進行工作，DHCPSnooping綁定表包括了IP地址與MAC地址的綁定信息，并將其與VLAN、交換機端口相關聯，交換機根據DHCPSnooping綁定表的內容來過濾IP報文。客戶端發送的IP數據包，只有其源IP地址、MAC地址、VLAN和DHCPSnooping綁定表相符才會被發送，其他IP數據包都將被丟棄。IPSG技術概述IP地址欺騙攻擊中，攻擊者通過偽造合法用戶的IP地址獲取網絡訪問權限，非法訪問網絡，甚至造成合法用戶無法訪問網絡，或者信息泄露。IPSG針對IP地址欺騙攻擊提供了一種防御機制，可以有效阻止此類網絡攻擊行為。IP源防攻擊（IPSG，IPSourceGuard）是一種基于二層接口的源IP地址過濾技術。它能夠防止惡意主機偽造合法主機的IP地址來仿冒合法主機，還能確保非授權主機不能通過自己指定IP地址的方式來訪問網絡或攻擊網絡。InternetSwitchRouter合法主機1合法主機2非法主機IP:10.1.1.1IP:10.1.1.2IP:10.1.1.10規定：只允許IP地址為10.1.1.1和10.1.1.2的主機可以上網合法主機1和2可以上網，但是關機了非法主機的IP地址為10.1.1.10，不能上網，改為10.1.1.1就可以上網了在Switch的接入用戶側的接口或VLAN上部署IPSG功能匹配通過偽造合法IP不匹配丟棄IPSG工作原理IPSG利用綁定表（源IP地址、源MAC地址、所屬VLAN、入接口的綁定關系）去匹配檢查二層接口上收到的IP報文，只有匹配綁定表的報文才允許通過，其他報文將被丟棄。常見的綁定表有靜態綁定表和DHCPSnooping動態綁定表。合法主機IP:10.1.1.1MAC:5489-98C2-1486非法主機IP:10.1.1.10MAC:5489-98AB-22A7InternetSwitchRouter規定：只允許IP地址為10.1.1.1的主機可以訪問InternetSwitchDHCPSnooping綁定表使能IPSG的二層接口GE0/0/1GE0/0/2GE0/0/35489-98AB-22A7SIP:10.1.1.1DataVLAN15489-98C2-148610.1.1.1DataVLAN1IPMACVLAN接口10.1.1.15489-98C2-14861GE0/0/110.1.1.105489-98AB-22A71GE0/0/2IPSG配置舉例IPSG配置舉例#在接入交換機上配置靜態綁定表[Switch1]user-bindstaticip-address10.1.1.1mac-address5489-98C2-1486[Switch1]user-bindstaticip-address10.1.1.10mac-address5489-98AB-22A7#使能GE0/0/1接口IPSG和IP報文檢查告警功能[Switch1]interfaceGigabitEthernet0/0/1[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindenable[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmenable[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmthreshold100#接口GE0/0/2配置與GE0/0/1類似，此處省略InternetSwitch2Switch1GE0/0/1GE0/0/2GE0/0/3IP:10.1.1.1/24MAC:5489-98C2-1486IP:10.1.1.10/24MAC:5489-98AB-22A7PC1PC2[Switch1]displaydhcpstaticuser-bindallDHCPstaticBind-table:Flags:O-outervlan,I-innervlan,P-Vlan-mappingIPAddressMACAddress VSI/VLAN(O/I/P)Interface-------------------------------------------------------------------------------------------------10.1.1.15489-98C2-1486 --/--/----10.1.1.105489-98AB-22A7 --/--/-----------------------------------------------------------------------------------------------------Printcount:2Totalcount:210.2VPN對于規模較大的企業來說，網絡訪問需求不僅僅局限于公司總部網絡內，分公司、辦事處、出差員工、合作單位等也需要訪問公司總部的網絡資源，可以采用VPN（VirtualPrivateNetwork，虛擬專用網絡）技術來實現這一需求。VPN可以在不改變現有網絡結構的情況下，建立虛擬專用連接。