IPSEC野蠻模式簡(jiǎn)介：

IKE 的協(xié)商模式

在RFC2409（The Internet Key Exchange ）中規(guī)定，IKE 第一階段的協(xié)商可以采用兩種模式：主模式（Main Mode ）和野蠻模式（Aggressive Mode ）。

主模式被設(shè)計(jì)成將密鑰交換信息與身份、認(rèn)證信息相分離。這種分離保護(hù)了身份信息；交換的身份信息受已生成的 Diffie-Hellman共享密鑰的保護(hù)。但這增加了3 條消息的開(kāi)銷。

野蠻模式則允許同時(shí)傳送與SA、密鑰交換和認(rèn)證相關(guān)的載荷。將這些載荷組合到一條消息中減少了消息的往返次數(shù)，但是就無(wú)法提供身份保護(hù)了。雖然野蠻模式存在一些功能限制，但可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求。例如：遠(yuǎn)程訪問(wèn)時(shí)，如果響應(yīng)者（服務(wù)器端）無(wú)法預(yù)先知道發(fā)起者（終端用戶）的地址、或者發(fā)起者的地址總在變化，而雙方都希望采用預(yù)共享密鑰驗(yàn)證方法來(lái)創(chuàng)建IKE SA，那么，不進(jìn)行身份保護(hù)的野蠻模式就是唯一可行的交換方法；另外，如果發(fā)起者已知響應(yīng)者的策略，或者對(duì)響應(yīng)者

野蠻模式的作用：

對(duì)于兩端IP地址不是固定的情況（如ADSL撥號(hào)上網(wǎng)），并且雙方都希望采用預(yù)共享密鑰驗(yàn)證方法來(lái)創(chuàng)建IKE SA，就需要采用野蠻模式。另外如果發(fā)起者已知回應(yīng)者的策略，采用野蠻模式也能夠更快地創(chuàng)建IKE SA。

ipsec下兩種模式的區(qū)別：

1、野蠻模式協(xié)商比主模式協(xié)商更快。主模式需要交互6個(gè)消息，野蠻模式只需要交互3個(gè)消息。

2、主模式協(xié)商比野蠻模式協(xié)商更嚴(yán)謹(jǐn)、更安全。因?yàn)橹髂Ｊ皆?、6個(gè)消息中對(duì)ID信息進(jìn)行了加密。而野蠻模式由于受到交換次數(shù)的限制，ID信息在1、2個(gè)消息中以明文的方式發(fā)送給對(duì)端。即主模式對(duì)對(duì)端身份進(jìn)行了保護(hù)，而野蠻模式則沒(méi)有。

3、兩種模式在確定預(yù)共享密鑰的方式不同。主模式只能基于IP地址來(lái)確定預(yù)共享密鑰。而積極模式是基于ID信息（主機(jī)名和IP地址）來(lái)確定預(yù)共享密鑰。

野蠻模式的必要性：

兩邊都是主機(jī)名的時(shí)候，就一定要用野蠻模式來(lái)協(xié)商，如果用主模式的話，就會(huì)出現(xiàn)根據(jù)源IP地址找不到預(yù)共享密鑰的情況，以至于不能生成SKEYID。

1、因?yàn)橹髂Ｊ皆诮粨Q完3、4消息以后，需要使用預(yù)共享密鑰來(lái)計(jì)算SKEYID，但是由于雙方的ID信息在消息5、6中才會(huì)被發(fā)送，此時(shí)主模式的設(shè)備只能使用消息3、4中的源IP地址來(lái)找到與其對(duì)應(yīng)的預(yù)共享密鑰；如果主模式采用主機(jī)名方式，主機(jī)名信息卻包含在消息5、6中，而IPSEC雙方又必須在消息5、6之前找到其相應(yīng)的預(yù)共享密鑰，所以就造成了矛盾。

2、在野蠻模式中，ID信息（IP地址或者主機(jī)名）在消息1、2中就已經(jīng)發(fā)送了，對(duì)方可以根據(jù)ID信息查找到對(duì)應(yīng)的預(yù)共享密鑰，從而計(jì)算出SKEYID。

案例

例：本實(shí)驗(yàn)采用華為三臺(tái)F100防火墻，和一臺(tái)s3526交換機(jī)，實(shí)現(xiàn)ipsec野蠻模式下的vpn通道的建立。Fw1是總部，實(shí)現(xiàn)fw1可以與fw2的內(nèi)部網(wǎng)絡(luò)互訪，fw1和fw3的內(nèi)部網(wǎng)絡(luò)互訪。fw2和fw3通過(guò)DHCP服務(wù)器動(dòng)態(tài)獲取地址。

實(shí)驗(yàn)圖：

fw1 的配置：

<F1>langu chinese

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<F1>system-view

進(jìn)入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

配置ip

[F1]firewall zone trust

[F1-zone-trust]add interface Ethernet 0/4

接口已經(jīng)加入到untrust安全區(qū)域了.

