IPSEC野蠻模式 簡介：

IKE 的協(xié)商模式

在RFC2409（The Internet Key Exchange ）中規(guī)定，IKE 第一階段的協(xié)商可以采用兩種模式：主模式（Main Mode ）和野蠻模式（Aggressive Mode ）。

主模式被設(shè)計成將密鑰交換信息與身份、認證信息相分離。這種分離保護了身份信息；交換的身份信息受已生成的 Diffie-Hellman共享密鑰的保護。但這增加了3 條消息的開銷。

野蠻模式則允許同時傳送與SA、密鑰交換和認證相關(guān)的載荷。將這些載荷組合到一條消息中減少了消息的往返次數(shù)，但是就無法提供身份保護了。雖然野蠻模式存在一些功能限制，但可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求。例如：遠程訪問時，如果響應(yīng)者（服務(wù)器端）無法預(yù)先知道發(fā)起者（終端用戶）的地址、或者發(fā)起者的地址總在變化，而雙方都希望采用預(yù)共享密鑰驗證方法來創(chuàng)建IKE SA，那么，不進行身份保護的野蠻模式就是唯一可行的交換方法；另外，如果發(fā)起者已知響應(yīng)者的策略，或者對響應(yīng)者

野蠻模式的作用：

對于兩端IP地址不是固定的情況（如ADSL撥號上網(wǎng)），并且雙方都希望采用預(yù)共享密鑰驗證方法來創(chuàng)建IKE SA，就需要采用野蠻模式。另外如果發(fā)起者已知回應(yīng)者的策略，采用野蠻模式也能夠更快地創(chuàng)建IKE SA。

ipsec下兩種模式的區(qū)別：

1、野蠻模式協(xié)商比主模式協(xié)商更快。主模式需要交互6個消息，野蠻模式只需要交互3個消息。

2、主模式協(xié)商比野蠻模式協(xié)商更嚴謹、更安全。因為主模式在5、6個消息中對ID信息進行了加密。而野蠻模式由于受到交換次數(shù)的限制，ID信息在1、2個消息中以明文的方式發(fā)送給對端。即主模式對對端身份進行了保護，而野蠻模式則沒有。

3、兩種模式在確定預(yù)共享密鑰的方式不同。主模式只能基于IP地址來確定預(yù)共享密鑰。而積極模式是基于ID信息（主機名和IP地址）來確定預(yù)共享密鑰。

野蠻模式的必要性：

兩邊都是主機名的時候，就一定要用野蠻模式來協(xié)商，如果用主模式的話，就會出現(xiàn)根據(jù)源IP地址找不到預(yù)共享密鑰的情況，以至于不能生成SKEYID。

1、因為主模式在交換完3、4消息以后，需要使用預(yù)共享密鑰來計算SKEYID，但是由于雙方的ID信息在消息5、6中才會被發(fā)送，此時主模式的設(shè)備只能使用消息3、4中的源IP地址來找到與其對應(yīng)的預(yù)共享密鑰；如果主模式采用主機名方式，主機名信息卻包含在消息5、6中，而IPSEC雙方又必須在消息5、6之前找到其相應(yīng)的預(yù)共享密鑰，所以就造成了矛盾。

2、在野蠻模式中，ID信息（IP地址或者主機名）在消息1、2中就已經(jīng)發(fā)送了，對方可以根據(jù)ID信息查找到對應(yīng)的預(yù)共享密鑰，從而計算出SKEYID。

案例

   例：本實驗采用華為三臺F100防火墻，和一臺s3526交換機，實現(xiàn)ipsec野蠻模式下的vpn通道的建立。Fw1是總部，實現(xiàn)fw1可以與fw2的內(nèi)部網(wǎng)絡(luò)互訪，fw1和fw3的內(nèi)部網(wǎng)絡(luò)互訪。fw2和fw3通過DHCP服務(wù)器動態(tài)獲取地址。

實驗圖：

fw1 的配置：

<F1>langu chinese

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<F1>system-view

進入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

配置ip

[F1]firewall zone trust

[F1-zone-trust]add interface Ethernet 0/4

接口已經(jīng)加入到untrust安全區(qū)域了.

[F1-zone-trust]quit

[F1]firewall zone untrust

[F1-zone-untrust]add interface Ethernet 0/1

接口已經(jīng)加入到DMZ安全區(qū)域了.

