IPSEC野蛮模式的详细介绍(图文教程)

小老黑 發表於 2012-7-7 18:01:20

IPSEC野蛮模式的详细介绍(图文教程)

IPSEC野蛮模式 简介：
IKE 的协商模式
在RFC2409（The Internet Key Exchange ）中规定，IKE 第一阶段的协商可以采用两种模式：主模式（Main Mode ）和野蛮模式（Aggressive Mode ）。
主模式被设计成将密钥交换信息与身份、认证信息相分离。这种分离保护了身份信息；交换的身份信息受已生成的 Diffie-Hellman共享密钥的保护。但这增加了3 条消息的开销。
野蛮模式则允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数，但是就无法提供身份保护了。虽然野蛮模式存在一些功能限制，但可以满足某些特定的网络环境需求。例如：远程访问时，如果响应者（服务器端）无法预先知道发起者（终端用户）的地址、或者发起者的地址总在变化，而双方都希望采用预共享密钥验证方法来创建IKE SA，那么，不进行身份保护的野蛮模式就是唯一可行的交换方法；另外，如果发起者已知响应者的策略，或者对响应者
野蛮模式的作用：
对于两端IP地址不是固定的情况（如ADSL拨号上网），并且双方都希望采用预共享密钥验证方法来创建IKE SA，就需要采用野蛮模式。另外如果发起者已知回应者的策略，采用野蛮模式也能够更快地创建IKE SA。
ipsec下两种模式的区别：
1、野蛮模式协商比主模式协商更快。主模式需要交互6个消息，野蛮模式只需要交互3个消息。
2、主模式协商比野蛮模式协商更严谨、更安全。因为主模式在5、6个消息中对ID信息进行了加密。而野蛮模式由于受到交换次数的限制，ID信息在1、2个消息中以明文的方式发送给对端。即主模式对对端身份进行了保护，而野蛮模式则没有。
3、两种模式在确定预共享密钥的方式不同。主模式只能基于IP地址来确定预共享密钥。而积极模式是基于ID信息（主机名和IP地址）来确定预共享密钥。
野蛮模式的必要性：
两边都是主机名的时候，就一定要用野蛮模式来协商，如果用主模式的话，就会出现根据源IP地址找不到预共享密钥的情况，以至于不能生成SKEYID。
1、因为主模式在交换完3、4消息以后，需要使用预共享密钥来计算SKEYID，但是由于双方的ID信息在消息5、6中才会被发送，此时主模式的设备只能使用消息3、4中的源IP地址来找到与其对应的预共享密钥；如果主模式采用主机名方式，主机名信息却包含在消息5、6中，而IPSEC双方又必须在消息5、6之前找到其相应的预共享密钥，所以就造成了矛盾。
2、在野蛮模式中，ID信息（IP地址或者主机名）在消息1、2中就已经发送了，对方可以根据ID信息查找到对应的预共享密钥，从而计算出SKEYID。
案例
   例：本实验采用华为三台F100防火墙，和一台s3526交换机，实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部，实现fw1可以与fw2的内部网络互访，fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。
实验图：
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="437" src="https://img.jbzj.com/file_images/article/201207/2012070718020515.png" />
fw1 的配置：
<F1>langu chinese
Change language mode, confirm? y
% 改变到中文模式。
<F1>system-view
进入系统视图, 键入Ctrl+Z退回到用户视图.
配置ip
firewall zone trust
add interface Ethernet 0/4
接口已经加入到untrust安全区域了.
quit
firewall zone untrust
add interface Ethernet 0/1
接口已经加入到DMZ安全区域了.
quit
interface Ethernet0/4
ip add 192.168.10.1 24
interface Ethernet0/1
ip add 192.168.110.200 24

