Technical documentation
发布日期:2022-07-19 浏览次数:2346 来源:杨广成
思科CCIE考试学习IKEv2解决方案FlexVPN(1)
关注WOLFLAB网络实验室,我们CCIE循环开班,联系客服预约免费试听
加客服微信,
可进入微信技术群
FlexVPN是思科的IKEv2解决方案,使用统一的配置方式和命令行完成:
(1)site-to-site
(2)remote access
(3)Hub-Spoke
(4)Partial meshes(spoke to spoke)
简化且模块化的使用tunnel接口配置VPN,并且保持了对于传统的crypto map兼容。
IKEv2
(1)RFC4306,下一代密钥管理协议
(2)作为IKEv1的增强
(3)执行双向认证来建立和管理安全关联
(4)与IKEv1一样,使用UDP500 (NAT-T UDP 4500)
IKEv2相对于IKEv1的变化:
(1)绝大部分v1的功能和特性在v2中都保留了,包括报文负载和Nonce机制
(2)v1的一些扩展特性直接纳入了v2中:
使用"configuration payload" (参照MODECFG)来完成地址分配;
使用"EAP"(参照X-AUTH)来完成认证功能
(3)NAT-D/NAT-T也直接纳入了v2中
(4)连续的协商过程,不再分成两个阶段
思科CCIE考试学习IKEv2工作过程:
一共6个消息:
(1)1,2个包用于协商认证参数
(2)3,4个包用于认证,并产生第一个“子SA”——理解成ISAKMP SA
(3)5,6个包用于产生第二个“子SA”——理解成IPSEC SA
(1)第一个包:
发起端提议基本协商参数(加密算法,散列算法等),并携带认证材料(DH公开值,Nonce值)
SAi1 , KEi , Ni
(2)第二个包
接收端返回一套被选择的协商参数,并携带认证材料
SAr1 , KEr , Nr
DH交换完成,就可以生成种子密钥,并产生三个KEY
SKEYIDd ,SKEYIDa ,SKEYIDe
从第三个包开始,Payload就被加密了
(3)第三个包
发送认证信息,并协商
(4)第四个包
发送认证信息,并协商
(5)第五个包
(6)第六个包
IKEv2的优势:
(1)内置DPD检测(不用写 crypto isakmp keepalive)
(2)内置支持NAT-T (不用写crypto ipsec nat-transparency udp-encapsulation)
(3)证书可以通过一个URL来获取,而不是包含在IKE消息里,以避免分片
(4)可有有效的防御DoS攻击(没有确定请求者之前不会发起请求,因为IKE是一个资源消耗的协议)
(5)支持EAP(扩展认证协议)
(6)多重加密引擎可以一个引擎同时处理IPv4和IPv6的流量(IKEv1得写两个crypto map一个处理IPv4,另一个处理IPv6流量)
(7)提供可靠性和状态管理机制,基于Seq和Ack提供可靠性,还有一个强制的错误处理算法和共享状态管理机制。
IKEv2命令行四大组件:
1. IKEv2 Proposal (提议)
一系列用于协商SA的参数集合
(1)加密算法
(2)完整性算法
(3)伪随机函数算法(用于HMAC)
(4)DH组
2. IKEv2 Policy
指定用来协商的Proposal
这两部分都有缺省值,可以满足绝大多数场合的需要,因此可以不配(Smart Default)
必须强制配置的:
3. IKEv2 Keyring
存放对称密钥(预共享密钥)和非对称密钥(证书),被IKEv2 Profile调用
注意IKEv2的keyring和v1的各自独立,互不通用
4. IKEv2 Profile
存放IKE SA不可协商参数的容器,主要包含:本地标识、对端标识、认证模式,为已认证对端提供的服务。
必须调用到crypto map或IPSec Profile。
响应端可以不配,但就只能单向发起。
IKEv2 SmartDefaults
(1)帮助简化FlexVPN的配置
(2)能覆盖大多数应用场景
(3)show XXXX default , show run all 都可以看到
所有的FlexVPN,目前都只能在Web-IOU上做,GNS的7200/3700/3600均不支持。
Web-IOU实验台的使用方法,见 《SEC_RACK_Video.7z》视频教程
如果无法打开页面:
rm -rf /etc/udev/rules.d/70-persistent-net.rules
实验一、 Lan2Lan VPN(路由器---路由器):
篇幅有限,完整文档可向WOLFLAB网站客服领取
思科CCIE考试学习可联系WOLFLAB咨询