[F1-zone-trust]quit

[F1]firewall zone untrust

[F1-zone-untrust]add interface Ethernet 0/1

接口已經(jīng)加入到DMZ安全區(qū)域了.

[F1-zone-untrust]quit

[F1]interface Ethernet0/4

[F1-Ethernet0/4]ip add 192.168.10.1 24

[F1-Ethernet0/4]interface Ethernet0/1

[F1-Ethernet0/1]ip add 192.168.110.200 24

[F1-Ethernet0/1]

%2012/3/29 19:26:47:341 F1 IFNET/4/UPDOWN:鏈路協(xié)議在接口Ethernet0/1上狀態(tài)變?yōu)閁P

[F1-Ethernet0/1]quit

默認(rèn)路由：

[F1]ip route-static 0.0.0.0 0.0.0.0 192.168.110.1

定義ACL實(shí)現(xiàn)對(duì)數(shù)據(jù)流的過(guò)濾

[F1]acl number 3000

[F1-acl-adv-3000]rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.120.0 0.0.0.255

[F1-acl-adv-3000]rule deny ip source any destination any

[F1-acl-adv-3000]quit

[F1]acl number 3001

[F1-acl-adv-3001]rule permit ip source 192.168.110.0 0.0.0.255 destination 192.168.130.0 0.0.0.255

[F1-acl-adv-3001]rule deny ip source any destination any

[F1-acl-adv-3001]quit

配置安全提議：

[F1]ipsec proposal tran1 創(chuàng)建名為tran1的安全協(xié)議

[F1-ipsec-proposal-tran1]encapsulation-mode tunnel 報(bào)文封裝形式采用隧道模

[F1-ipsec-proposal-tran1]transform esp 安全協(xié)議采用esp協(xié)議

[F1-ipsec-proposal-tran1]esp encryption-algorithm des 選擇加密算法

[F1-ipsec-proposal-tran1]esp authentication-algorithm md5 認(rèn)證算法

[F1-ipsec-proposal-tran1]quit

[F1]ipsec proposal tran2 創(chuàng)建名為tran2的安全協(xié)議

[F1-ipsec-proposal-tran2]encapsulation-mode tunnel

[F1-ipsec-proposal-tran2]transform esp

[F1-ipsec-proposal-tran2] esp encryption-algorithm des

[F1-ipsec-proposal-tran2]esp authentication-algorithm md5

[F1-ipsec-proposal-tran2]quit

創(chuàng)建IKE Peer并進(jìn)入IKE Peer視圖：

[F1]ike local-name fw1 配置IKE協(xié)商時(shí)的本地ID

[F1]ike peer peer1

[F1-ike-peer-peer1]exchange-mode aggressive 配置IKE協(xié)商方式為野蠻模式

[F1-ike-peer-peer1]pre-shared-key simple 123456 配置預(yù)共享密鑰

[F1-ike-peer-peer1]id-type name 配置對(duì)端ID類型

[F1-ike-peer-peer1]remote-name fw2 配置對(duì)端名稱

[F1-ike-peer-peer1]quit

[F1]ike peer peer2

[F1-ike-peer-peer2]exchange-mode aggressive

[F1-ike-peer-peer2]pre-shared-key simple abcdef

[F1-ike-peer-peer2]id-type name

[F1-ike-peer-peer2]remote-name fw3

[F1-ike-peer-peer2]quit

創(chuàng)建安全策略，協(xié)商方式為動(dòng)態(tài)方式

[F1]ipsec poli policy1 10 isakmp

[F1-ipsec-policy-isakmp-policy1-10]proposal tran1 引用安全提議

[F1-ipsec-policy-isakmp-policy1-10]security acl 3000 引用訪問(wèn)列表

[F1-ipsec-policy-isakmp-policy1-10]ike-peer peer1

[F1-ipsec-policy-isakmp-policy1-10]quit

[F1]ipsec poli policy1 20 isakmp

[F1-ipsec-policy-isakmp-policy1-20]proposal tran2

[F1-ipsec-policy-isakmp-policy1-20]security acl 3001

[F1-ipsec-policy-isakmp-policy1-20]ike-peer peer2

[F1-ipsec-policy-isakmp-policy1-20]quit

在接口上應(yīng)用安全策略組:

[F1]interface Ethernet0/1

[F1-Ethernet0/1]ipsec policy policy1

[F1-Ethernet0/1]quit

查看配置信息：

fw2 的配置：

<F2>langu chin

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<F2>sys

<F2>system-view

進(jìn)入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

[F2]firewall zone trust

[F2-zone-trust]add interface Ethernet 0/4

[F2-zone-trust]quit

[F2]firewall zone untrust

[F2-zone-untrust]add interface Ethernet 0/1

[F2-zone-untrust]quit

[F2]inter Ethernet0/4

[F2-Ethernet0/4]ip add 192.168.20.1 24

[F2-Ethernet0/4]inter Ethernet0/1

[F2-Ethernet0/1]ip address dhcp-alloc 配置dhcp動(dòng)態(tài)獲取地址

[F2-Ethernet0/1]

%2012/3/29 19:48:16:393 F2 IFNET/4/UPDOWN:鏈路協(xié)議在接口Ethernet0/1上狀態(tài)變?yōu)閁P

[F2-Ethernet0/1]quit

[F2] ip route-static 0.0.0.0 0.0.0.0 192.168.120.1

[F2]acl number 3000

[F2-acl-adv-3000]rule permit ip source 192.168.120.0 0.0.0.255 destination 192.168.110.0 0.0.0.255

[F2-acl-adv-3000]rule deny ip source any destination any

[F2-acl-adv-3000]quit

[F2]ipsec proposal tran1

[F2-ipsec-proposal-tran1]encapsulation-mode tunnel

[F2-ipsec-proposal-tran1]transform esp

[F2-ipsec-proposal-tran1]esp encryption-algorithm des

[F2-ipsec-proposal-tran1]esp authentication-algorithm md5

[F2-ipsec-proposal-tran1]quit

[F2]ike local-name fw2

[F2]ike peer peer1

[F2-ike-peer-peer1]exchange-mode aggressive

[F2-ike-peer-peer1]pre-shared-key simple 123456

[F2-ike-peer-peer1]id-type name

[F2-ike-peer-peer1]remote-name fw1

[F2-ike-peer-peer1]quit

[F2]ipsec poli policy2 10 isakmp

[F2-ipsec-policy-isakmp-policy2-10]proposal tran1

[F2-ipsec-policy-isakmp-policy2-10]security acl 3000

[F2-ipsec-policy-isakmp-policy2-10]ike-peer peer1

[F2-ipsec-policy-isakmp-policy2-10]quit

[F2]inter Ethernet0/1

[F2-Ethernet0/1]ipsec policy policy2

[F2-Ethernet0/1]quit

查看配置信息：

fw3 的配置：

<F3>lang chin

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<F3>sys

<F3>system-view

進(jìn)入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

[F3]firewall zone trust

[F3-zone-trust]add interface Ethernet 0/4

[F3-zone-trust]quit

[F3]firewall zone untrust

[F3-zone-untrust]add interface Ethernet 0/1

[F3-zone-untrust]quit

[F3]inter Ethernet0/4

[F3-Ethernet0/4]ip add 192.168.30.1 24

[F3-Ethernet0/4]inter Ethernet0/1

[F3-Ethernet0/1]ip address dhcp-alloc

[F3-Ethernet0/1]

%2012/3/29 19:06:42:711 F3 IFNET/4/UPDOWN:鏈路協(xié)議在接口Ethernet0/1上狀態(tài)變?yōu)閁P

[F3-Ethernet0/1]quit

[F3]ip route-static 0.0.0.0 0.0.0.0 192.168.130.1

[F3]acl number 3000

[F3-acl-adv-3000]rule permit ip source 192.168.130.0 0.0.0.255 destination 192.168.110.0 0.0.0.255