[F1-zone-untrust]quit

[F1]interface Ethernet0/4

[F1-Ethernet0/4]ip add 192.168.10.1 24

[F1-Ethernet0/4]interface Ethernet0/1

[F1-Ethernet0/1]ip add 192.168.110.200 24

[F1-Ethernet0/1]

%2012/3/29 19:26:47:341 F1 IFNET/4/UPDOWN:鏈路協(xié)議在接口Ethernet0/1上狀態(tài)變?yōu)閁P

[F1-Ethernet0/1]quit

     默認路由：

[F1]ip route-static 0.0.0.0 0.0.0.0 192.168.110.1

    定義ACL實現(xiàn)對數(shù)據(jù)流的過濾

[F1]acl number 3000

[F1-acl-adv-3000]rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.120.0 0.0.0.255

[F1-acl-adv-3000]rule deny ip source any destination any

[F1-acl-adv-3000]quit

[F1]acl number 3001

[F1-acl-adv-3001]rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.130.0 0.0.0.255

[F1-acl-adv-3001]rule deny ip source any destination any

[F1-acl-adv-3001]quit

     配置安全提議：

[F1]ipsec proposal tran1        創(chuàng)建名為tran1的安全協(xié)議

[F1-ipsec-proposal-tran1]encapsulation-mode tunnel       報文封裝形式采用隧道模

[F1-ipsec-proposal-tran1]transform esp         安全協(xié)議采用esp協(xié)議

[F1-ipsec-proposal-tran1]esp encryption-algorithm des      選擇加密算法

[F1-ipsec-proposal-tran1]esp authentication-algorithm md5    認證算法

[F1-ipsec-proposal-tran1]quit

[F1]ipsec proposal tran2           創(chuàng)建名為tran2的安全協(xié)議

[F1-ipsec-proposal-tran2]encapsulation-mode tunnel      

[F1-ipsec-proposal-tran2]transform esp                  

[F1-ipsec-proposal-tran2] esp encryption-algorithm des 

[F1-ipsec-proposal-tran2]esp authentication-algorithm md5

[F1-ipsec-proposal-tran2]quit

創(chuàng)建IKE Peer并進入IKE Peer視圖：

[F1]ike local-name fw1     配置IKE協(xié)商時的本地ID

[F1]ike peer peer1

[F1-ike-peer-peer1]exchange-mode aggressive         配置IKE協(xié)商方式為野蠻模式

[F1-ike-peer-peer1]pre-shared-key simple 123456       配置預(yù)共享密鑰

[F1-ike-peer-peer1]id-type name         配置對端ID類型

[F1-ike-peer-peer1]remote-name fw2         配置對端名稱

[F1-ike-peer-peer1]quit

[F1]ike peer peer2             

[F1-ike-peer-peer2]exchange-mode aggressive   

[F1-ike-peer-peer2]pre-shared-key simple abcdef

[F1-ike-peer-peer2]id-type name               

[F1-ike-peer-peer2]remote-name fw3            

[F1-ike-peer-peer2]quit

    創(chuàng)建安全策略，協(xié)商方式為動態(tài)方式

[F1]ipsec poli policy1 10 isakmp

[F1-ipsec-policy-isakmp-policy1-10]proposal tran1         引用安全提議

[F1-ipsec-policy-isakmp-policy1-10]security acl 3000      引用訪問列表               

[F1-ipsec-policy-isakmp-policy1-10]ike-peer peer1

[F1-ipsec-policy-isakmp-policy1-10]quit

[F1]ipsec poli policy1 20 isakmp

[F1-ipsec-policy-isakmp-policy1-20]proposal tran2             

[F1-ipsec-policy-isakmp-policy1-20]security acl 3001          

[F1-ipsec-policy-isakmp-policy1-20]ike-peer peer2             

[F1-ipsec-policy-isakmp-policy1-20]quit

     在接口上應(yīng)用安全策略組:

