随着Internet网在世界的普及，保障IP传输的安全性成为一个突出的问题，针对这一问题，MP2600系列路由器采用了IPSec的解决方式。IPSec是由Internet工程任务组（IETF）开发的开放标准框架，主要在网络层起作用，对参与IPSec的设备（即对等设备）之间传输的数据流进行保护和认证。通过IPSec可以"无缝"地为IP引入安全特性，并为数据源提供身份验证、数据完整性及机密性保证，从而防范数据受到来历不明的攻击。IKE为IPSec提供了一种可靠的密钥协商标准，通过自动对IPSec会话密钥进行定时更新，从而大大降低了从密钥上进行攻击的可能性。

MP2600系列提供的安全服务包括：



数据机密性--IPSec发送方在通过网络传输包前使用会话密钥对包进行加密。

数据完整性--IPSec接收方对发送方发来的数据进行认证，以确保数据在传送过程中没有被篡改。

数据来源认证--IPSec接收方对IPSec包的源地址和身份进行认证。

反重放--IPSec接收方可以检测和拒绝被重放的包。

抗抵赖--通过IKE签名可以有效地证明数据来源，从而避免了抵赖行为。

组建VPN--通过建立安全隧道，IPSec可以实现组建VPN（虚拟专用网络）。

PFS--IKE可以支持完美向前保密（PFS），即下一次密钥与上一次无关，这样即使破获了一次通信的数据，也不能由此而破获下一次的数据。

支持传送和隧道两种模式 
迈普路由器支持的标准协议：



AH--校验头。一种提供数据认证服务和可选的反重放服务的安全协议。AH嵌入在要被保护的数据（自寻址IP数据报）中。


ESP--封装安全载荷。一种提供数据安全服务和可选的数据认证服务、以及反重放服务的安全协议。ESP对要被保护的数据进行封装。


IKE--Internet密钥交换安全协议。一种密钥管理协议标准，用来和IPSec标准结合使用，为IPSec建立安全联盟并提供灵活的、安全的密钥交换管理功能，从而简化IPSec的密钥配置，提高IPSec的安全性。IKE是一种混合协议，它建立在由Internet安全联盟和密钥管理协议(ISAKMP)定义的一个框架上，同时它还实现了两种密钥管理协议的一部分(Oakley和SKEME)。此外，IKE还定义了它自已的两种密钥交换模式。IKE可以采用多种协商方式 ，包括预共享密钥，RSA签名等。 
迈普路由器采用的算法
加密算法：


散列算法： 



注：算法时间相对于50M专用RISC技术的CPU。 
公钥算法：


Diffie-Hellman：利用DH技术，可在一个不保密的、不受信任的通信信道上建产一个安全的共享秘密的会话。

RSA：基于因数分解原理，特性是生成一对密钥，用来进行加密或签名。

迈普路由器术语列表

反重放--一种安全性服务，使得接收者可以拒绝接受过时包或包拷贝，以保护自己不被攻击。


数据认证--包括两个概念：


数据完整性（检查数据是否被修改过）。


数据来源认证（检查数据是否真的是由声称的发送者发送的）。


数据机密性-- 一种保护数据不被窥探的安全性协议。


数据流--即成组的通信，由一个由源地址/掩码、目标地址/掩码、IP的下一个协议域、源和目标端口组成的联合体所标识。


安全联盟 -- 一个IPSec安全联盟（SA）描述了两个或多个实体在某一特定安全协议（AH或ESP）环境下，为了保护某个特定的数据流，将如何使用安全服务来进行安全通信。它包括了用于保护通信的共享安全密钥和变换等内容。安全联盟是单向的，并对每种安全性协议唯一。所以一旦为IPSec建立了安全联盟，两个方向的安全联盟（对于每个协议）将同时被建立。


安全参数索引（SPI）--这是一个编号。它和一个目的IP地址、一个安全性协议一起，唯一地标识了一个特定的安全联盟。


变换-- 一个变换列出了一个安全协议（AH或ESP）以及它相应的算法。例如，一个变换列出了AH协议和HMAC-MD5认证算法；另一个变化列出了ESP协议和56位DES加密算法、HMAC-SHA认证算法。
隧道--指两个同位体（例如两个路由器）之间的一条安全通信路径。 

典型使用模式


 

