发布时间 : 星期五 文章IKEV2更新内容更新完毕开始阅读5d477055011ca300a6c390b7
SEC IE V4新版 IKEV2 FlexVPN 1,IKEV2理论: 第一部分,IKEV2理论: flexvpn简介:
cisco的基于IKE V2的vpn,包含了,站点到站点,remote-access,hub-spoke到spoke-spoke 优点:统一的CLI命令行
统一的架构:使用IOS点对点隧道接口
统一的特性:很多特性都可以再技术间互用
关键特性:AAA,config-mode动态路由协议,IPV6 使用默认策略,配置更加简单 符合IKEV2标准
能够很好的和非cisco设备兼容 易于学习和管理 IKEV2简介:
RFC5996最新的RFC 1,不兼容IKEV1,
2,暂时还没有被广泛使用 相同的技术架构提供 1,私密性 2,完整性 3,源认证
运用在UDP500/UDP4500 IKEV2 RFC5996:
在一个RFC里边介绍了所有特性的工作原理 MM和AM被替换为initial exchange QM被替换为CREATE_CHILD_SA
IKEV2 开放的结束,多少个包都有可能 第一个IPSEC SA最少4个包
认证:数字签名,预共享密钥,EAP(支持) Anti-DOS:抵御DOS攻击
IKE rekey:IKE密钥更新无需重新认证 Notifies:通告需要确认 IKEV2包交换简介:
SA初始化:协商认证参数
第二对交换:认证并且产生一个CHILD_SA 第三对交换:创建第二个CHILD_SA SA初始化的第一个包:
1,发起方提供基本的SA(安全关联)参数,和密钥交换材料 2,等同于IKEV1的MM1和MM3两个包 3,HDR:表示IKE头部
4,SAI:发起方提交的密钥学算法
5,KEi:发起方密钥交换材料(使用最高优先级的DH组) 6,Ni:发起方随机数
接收方回应的包:
1,响应方发回一个可以接受的参数,并且附上密钥交换材料和可选的证书请求
2,等同于IKEV1的MM2和MM4包 3,HDR:IKE头部
4,SAr:被响应方选择的密码学算法 5,KEr:响应方密钥交换材料 6,NR:响应方随机数
7,CertReq:证书请求(可选)
一二个包做第一阶段的策略协商,和DH密钥交换 IKE认证:
1,与穿件child SA相关的认证材料和参数 等同于IKEV1的MM5和QM的第一部分 2,SK:负载被加密并完整性保护 3,IDi;发起方ID
4,Cert:发起方证书(可选) 5,CertReq:证书请求(可选) 6,IDr:期望的响应者ID(选项)
7,AUTH:发起方的认证数据(如果发起方使用EAP认证,这个字段就不存在)
8,转换集和流量选择器(感兴趣流)
information exchanges 1,用户日常事务管理 删除通告 活动性价差 初始化联系
故障报告(各种通告,例如:在kei中的DH组不可接受)
必须确认,将会重传,直到放弃,被安全保护的,仅仅在initial exchange之后 用于configuration exchange,类似于IKEV1的mode-config EAP:
1,使用EAP替代X-AUTH
2,EAP认证框架,提供了多种认证方式 3,隧道级EAP_TLS,EAP/PSK,EAP-PEAP 4,无隧道(推荐):EAP-MS-CHAPV2,EAP-GTC,EAP-MD5 5,作为IKE-AUTH交换的一种增强 6,仅仅用于让响应放认证发起方 7,响应方必须使用证书认证 8,会适当增加包数量(12-16)
第二部分:2.1标准IOS vs ASA crypto MAP ASA不能做隧道级VPN 实验拓扑:
IOS:配置IKEV2 policy (可选) Branch上配置:
crypto ikev2 proposal yeslab-IKEV2-Proposal encryption 3des aes-cbc-256 integrity sha256 sha512 group 2 5 14
策略是排列组合:
crypto ikev2 policy yeslab-IKEV2-Policy proposal yeslab-IKEV2-Proposal 查看默认的策略:
配置预共享密钥:
crypto ikev2 keyring yeslab-keyring peer Center-ASA (名字只是一个标示) address 61.128.1.1
pre-shared-key yeslab-pre-key 配置ikev2 profile:
crypto ikev2 profile yeslab-ikev2-profile
match identity remote address 61.128.1.1 255.255.255.255 identity local address 202.100.1.1 authentication remote pre-share authentication local pre-share
keyring local yeslab-keyring 配置转换集:(可以配置多个)
crypto ipsec transform-set trans esp-des esp-md5-hmac mode tunnel
crypto ipsec transform-set trans2 esp-3des esp-sha256-hmac mode tunnel (默认是隧道级) 查看默认transform:
配置感兴趣流:
ip access-list extended yeslab-vpn-traffic
permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 配置crypto map:
crypto map yeslab-crypto-map 10 ipsec-isakmp set peer 61.128.1.1
set transform-set trans trans2
set ikev2-profile yeslab-ikev2-profile match address yeslab-vpn-traffic 在接口上调用:
interface FastEthernet0/0
ip address 202.100.1.1 255.255.255.0 crypto map yeslab-crypto-map 在防火墙上的配置:
在outside接口激活IKEV2 crypto ikev2 enable outside 配置ikev2 policy: crypto ikev2 policy 10 encryption aes-256 des integrity sha256 sha group 2 1
prf sha256 sha
lifetime seconds 86400 配置tunnel-group:
tunnel-group 202.100.1.1 type ipsec-l2l tunnel-group 202.100.1.1 ipsec-attributes
ikev2 remote-authentication pre-shared-key yeslab-pre-key