[F1]interface Ethernet0/1

[F1-Ethernet0/1]ipsec policy policy1

[F1-Ethernet0/1]quit  

查看配置信息：

fw2 的配置：

<F2>langu chin

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<F2>sys

<F2>system-view

進入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

[F2]firewall zone trust

[F2-zone-trust]add interface Ethernet 0/4

[F2-zone-trust]quit

[F2]firewall zone untrust

[F2-zone-untrust]add interface Ethernet 0/1

[F2-zone-untrust]quit

[F2]inter Ethernet0/4

[F2-Ethernet0/4]ip add 192.168.20.1 24

[F2-Ethernet0/4]inter Ethernet0/1    

[F2-Ethernet0/1]ip address dhcp-alloc     配置dhcp動態(tài)獲取地址

[F2-Ethernet0/1]

%2012/3/29 19:48:16:393 F2 IFNET/4/UPDOWN:鏈路協(xié)議在接口Ethernet0/1上狀態(tài)變?yōu)閁P

[F2-Ethernet0/1]quit

[F2] ip route-static 0.0.0.0 0.0.0.0 192.168.120.1

[F2]acl number 3000

[F2-acl-adv-3000]rule permit ip source 192.168.120.0 0.0.0.255 destination 192.168.110.0 0.0.0.255

[F2-acl-adv-3000]rule deny ip source any destination any

[F2-acl-adv-3000]quit

[F2]ipsec proposal tran1

[F2-ipsec-proposal-tran1]encapsulation-mode tunnel

[F2-ipsec-proposal-tran1]transform esp    

[F2-ipsec-proposal-tran1]esp encryption-algorithm des 

[F2-ipsec-proposal-tran1]esp authentication-algorithm md5

[F2-ipsec-proposal-tran1]quit

[F2]ike local-name fw2

[F2]ike peer peer1

[F2-ike-peer-peer1]exchange-mode aggressive

[F2-ike-peer-peer1]pre-shared-key simple 123456

[F2-ike-peer-peer1]id-type name

[F2-ike-peer-peer1]remote-name fw1

[F2-ike-peer-peer1]quit

[F2]ipsec poli policy2 10 isakmp

[F2-ipsec-policy-isakmp-policy2-10]proposal tran1

[F2-ipsec-policy-isakmp-policy2-10]security acl 3000

[F2-ipsec-policy-isakmp-policy2-10]ike-peer peer1

[F2-ipsec-policy-isakmp-policy2-10]quit

[F2]inter Ethernet0/1

[F2-Ethernet0/1]ipsec policy policy2

[F2-Ethernet0/1]quit

查看配置信息：

 

 

fw3 的配置：

<F3>lang chin

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<F3>sys

<F3>system-view

進入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

[F3]firewall zone trust

[F3-zone-trust]add interface Ethernet 0/4

[F3-zone-trust]quit

[F3]firewall zone untrust

[F3-zone-untrust]add interface Ethernet 0/1

[F3-zone-untrust]quit

[F3]inter Ethernet0/4

[F3-Ethernet0/4]ip add 192.168.30.1 24

[F3-Ethernet0/4]inter Ethernet0/1    

[F3-Ethernet0/1]ip address dhcp-alloc

[F3-Ethernet0/1]

%2012/3/29 19:06:42:711 F3 IFNET/4/UPDOWN:鏈路協(xié)議在接口Ethernet0/1上狀態(tài)變?yōu)閁P

[F3-Ethernet0/1]quit

[F3]ip route-static 0.0.0.0 0.0.0.0 192.168.130.1

[F3]acl number 3000

[F3-acl-adv-3000]rule permit ip source 192.168.130.0 0.0.0.255 destination 192.168.110.0 0.0.0.255

[F3-acl-adv-3000]rule deny ip source any destination any

[F3-acl-adv-3000]quit

[F3]ipsec proposal tran2

[F3-ipsec-proposal-tran2]encapsulation-mode tunnel

[F3-ipsec-proposal-tran2]transform esp

[F3-ipsec-proposal-tran2]esp encryption-algorithm des

[F3-ipsec-proposal-tran2]esp authentication-algorithm md5

[F3-ipsec-proposal-tran2]quit

[F3]ike local-name fw3

[F3]ike peer peer2

[F3-ike-peer-peer2]exchange-mode aggressive

[F3-ike-peer-peer2]pre-shared-key simple abcdef

[F3-ike-peer-peer2]id-type name

[F3-ike-peer-peer2]remote-name fw1

[F3-ike-peer-peer2]quit

[F3]ipsec poli policy3 20 isakmp

[F3-ipsec-policy-isakmp-policy3-20]proposal tran2

[F3-ipsec-policy-isakmp-policy3-20]security acl 3001

[F3-ipsec-policy-isakmp-policy3-20]ike-peer peer2

[F3-ipsec-policy-isakmp-policy3-20]quit

[F3]inter Ethernet0/1

[F3-Ethernet0/1]ipsec policy policy3

查看配置信息：

 

