8.5 IPSEC密钥管家IKE

1.IKE基础

IKE (协议框架/混合协议)
Oakley : 定义IKE自由形态 ,可以使IPSEC与时俱进 (程序)
SKEME : 定义IKE进行密钥交换方式 (DH 迪夫-赫尔曼算法/密钥交换协议)(程序)
ISAKMP : IKE消息实体体现 | IKE-ISAKMP消息格式/沟通方法信息交互
IKE消息协商 通过ISAKMP完成
ISAKMP : 互联网安全联盟密钥管理协议
Internet Security Association and Key Management Protocol – ISAKMP
通过IKE(ISAKMP)最终目的自动协商/定期更新IPSEC—SA
IKE(ISAKMP)消息封装 UDP S/D端口500 进行消息封装
有了IKE协议之后,两侧IPSEC边界设备在进行数据传输之前会先进行IPSEC-IKE安全协商,
当IPSEC—SA通过IKE动态协商完毕后,在进行IPSEC数据传递。

2.IKEv1

IKEv1 协商 分为 阶段1 / 阶段2
阶段1 : 身份验证 / 生成IKE-SA
阶段2 : 生成IPSEC -SA
在IPSEC中 SA分为IKE-SA/IPSEC-SA
IKE-SA用来保护阶段2协商数据
IPSEC-SA 用来保护最终业务流量

阶段1 :
Main mode 主模式 | aggressive Mode 主动模式|野蛮模式
阶段2 :
Quick mode 快速模式

IKEv1 两种使用方法
Main mode 主模式 + Quick mode 快速模式
aggressive Mode 主动模式|野蛮模式 + Quick mode 快速模式
2)IKEv1第一阶段
(1)主模式
一共交互6个消息 (3对) | 3个子阶段 | 每个子阶段交互一堆消息
(1)IKE安全提议协商 (配置 /数据加密算法/数据校验算法/身份验证方法)
发起者 – 先触发感兴趣流的IPSEC边界设备
(2)对端要对IKE安全提议协商进行响应
(3)发送密钥材料
(4)发送密钥材料
第二子阶段协商结束后, 通过DH 算法可以计算出只有两台IPSEC 边界设备可以得到的一
把密钥 SKEYID (派生密钥) 。
通过SKEYID继续进行计算生成三把子密钥 :
SKEYID-a : 对后续所有IKE-ISAKMP消息 – 作为IKE数据完整性校验密钥
SKEYID-d : 对后续阶段2进行密钥衍生 (IPSEC——SA-密钥)
SKEYID-e : 对后续所有IKE-ISAKMP消息 – 作为IKE加密密钥
以为IKE-SA全部协商完毕,可以用来保护后续5/6包。 
IKEV1阶段2的3个包

第一阶段第三个子阶段 : 身份验证 | 5/6包
(5)发送身份信息
(6)发送身份信息

预共享密钥/数字证书
数据加密算法/数据校验算法/身份验证方法/IKE 数据完整性校验密钥/ IKE 加密密钥/IKE-SA
生存时间 – IKE-SA (IKE proposal) (86400)
3)IKEv1第二阶段
(1)快速模式
3个消息 , IPSEC prososal 安全提议协商, 交互包含随机数,衍生密钥SKEYID_d .
双方会继续通过SKEYID_d进行密钥衍生
SKEYID_da : 对后续所有IPSEC消息 – 作为IPSEC数据完整性校验密钥
SKEYID_dd : 继续下一轮衍生
SKEYID_de : 对后续所有IPSEC消息 – 作为IPSEC数据加密密钥
二阶段完毕后 – IPSEC-SA出现。 后续所有业务数据都通过IPSEC-SA进行保护。
到期 (3600S)
到期 ( 1887436800 b | 1843200kb | 1800M | 1.8G)
一旦当SA到期后需要进行重新协商
IKE-SA到期 – 需要重新协商阶段1/阶段2
IPSEC-SA到期-只需要重新协商/阶段2 -快速模式

3.华为主模式配置

图片[1]-8.5 IPSEC密钥管家IKE-大赛人网
1)R1配置
(1)定义要进入隧道的感兴趣流
#IPSEC-ACL
acl number 3001  
 rule 10 permit ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255 