%2012/3/29 19:26:47:341 F1 IFNET/4/UPDOWN:链路协议在接口Ethernet0/1上状态变为UP
quit
     默认路由：
ip route-static 0.0.0.0 0.0.0.0 192.168.110.1
    定义ACL实现对数据流的过滤
acl number 3000
rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.120.0 0.0.0.255
rule deny ip source any destination any
quit
acl number 3001
rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.130.0 0.0.0.255
rule deny ip source any destination any
quit
     配置安全提议：
ipsec proposal tran1        创建名为tran1的安全协议
encapsulation-mode tunnel       报文封装形式采用隧道模
transform esp         安全协议采用esp协议
esp encryption-algorithm des      选择加密算法
esp authentication-algorithm md5    认证算法
quit
ipsec proposal tran2           创建名为tran2的安全协议
encapsulation-mode tunnel      
transform esp                  
 esp encryption-algorithm des 
esp authentication-algorithm md5
quit
创建IKE Peer并进入IKE Peer视图：
ike local-name fw1     配置IKE协商时的本地ID
ike peer peer1
exchange-mode aggressive         配置IKE协商方式为野蛮模式
pre-shared-key simple 123456       配置预共享密钥
id-type name         配置对端ID类型
remote-name fw2         配置对端名称
quit
ike peer peer2             
exchange-mode aggressive   
pre-shared-key simple abcdef
id-type name               
remote-name fw3            
quit
    创建安全策略，协商方式为动态方式
ipsec poli policy1 10 isakmp
proposal tran1         引用安全提议
security acl 3000      引用访问列表               
ike-peer peer1
quit
ipsec poli policy1 20 isakmp
proposal tran2             
security acl 3001          
ike-peer peer2             
quit
     在接口上应用安全策略组:
interface Ethernet0/1
ipsec policy policy1
quit  
查看配置信息：
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; HEIGHT: 458px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" width="436" height="506" src="https://img.jbzj.com/file_images/article/201207/2012070718020516.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="582" src="https://img.jbzj.com/file_images/article/201207/2012070718020517.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="282" src="https://img.jbzj.com/file_images/article/201207/2012070718020518.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="wps_clip_image-30105" border="0" alt="wps_clip_image-30105" height="400" src="https://img.jbzj.com/file_images/article/201207/2012070718020519.png" />
fw2 的配置：
<F2>langu chin
Change language mode, confirm? y
% 改变到中文模式。
<F2>sys
<F2>system-view
进入系统视图, 键入Ctrl+Z退回到用户视图.
firewall zone trust
add interface Ethernet 0/4
quit
firewall zone untrust
add interface Ethernet 0/1
quit
inter Ethernet0/4
ip add 192.168.20.1 24
inter Ethernet0/1    
ip address dhcp-alloc     配置dhcp动态获取地址

%2012/3/29 19:48:16:393 F2 IFNET/4/UPDOWN:链路协议在接口Ethernet0/1上状态变为UP
quit
 ip route-static 0.0.0.0 0.0.0.0 192.168.120.1
acl number 3000
rule permit ip source 192.168.120.0 0.0.0.255 destination 192.168.110.0 0.0.0.255
rule deny ip source any destination any
quit
ipsec proposal tran1
encapsulation-mode tunnel
transform esp    
esp encryption-algorithm des 
esp authentication-algorithm md5
quit
ike local-name fw2
ike peer peer1
exchange-mode aggressive
pre-shared-key simple 123456
id-type name
remote-name fw1
quit
ipsec poli policy2 10 isakmp
proposal tran1
security acl 3000
ike-peer peer1
quit
inter Ethernet0/1
ipsec policy policy2
quit
查看配置信息：
 <img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="281" src="https://img.jbzj.com/file_images/article/201207/2012070718020520.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="393" src="https://img.jbzj.com/file_images/article/201207/2012070718020521.png" />
 <img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="156" src="https://img.jbzj.com/file_images/article/201207/2012070718020522.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="409" src="https://img.jbzj.com/file_images/article/201207/2012070718020523.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="wps_clip_image-30236" border="0" alt="wps_clip_image-30236" height="392" src="https://img.jbzj.com/file_images/article/201207/2012070718020524.png" />
fw3 的配置：
<F3>lang chin
Change language mode, confirm? y
% 改变到中文模式。
<F3>sys
<F3>system-view
进入系统视图, 键入Ctrl+Z退回到用户视图.
firewall zone trust
add interface Ethernet 0/4
quit
firewall zone untrust
add interface Ethernet 0/1
quit
inter Ethernet0/4
ip add 192.168.30.1 24
inter Ethernet0/1    
ip address dhcp-alloc