因其具有廉價、專用和虛擬等多種優勢，在現網中應用非常廣泛。VPN技術的基本原理是利用隧道技術，對傳輸報文進行封裝，利用VPN骨干網建立專用數據傳輸通道，實現報文的安全傳輸。企業總部企業分支VPN網關1VPN網關2Internet原始報文VPN隧道解封裝后的報文封裝后的報文封裝解封裝10.2.1VPN簡介在VPN出現之前，企業分支之間的數據傳輸只能依靠現有物理網絡（例如Internet）。由于Internet中存在多種不安全因素，報文容易被網絡中的黑客竊取或篡改，最終造成數據泄密、重要數據被破壞等后果。除了通過Internet，還可以通過搭建一條物理專網連接保證數據的安全傳輸，但其費用會非常昂貴，且專網的搭建和維護十分困難。辦事處企業總部企業分支出差員工Internet黑客企業內部數據直接使用共享且不安全的Internet傳輸數據，可能導致數據被盜取、篡改。采用Internet傳輸數據辦事處企業總部企業分支出差員工專網企業內部數據搭建專網傳輸數據有效保證企業數據傳輸安全性，但面臨使用成本高、使用率低、部署不靈活等問題。10.2.1VPN簡介VPN即虛擬專用網，泛指通過VPN技術在公用網絡上構建的虛擬專用網絡。VPN用戶在此虛擬網絡中傳輸私網流量，在不改變網絡現狀的情況下實現安全、可靠的連接。辦事處企業總部企業分支出差員工專網/Internet公共網絡虛擬專用網絡專用（Private）VPN網絡是專門供VPN用戶使用的網絡，對于VPN用戶，使用VPN與使用傳統專網沒有區別。VPN能夠提供足夠的安全保證，確保VPN內部信息不受外部侵擾。VPN與底層承載網絡（一般為IP網絡）之間保持資源獨立，即VPN資源不被網絡中非該VPN的用戶所使用。虛擬（Virtual）VPN用戶的通信是通過公共網絡進行的，而這個公共網絡同時也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個邏輯意義上的專網。TunnelTunnelTunnel10.2.1VPN簡介按照用途分類遠程接入VPN（AccessVPN）內聯網VPN（IntranetVPN）外聯網VPNVPN（Extranet）企業總部運營商MPLSVPN專線企業分支2企業分支1VPN分類-根據建設單位不同根據建設單位分類租用運營商VPN專線搭建企業VPN網絡最常見的場景為租用運營商MPLSVPN專線。自建企業VPN網絡基于Internet建立企業VPN網絡，常見的如IPSecVPN、L2TPVPN、SSLVPN等。VPN網關為運營商所有企業總部企業分支Internet出差員工VPN網關VPN網關企業分部VPN分類-根據組網方式不同根據組網方式分類遠程訪問VPN（RemoteAccessVPN）適用于出差員工VPN撥號接入的場景，員工可在任何能接入Internet的地方，通過VPN接入企業內網資源。常見的有L2TPVPN、SSLVPN等。局域網到局域網VPN（Site-to-siteVPN）適用于公司兩個異地機構的局域網互連。常見的有MPLSVPN、IPSecVPN等。企業總部Internet出差員工A地企業總部InternetVPN網關出差員工B地VPN網關VPN分類-根據實現的網絡層次根據實現的網絡層次分類應用層TCP/IP參考模型傳輸層網絡層數據鏈路層物理層SSLVPNIPSecVPN、GREVPNL2TPVPN、PPTPVPNMPLSVPN10.2.2加密學基礎數據加密可以避免數據轉發時被讀取。數據加密一般有兩種方案：對稱加密：使用同一個密碼加密/解密，效率很高，但是對稱加密在互相交互密鑰時存在密鑰被截取的風險。非對稱加密：使用公鑰加密，私鑰解密，安全性很高但是加解密效率很低。對稱加密數據數據密鑰A密鑰A預先配置或傳遞相同密鑰被加密數據被加密數據數據轉發RT1RT2非對稱加密數據數據公鑰B私鑰B被加密數據被加密數據數據轉發RT1RT2加密解密公鑰加密私鑰解密公鑰B私鑰B密鑰對設備自動生成公鑰與私鑰傳遞公鑰交互密鑰10.2.2加密學基礎IPsec同時使用對稱加密與非對稱加密，保證了安全也兼顧了性能。將對稱加密所用的密鑰，使用非對稱算法加密并傳遞。數據通過交互后的對稱密鑰加密。IPsec加解密基本思路IPsec設備IPsec設備非對稱加密對稱密鑰對稱密鑰非對稱加密用戶數據用戶數據對稱加密對稱加密交互對稱密鑰公鑰加密私鑰解密公鑰加密私鑰解密交互用戶數據通過對稱密鑰加解密通過對稱密鑰加解密IPsec隧道交互對稱密鑰后，通過對稱密鑰加解密數據1210.2.2加密學基礎DH（Deffie-Hellman）密鑰交換是最常用的密鑰交換算法之一，它使得通信的雙方能在Internet這樣的非安全信道中安全地交換密鑰，用于加密后續的通信。常用的DH算法有Group1、Group2、Group5等。DH算法的原理是依賴于計算離散對數的難度。10.2.2加密學基礎防止數據在傳輸過程中被篡改可以通過HASH算法實現。HASH也稱為散列函數，能夠把任意長度的輸入通過運算變換成固定長度的散列值（通常是128位、168位、256位等）。