#NAT-ACL
acl number 3002  
 rule 10 deny ip source 172.16.1.0 0.0.0.255 destination 172.17.1.0 0.0.0.255 
 rule 9999 permit ip source 172.16.0.0 0.0.255.255 

(2)创建IKE安全提议
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-method pre-share
authentication-algorithm sha1

(3)创建IKE协商对等体
ike peer R3 v1
 ike-proposal 5
exchange-mode main 
 local-address 12.1.1.1
 remote-address 23.1.1.3
pre-shared-key cipher huawei@123

(4)创建IPSEC安全提议
ipsec proposal pps1                       
 transform ah-esp                         
 ah authentication-algorithm sha1         
 esp authentication-algorithm sha1        
 esp encryption-algorithm aes-128    

(5)创建IPSEC安全策略
ipsec policy pl01 10 isakmp 
#调用感兴趣流
security acl 3001
#调用IPSEC安全提议
proposal pps1
#调用IKE协商对等体
ike-peer R3
(6)策略调用在出接口
interface GigabitEthernet0/0/0
  ipsec policy pl01

2)R3配置
(1)定义要进入隧道的感兴趣流
#IPSEC-ACL
acl number 3001  
 rule 10 permit ip source 172.17.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255

(2)创建IKE安全提议
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-method pre-share
authentication-algorithm sha1

(3)创建IKE协商对等体
ike peer R1 v1
 ike-proposal 5
exchange-mode main 
 local-address 23.1.1.3
 remote-address 12.1.1.1
pre-shared-key cipher huawei@123

(4)创建IPSEC安全提议
ipsec proposal pps1
 transform ah-esp
 ah authentication-algorithm sha1
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128   

(5)创建IPSEC安全策略
ipsec policy pl01 10 isakmp 
#调用感兴趣流
security acl 3001
#调用IPSEC安全提议
proposal pps1
#调用IKE协商对等体
ike-peer R1

(6)策略调用在出接口
interface GigabitEthernet0/0/0
  ipsec policy pl01
#R1查看ike sa
display ike sa
 Conn-ID  Peer            VPN   Flag(s)                Phase  
        2    23.1.1.3        0     RD|ST                  2     
        1    23.1.1.3        0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP


#R1查看ipsec sa
display ipsec sa

Interface: GigabitEthernet0/0/0
 Path MTU: 1500


 Connection ID     : 2
    Encapsulation mode: Tunnel
    Tunnel local      : 12.1.1.1
    Tunnel remote     : 23.1.1.3
    Flow source       : 172.16.0.0/255.255.0.0 0/0
    Flow destination  : 172.17.0.0/255.255.0.0 0/0
    Qos pre-classify  : Disable

    [Outbound ESP SAs] 
      SPI: 853557712 (0x32e041d0)
      Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
      SA remaining key duration (bytes/sec): 1887329280/3324
      Max sent sequence-number: 7         
      UDP encapsulation used for NAT traversal: N
                                          
    [Outbound AH SAs]                     
      SPI: 1634338788 (0x616a07e4)        
      Proposal: AH-SHA1-96                
      SA remaining key duration (bytes/sec): 1887436800/3324
      Max sent sequence-number: 7         
      UDP encapsulation used for NAT traversal: N
                                          
    [Inbound AH SAs]                      
      SPI: 3727066377 (0xde268509)        
      Proposal: AH-SHA1-96                
      SA remaining key duration (bytes/sec): 1887436800/3324
      Max received sequence-number: 6     
      Anti-replay window size: 32         
      UDP encapsulation used for NAT traversal: N
                                          
    [Inbound ESP SAs]                     
      SPI: 885848750 (0x34ccfaae)         
      Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
      SA remaining key duration (bytes/sec): 1887436440/3324
      Max received sequence-number: 6     
      Anti-replay window size: 32         
      UDP encapsulation used for NAT traversal: N

#R1清除ike sa
reset ike sa all
图片[2]-8.5 IPSEC密钥管家IKE-大赛人网
© 版权声明
THE END
喜欢就支持一下吧
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

    请登录后查看评论内容