Switch1 的配置：

<SW1>lang chin

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<SW1>system-view

進入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

 劃分vlan，并把他們加入接口：

[SW1]vlan 10

[SW1-vlan10]port Ethernet0/1

[SW1-vlan10]vlan 20

[SW1-vlan20]port Ethernet0/5

[SW1-vlan20]vlan 30

[SW1-vlan30]port Ethernet0/3

[SW1-vlan30]inter

[SW1-vlan30]quit

  配置vlan地址：

[SW1]interface Vlan-interface 10

[SW1-Vlan-interface10]

%2012/3/29 20:13:12:150 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:

Vlan-interface10: link狀態(tài)變?yōu)閁P

[SW1-Vlan-interface10]ip add 192.168.110.1 255.255.255.0

[SW1-Vlan-interface10]

%2012/3/29 20:13:36:503 SW1 IFNET/5/UPDOWN:

  鏈路協(xié)議在接口Vlan-interface10上狀態(tài)變?yōu)閁P

[SW1-Vlan-interface10]interface Vlan-interface 20      

[SW1-Vlan-interface20]

%2012/3/29 20:13:45:493 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:

Vlan-interface20: link狀態(tài)變?yōu)閁P

[SW1-Vlan-interface20]ip add 192.168.120.1 255.255.255.0

[SW1-Vlan-interface20]

%2012/3/29 20:13:55:184 SW1 IFNET/5/UPDOWN:

  鏈路協(xié)議在接口Vlan-interface20上狀態(tài)變?yōu)閁P

[SW1-Vlan-interface20]interface Vlan-interface 30      

[SW1-Vlan-interface30]

%2012/3/29 20:14:02:434 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:

Vlan-interface30: link狀態(tài)變?yōu)閁P

[SW1-Vlan-interface30]ip add 192.168.130.1 255.255.255.0

[SW1-Vlan-interface30]

%2012/3/29 20:14:12:405 SW1 IFNET/5/UPDOWN:

  鏈路協(xié)議在接口Vlan-interface30上狀態(tài)變?yōu)閁P

[SW1-Vlan-interface30]quit

  配置dhcp服務(wù)：

[SW1]dhcp server ip-pool fw2

[SW1-dhcp-fw2]network 192.168.120.0 mask 255.255.255.0

[SW1-dhcp-fw2]quit

[SW1]dhcp server ip-pool fw3

[SW1-dhcp-fw3]network 192.168.130.0 mask 255.255.255.0

[SW1-dhcp-fw3]quit

[SW1]dhcp  enable     

DHCP任務(wù)已經(jīng)啟動!

查看配置信息：

[SW1]dis cu

#

sysname SW1

#

local-server nas-ip 127.0.0.1 key huawei

local-user user1

password simple 123                     

service-type telnet level 3

#

dhcp server ip-pool fw2

network 192.168.120.0 mask 255.255.255.0

#

dhcp server ip-pool fw3

network 192.168.130.0 mask 255.255.255.0

#

vlan 1

#

vlan 10

#

vlan 20

#

vlan 30

#

interface Vlan-interface10

ip address 192.168.110.1 255.255.255.0

#

interface Vlan-interface20               

ip address 192.168.120.1 255.255.255.0

#

interface Vlan-interface30

ip address 192.168.130.1 255.255.255.0

#

interface Aux0/0

#

interface Ethernet0/1

port access vlan 10

#

interface Ethernet0/2

#

interface Ethernet0/3

port access vlan 30

#

interface Ethernet0/4

#

interface Ethernet0/5

port access vlan 20

#

interface Ethernet0/6

#                                        

interface Ethernet0/7

#

return

測試：

PC1與PC2，PC3之間的ping訪問：

PC2與PC1之間的ping訪問：

PC3與PC1之間的ping訪問：

最新評論