HASH算法有個特點是輸入明文很容易運算得到散列值，但是不能從散列值反推出明文，我們可以把HASH理解成一個單向函數。常用的HASH算法有MD5、SHA-1、SHA-256、SHA-384、SHA-512等。10.2.2加密學基礎事先通過密鑰交換在收、發雙方產生一個共同的密鑰，發送方把要發送的消息、密鑰做HASH運算得到HASH值，把消息和HASH值發送給對方。接收方收到消息后，把收到的消息、密鑰做HASH運算得到自己的HASH值，然后把這個HASH值和收到的HASH做比較，如果兩個HASH值相同，則表明數據在傳輸過程中沒有被篡改；如果兩個HASH值不相同，則表明數據在傳輸過程中被篡改。Hash算法Hash算法數據轉發RT1RT2Hash計算Hash計算數據Hash值A數據Hash值AHash值B對比Hash值10.2.2加密學基礎身份認證可以保證數據發送者的身份真實性，以防止假冒者發送數據。身份認證主要有兩種方式：數字證書和預共享密鑰。10.2.2加密學基礎IPSec不是一個單獨的協議，它給出了IP網絡上數據安全的一整套體系結構，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等協議。安全協議加密驗證密鑰交換ESPDES3DESAESSM1/4AH不支持MD5SHA1SHA2SM3MD5SHA1SHA2SM3IKE（ISAKMP，DH）IPSec協議體系10.2.3IPSec基本概念IPSec（InternetProtocolSecurity）是IETF（InternetEngineeringTaskForce）制定的一組開放的網絡安全協議，在IP層通過數據來源認證、數據加密、數據完整性和抗重放功能來保證通信雙方Internet上傳輸數據的安全性。數據來源認證：接收方認證發送方身份是否合法。數據加密：發送方對數據進行加密，以密文的形式在Internet上傳送，接收方對接收的加密數據進行解密后處理或直接轉發。數據完整性：接收方對接收的數據進行認證，以判定報文是否被篡改。抗重放保護：接收方會拒絕舊的或重復的數據包，防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊。10.2.3IPSec基本概念IPSec對等體：即建立IPSecVPN的雙方。端點可以是網關路由器，也可以是主機。IPSec隧道：提供對數據流的安全保護，IPSec對數據的加密是以數據包為單位的。發送方對要保護的數據包進行加密封裝，在Internet中傳輸，接收方采用相同的參數對報文進行認證、解封裝，以得到原始數據。企業總部企業分支VPN網關1VPN網關2Internet原始報文VPN隧道解封裝后的報文封裝后的報文封裝解封裝10.2.3IPSec基本概念安全聯盟（SecurityAssociation，SA）是出于安全目的而創建的一個單向邏輯連接，是通信的對等體間對某些要素的約定。對等體間需要通過手工配置或IKE協議協商匹配的參數才能建立起安全聯盟。對等體之間的雙向通信需要建立一對SA，這一對SA對應于一條IPSec隧道。SA由安全參數索引、目的IP地址和使用的安全協議三元組來唯一標識。兩種方式建立SA：手工方式、IKE動態協商方式。10.2.3IPSec基本概念IPsec有兩種傳輸層協議提供認證或加密服務：AH（AuthenticationHeader,認證頭），ESP（EncapsulatingSecurityPayload,封裝安全載荷）。AH僅支持認證功能，不支持加密功能。ESP支持認證和加密功能。AH報文頭部結構ESP報文頭部結構NextHeaderPayloadLenReservedSecurityParametersIndex(SPI)SequenceNumberAuthenticationData(Variable)IntegrityCheckValue(ICV)32bitSecurityParametersIndex(SPI)SequenceNumberPayloadData(Variable)Padding(0-255Octets)PadLenNextHeaderAuthenticationData(Variable)IntegrityCheckValue(ICV)32bitESPHeaderESPTrailerEncryptedESPAuthenticationAuthentication10.2.3IPSec基本概念封裝模式是指將AH或ESP相關的字段插入到原始IP報文中，以實現對報文的認證和加密，封裝模式有傳輸模式和隧道模式兩種。傳輸模式中：AH頭或ESP頭被插入到IP頭與傳輸層協議頭之間。在隧道模式下：AH頭或ESP頭被插到原始IP頭之前。隧道模式傳輸模式IPHeaderAHHeaderDataIPHeaderESPHeaderDataESPTrailerESPAuthdataIPHeaderAHHeaderESPHeaderDataESPTrailerESPAuthdataAHESPAH-ESPNew