%2012/3/29 19:06:42:711 F3 IFNET/4/UPDOWN:链路协议在接口Ethernet0/1上状态变为UP
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.130.1
acl number 3000
rule permit ip source 192.168.130.0 0.0.0.255 destination 192.168.110.0 0.0.0.255
rule deny ip source any destination any
quit
ipsec proposal tran2
encapsulation-mode tunnel
transform esp
esp encryption-algorithm des
esp authentication-algorithm md5
quit
ike local-name fw3
ike peer peer2
exchange-mode aggressive
pre-shared-key simple abcdef
id-type name
remote-name fw1
quit
ipsec poli policy3 20 isakmp
proposal tran2
security acl 3001
ike-peer peer2
quit
inter Ethernet0/1
ipsec policy policy3
查看配置信息：
 <img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="291" src="https://img.jbzj.com/file_images/article/201207/2012070718020525.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="435" src="https://img.jbzj.com/file_images/article/201207/2012070718020526.png" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="wps_clip_image-30638" border="0" alt="wps_clip_image-30638" height="386" src="https://img.jbzj.com/file_images/article/201207/2012070718020527.png" />
Switch1 的配置：
<SW1>lang chin
Change language mode, confirm? y
% 改变到中文模式。
<SW1>system-view
进入系统视图, 键入Ctrl+Z退回到用户视图.
 划分vlan，并把他们加入接口：
vlan 10
port Ethernet0/1
vlan 20
port Ethernet0/5
vlan 30
port Ethernet0/3
inter
quit
  配置vlan地址：
interface Vlan-interface 10

%2012/3/29 20:13:12:150 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:
Vlan-interface10: link状态变为UP
ip add 192.168.110.1 255.255.255.0

%2012/3/29 20:13:36:503 SW1 IFNET/5/UPDOWN:
  链路协议在接口Vlan-interface10上状态变为UP
interface Vlan-interface 20      

%2012/3/29 20:13:45:493 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:
Vlan-interface20: link状态变为UP
ip add 192.168.120.1 255.255.255.0

%2012/3/29 20:13:55:184 SW1 IFNET/5/UPDOWN:
  链路协议在接口Vlan-interface20上状态变为UP
interface Vlan-interface 30      

%2012/3/29 20:14:02:434 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:
Vlan-interface30: link状态变为UP
ip add 192.168.130.1 255.255.255.0

%2012/3/29 20:14:12:405 SW1 IFNET/5/UPDOWN:
  链路协议在接口Vlan-interface30上状态变为UP
quit
  配置dhcp服务：
dhcp server ip-pool fw2
network 192.168.120.0 mask 255.255.255.0
quit
dhcp server ip-pool fw3
network 192.168.130.0 mask 255.255.255.0
quit
dhcp  enable     
DHCP任务已经启动!
查看配置信息：
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="157" src="https://img.jbzj.com/file_images/article/201207/2012070718020528.png" />
dis cu
#
sysname SW1
#
local-server nas-ip 127.0.0.1 key huawei
local-user user1
password simple 123                     
service-type telnet level 3
#
dhcp server ip-pool fw2
network 192.168.120.0 mask 255.255.255.0
#
dhcp server ip-pool fw3
network 192.168.130.0 mask 255.255.255.0
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
#
interface Vlan-interface10
ip address 192.168.110.1 255.255.255.0
#
interface Vlan-interface20               
ip address 192.168.120.1 255.255.255.0
#
interface Vlan-interface30
ip address 192.168.130.1 255.255.255.0
#
interface Aux0/0
#
interface Ethernet0/1
port access vlan 10
#
interface Ethernet0/2
#
interface Ethernet0/3
port access vlan 30
#
interface Ethernet0/4
#
interface Ethernet0/5
port access vlan 20
#
interface Ethernet0/6
#                                        
interface Ethernet0/7
#
return
测试：
PC1与PC2，PC3之间的ping访问：
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="Y]C8O3M~(1}G5F6GC8WIZ3N" border="0" alt="Y]C8O3M~(1}G5F6GC8WIZ3N" height="428" src="https://img.jbzj.com/file_images/article/201207/2012070718020529.jpg" />
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="~3BZRWW23ACV}7YN~_A}R8K" border="0" alt="~3BZRWW23ACV}7YN~_A}R8K" height="401" src="https://img.jbzj.com/file_images/article/201207/2012070718020530.jpg" />
PC2与PC1之间的ping访问：
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="wps_clip_image-31758" border="0" alt="wps_clip_image-31758" height="377" src="https://img.jbzj.com/file_images/article/201207/2012070718020531.png" />
PC3与PC1之间的ping访问：
<img style="PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; VERTICAL-ALIGN: top; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px" title="image" border="0" alt="image" height="410" src="https://img.jbzj.com/file_images/article/201207/2012070718020532.png" />

頁: [1]

琼殿技术论坛's Archiver

IPSEC野蛮模式的详细介绍(图文教程)