两台MP2600之间无需用专线连接，通过IPSec对数据进行安全处理，利用公共传输网络进行数据地安全传输，获得与专用网络相同的效果，形成虚拟专用网（VPN）。  



利用IPSec构成从低端到高端的安全通道，在此通道上的数据由IPSec提供安全保证。

迈普路由器IPSec配置示例  


用户需求：
路由器A通过以太网口f0与121网段相连，f0地址为121.255.255.162。
路由器B通过以太网口f0与128网段相连, f0地址为128.255.255.161。
两台路由器走广域网，通过S2口 用PPP协议相连，设置为异步模式。路由器A的s2口地址为1.1.1.2 ,路由器B的s2口地址为1.1.1.1。
对从121.255.0.0网段到128.255.0.0网段的全部协议类型的数据流进行加密处理。 
在路由器A上的配置为：
router>en 
router#conf n 
router(config)#int f0 
router(config-if)#ip addr 121.255.255.162 255.255.0.0
router(config-if)#exit
router(config)#int s2
配置接口s2的IP地址和链路层协议，使用IPSec 时链路层协议可随意指定。

router(config-if)#phy asyn
router(config-if)#encap ppp
router(config-if)#ip addr 1.1.1.2 255.255.255.255
router(config-if)#exit
配置一个访问列表用来指定用户想对哪些数据流进行IPSec处理。下例中指定的是所有协议，也可以单独指定为TCP或UDP等。

router(config)#acc 1001 per 255 121.255.255.162 0.0.255.255 128.255.255.161 0.0.255.255
配置对数据流进行什么样的安全保护，其中加密算法用来对数据加密，保证数据在线路上是不可识别的，鉴别算法（md5,sha1…）用来保证数据的完整性，保证数据在传输过程中没有被别人修改过。

配置变换集合：
router(config)#cry ip tr test esp-des esp-md5-hmac
router(cfg-crypto-trans)#mo tu 
指定采用隧道模式，对于安全隧道端地址不等于数据流端地址的情况，必须用隧道模式。对于用户而言，一般不会用到传送模式。此命令可选，默认为遂道模式
router(cfg-crypto-trans)#i s 8 
router(cfg-crypto-trans)#exit

配置加密映射条目
router(config)#cry map map1 1 ips
router(cfg-crypto-map)#set peer 1.1.1.1 指定隧道另一端的地址。
router(cfg-crypto-map)#set tr test 指定采用的转码集合
router(cfg-crypto-map)#match addr 1001 指定数据流
设置密码和SPI（安全参数索引值），应和对端路由器的配置相应，详见使用手册。
router(cfg-crypto-map)#set ses i esp 1001 c 1234567812345678 a 1234567812345678
router(cfg-crypto-map)#set ses o esp 1001 c 1234567812345678 a 1234567812345678
router(cfg-crypto-map)#exit

将配置应用到接口上，此操作指定了隧道的本端地址
router(config)#int s2
router(config-if)#cry map map1
router(config-if)#exit

使配置生效。
router(config)#cle cry sa

配置默认路由
router(config)#ip route 0.0.0.0 0.0.0.0 s2
router(config)#exit

在路由器B上的配置为：
router>en
router#conf n
router(config)#int f0
router(config-if)#ip addr 128.255.255.161 255.255.0.0
router(config-if)#exit
router(config)#int s2
router(config-if)#ip addr 1.1.1.1 255.255.255.255
router(config-if)#phy asyn
router(config-if)#encap ppp
router(config-if)#exit
router(config)#acc 1001 per 255 128.255.255.161 0.0.255.255 121.255.255.162 0.0.255.255
router(config)#cry ip tr test esp-des esp-md5-hmac
router(cfg-crypto-trans)#mo tu
router(cfg-crypto-trans)#i s 8
router(cfg-crypto-trans)#exit
router(config)#cry map map1 1 ips
router(cfg-crypto-map)#set peer 1.1.1.2
router(cfg-crypto-map)#set tr test
router(cfg-crypto-map)#match ad 1001
router(cfg-crypto-map)#set ses i esp 1001 c 1234567812345678 a 1234567812345678
router(cfg-crypto-map)#set ses o esp 1001 c 1234567812345678 a 1234567812345678
router(cfg-crypto-map)#exit
router(config)#int s2
router(config-if)#cry map map1
router(config-if)#exit
router(config)#cle cry sa
router(config)#ip route 0.0.0.0 0.0.0.0 s2
router(config)#exit

在路由器B上运行上述同的显示信息命令可以查看配置结果。

说明：

以上典型配置有很多已经是厂商停产产品，但是，不少设备往往还有运行，关于该设备的配置或者方案优化，你可以联系蓝盟，我们的资深工程师会给你意外的惊喜！上海蓝盟网络技术有限公司于2002年成立，业务涵盖IT外包、电脑维护、网络维护、网管外包、驻场服务、人员派驻、应急支持、系统集成、网络搬迁、网络升级、数据备份、综合布线、电脑维修、计算机维护、计算机维修，网络改造、网络整理、网络调试、局域网组建、 应急上门、数据恢复、网络咨询、服务管理、运维咨询、ITIL培训、ITSS咨询等，拥有近200名工程师，正在为近500家客户提供“一站式” 的IT外包服务。网址：www.lanmon.com  www.lanmon.net  官方微博：http://weibo.com/lanmon2012  咨询电话：4008200159 蓝色学苑：www.bluestudy.net

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 迈普路由器NAT基本功能

• 分享到：