IPHeaderAHHeaderRawIPHeaderDataNewIPHeaderESPHeaderRawIPHeaderDataESPTrailerESPAuthdataNewIPHeaderAHHeaderESPHeaderRawIPHeaderDataESPTrailerESPAuthdataAHESPAH-ESP認證范圍認證范圍加密范圍ESP認證范圍加密范圍AH認證范圍認證范圍認證范圍加密范圍ESP認證范圍加密范圍AH認證范圍10.2.4IKE協議IPsec基本工作流程IPsec設備IPsec隧道IPsec設備IKE模塊用戶數據用戶數據加密認證模塊IKESA協商交互用戶數據IKE模塊加密認證模塊基于IPsecSA對用戶數據進行加解密，認證IKESAIPsecSAIPsecSA協商基于IKESA加密IPsecSA協商報文IKE協商第一階段IKE協商第二階段IPsecSA設備對于被保護流進行加解密10.2.4IKE協議IKE協議建立在Internet安全聯盟和密鑰管理協議（InternetSecurityAssociationandKeyManagementProtocol，ISAKMP）定義的框架上，是基于UDP的應用層協議。它為IPSec提供了自動協商交換密鑰、建立SA的服務，能夠簡化IPSec的使用和管理。采用IKEv1協商安全聯盟主要分為兩個階段：第一階段，通信雙方協商并建立IKE協議本身使用的安全通道，即建立一個IKESA；第二階段，利用第一階段已通過認證與安全保護的安全通道，建立一對用于數據安全傳輸的IPsecSA。IKE模塊IKESA協商IKE模塊IKESAIPsecSA協商基于IKESA加密IPsecSA協商報文IKE協商第一階段IKE協商第二階段IKEv1協商基本過程10.2.4IKE協議IKEv1協商第一階段的目的是建立IKESA。IKESA建立后對等體間的所有ISAKMP消息都將通過加密和驗證，這條安全通道可以保證IKEv1第二階段的協商能夠安全進行。IKEv1協商第一階段支持兩種協商模式：主模式（MainMode）和野蠻模式（AggressiveMode）。主模式協商過程野蠻模式協商過程發送IKE安全提議查找匹配的提議接受提議發送確認的IKE安全提議發送密鑰生成信息生成密鑰生成密鑰發送密鑰生成信息發送身份和驗證數據身份驗證和交換過程驗證身份驗證和交換過程驗證發送身份和驗證數據協商發起方協商響應方124635發起IKE安全提議，密鑰生成信息和身份信息查找匹配的提議算法，身材密鑰和身份驗證接受提議和生成密鑰發送密鑰生成信息、身份信息和驗證數據發送驗證數據交換過程驗證協商發起方協商響應方123已加密數據10.2.4IKE協議IKEv1協商第二階段的目的是建立用來安全傳輸數據的IPsecSA，并為數據傳輸衍生出密鑰。第二階段采用快速模式（QuickMode）。該模式使用IKEv1協商第一階段中生成的密鑰對ISAKMP消息的完整性和身份進行驗證，并對ISAKMP消息進行加密，故保證了交換的安全性。快速模式協商過程發送IPsec安全提議、身份和驗證數據查找匹配的安全提議，生成密鑰接收安全提議和生成密鑰發送確認的安全提議、身份和驗證數據發送驗證數據接收信息協商發起方協商響應方123已加密數據10.2.5IPSecVPN配置IPSecVPN配置方式：ACL方式虛擬隧道接口方式以EfficientVPN策略在采用ACL方式建立IPSec隧道之前，需完成以下任務：實現源接口和目的接口之間的路由可達。確定需要IPSec保護的數據流。確定數據流被保護的強度，即確定使用的IPSec安全提議的參數。確定IPSec隧道是基于手工方式還是IKE動態協商方式建立。10.2.5IPSecVPN配置采用ACL方式建立IPSec隧道配置流程如下：定義需要保護的數據流。配置IPSec安全提議。配置IKE安全提議。配置IKE對等體。配置安全策略。接口上應用安全策略組。檢查配置結果。10.2.5IPSecVPN配置1.定義需要保護的數據流ACL規則中的permit關鍵字表示與之匹配的流量需要被IPSec保護，而deny關鍵字則表示與之匹配的流量不需要被保護。一個ACL中可以配置多條規則，首個與數據流匹配上的規則決定了對該數據流的處理方式。操作步驟如下。進入系統視圖。執行【acl