[F3-acl-adv-3000]rule deny ip source any destination any

[F3-acl-adv-3000]quit

[F3]ipsec proposal tran2

[F3-ipsec-proposal-tran2]encapsulation-mode tunnel

[F3-ipsec-proposal-tran2]transform esp

[F3-ipsec-proposal-tran2]esp encryption-algorithm des

[F3-ipsec-proposal-tran2]esp authentication-algorithm md5

[F3-ipsec-proposal-tran2]quit

[F3]ike local-name fw3

[F3]ike peer peer2

[F3-ike-peer-peer2]exchange-mode aggressive

[F3-ike-peer-peer2]pre-shared-key simple abcdef

[F3-ike-peer-peer2]id-type name

[F3-ike-peer-peer2]remote-name fw1

[F3-ike-peer-peer2]quit

[F3]ipsec poli policy3 20 isakmp

[F3-ipsec-policy-isakmp-policy3-20]proposal tran2

[F3-ipsec-policy-isakmp-policy3-20]security acl 3001

[F3-ipsec-policy-isakmp-policy3-20]ike-peer peer2

[F3-ipsec-policy-isakmp-policy3-20]quit

[F3]inter Ethernet0/1

[F3-Ethernet0/1]ipsec policy policy3

查看配置信息：

Switch1 的配置：

<SW1>lang chin

Change language mode, confirm? [Y/N]y

% 改變到中文模式。

<SW1>system-view

進(jìn)入系統(tǒng)視圖, 鍵入Ctrl+Z退回到用戶視圖.

劃分vlan，并把他們加入接口：

[SW1]vlan 10

[SW1-vlan10]port Ethernet0/1

[SW1-vlan10]vlan 20

[SW1-vlan20]port Ethernet0/5

[SW1-vlan20]vlan 30

[SW1-vlan30]port Ethernet0/3

[SW1-vlan30]inter

[SW1-vlan30]quit

配置vlan地址：

[SW1]interface Vlan-interface 10

[SW1-Vlan-interface10]

%2012/3/29 20:13:12:150 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:

Vlan-interface10: link狀態(tài)變?yōu)閁P

[SW1-Vlan-interface10]ip add 192.168.110.1 255.255.255.0

[SW1-Vlan-interface10]

%2012/3/29 20:13:36:503 SW1 IFNET/5/UPDOWN:

鏈路協(xié)議在接口Vlan-interface10上狀態(tài)變?yōu)閁P

[SW1-Vlan-interface10]interface Vlan-interface 20

[SW1-Vlan-interface20]

%2012/3/29 20:13:45:493 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:

Vlan-interface20: link狀態(tài)變?yōu)閁P

[SW1-Vlan-interface20]ip add 192.168.120.1 255.255.255.0

[SW1-Vlan-interface20]

%2012/3/29 20:13:55:184 SW1 IFNET/5/UPDOWN:

鏈路協(xié)議在接口Vlan-interface20上狀態(tài)變?yōu)閁P

[SW1-Vlan-interface20]interface Vlan-interface 30

[SW1-Vlan-interface30]

%2012/3/29 20:14:02:434 SW1 L2INF/5/VLANIF LINK STATUS CHANGE:

Vlan-interface30: link狀態(tài)變?yōu)閁P

[SW1-Vlan-interface30]ip add 192.168.130.1 255.255.255.0

[SW1-Vlan-interface30]

%2012/3/29 20:14:12:405 SW1 IFNET/5/UPDOWN:

鏈路協(xié)議在接口Vlan-interface30上狀態(tài)變?yōu)閁P

[SW1-Vlan-interface30]quit

配置dhcp服務(wù)：

[SW1]dhcp server ip-pool fw2

[SW1-dhcp-fw2]network 192.168.120.0 mask 255.255.255.0

[SW1-dhcp-fw2]quit

[SW1]dhcp server ip-pool fw3

[SW1-dhcp-fw3]network 192.168.130.0 mask 255.255.255.0

[SW1-dhcp-fw3]quit

[SW1]dhcp enable

DHCP任務(wù)已經(jīng)啟動(dòng)!

查看配置信息：

[SW1]dis cu

#

sysname SW1

#

local-server nas-ip 127.0.0.1 key huawei

local-user user1

password simple 123

service-type telnet level 3

#

dhcp server ip-pool fw2

network 192.168.120.0 mask 255.255.255.0

#

dhcp server ip-pool fw3

network 192.168.130.0 mask 255.255.255.0

#

vlan 1

#

vlan 10

#

vlan 20

#

vlan 30

#

interface Vlan-interface10

ip address 192.168.110.1 255.255.255.0

#

interface Vlan-interface20

ip address 192.168.120.1 255.255.255.0

#

interface Vlan-interface30

ip address 192.168.130.1 255.255.255.0

#

interface Aux0/0

#

interface Ethernet0/1

port access vlan 10

#

interface Ethernet0/2

#

interface Ethernet0/3

port access vlan 30

#

interface Ethernet0/4

#

interface Ethernet0/5

port access vlan 20

#

interface Ethernet0/6

#

interface Ethernet0/7

#

return

測(cè)試：

PC1與PC2，PC3之間的ping訪問(wèn)：

PC2與PC1之間的ping訪問(wèn)：

PC3與PC1之間的ping訪問(wèn)：

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。