[

number

]

acl-number

[

match-order

{

config

|

auto

}]】命令，創建一個高級ACL（acl-number為3000～3999）并進入其視圖。執行【rule

[

rule-id

]{

deny

|

permit

}

ip

[

destination

{

destination-addressdestination-wildcard

|

any

}|

source

{

source-addresssource-wildcard

|

any

}

|

vpn-instance

vpn-instance-name

|

dscp

dscp

]

*】命令，在ACL視圖下，配置ACL規則。10.2.5IPSecVPN配置2.配置IPSec安全提議執行【ipsecproposal

proposal-name】命令創建IPSec安全提議并進入IPSec安全提議視圖。執行【transform

{

ah

|

esp

|

ah-esp

}】命令配置安全協議。默認IPSec安全提議采用ESP協議。配置安全協議的認證/加密算法。執行【ahauthentication-algorithm

{

md5

|

sha1

|

sha2-256

|

sha2-384

|

sha2-512

|

sm3

}】命令，設置AH協議采用的認證算法。默認情況下，AH協議采用SHA-256認證算法。執行【espauthentication-algorithm

{

md5

|

sha1

|

sha2-256

|

sha2-384

|

sha2-512

|

sm3

}】命令，設置ESP協議采用的認證算法。默認情況下，ESP協議采用SHA-256認證算法。執行【espencryption-algorithm

[

3des

|

des

|

aes-128

|

aes-192

|

aes-256

|

sm1

|

sm4

]】命令，設置ESP協議采用的加密算法。默認情況下，ESP協議采用AES-256加密算法。執行【encapsulation-mode

{

transport

|

tunnel

}】命令，選擇安全協議對數據的封裝模式。默認情況下，安全協議對數據的封裝模式采用隧道模式。10.2.5IPSecVPN配置3.配置IKE安全提議進入系統視圖。執行【ikeproposal

proposal-number】命令，創建一個IKE安全提議，并進入IKE安全提議視圖。執行【authentication-method

{