高級(jí)路由技術(shù)網(wǎng)絡(luò)系統(tǒng)建設(shè)課件-第10章 網(wǎng)絡(luò)系統(tǒng)安全

第10章網(wǎng)絡(luò)系統(tǒng)安全學(xué)習(xí)目標(biāo)和素質(zhì)目標(biāo)理解交換機(jī)接口安全的原理和掌握防MAC泛洪攻擊的配置理解DHCPSnooping的原理和掌握防DHCP欺騙的配置理解動(dòng)態(tài)ARP檢測(cè)的原理和掌握防ARP欺騙的配置理解防IP源地址欺騙的原理掌握防IP源地址欺騙的配置理解IPSecVPN的概念和原理和掌握IPSecVPN的配置。培養(yǎng)愛(ài)國(guó)情懷和工匠精神。培養(yǎng)學(xué)生的網(wǎng)絡(luò)安全意識(shí)。提高學(xué)生的靈活應(yīng)變能力。10.1以太網(wǎng)安全以太網(wǎng)主要是由交換機(jī)組成，要保證以太網(wǎng)的安全就需要在交換機(jī)上做必要的安全措施，這些措施包含（但不僅限于）：接口安全、防DHCP欺騙、ARP安全、防IP源欺騙，這些措施將在本小節(jié)介紹。除此還有防止STP、VRRP、路由協(xié)議被攻擊的措施，這些措施已經(jīng)在相關(guān)章節(jié)介紹，不在本節(jié)介紹。10.1.1交換機(jī)的接口安全MAC泛洪攻擊原理黑客在STA3上，發(fā)送具有虛假源MAC地址的幀（即：不是STA3的真實(shí)MAC），每發(fā)送一個(gè)幀，源MAC改變一次，MAC表就會(huì)多一條記錄，如此反復(fù)直到交換機(jī)MAC地址表爆滿，交換機(jī)就無(wú)法再學(xué)習(xí)新的MAC記錄。圖中交換機(jī)的MAC表爆滿后，STA4開機(jī)，交換機(jī)將無(wú)法學(xué)習(xí)STA4在哪個(gè)接口。交換機(jī)進(jìn)入稱為“失效開放”的模式，開始像集線器一樣工作，將要發(fā)往STA4的數(shù)據(jù)幀從除了源端口外的全部接口泛洪出去。10.1.1交換機(jī)的接口安全通過(guò)在交換機(jī)的特定接口上部署端口安全，可以限制接口的MAC地址學(xué)習(xí)數(shù)量，并且配置出現(xiàn)越限時(shí)的懲罰措施。安全MAC地址通常與安全保護(hù)動(dòng)作結(jié)合使用，常見(jiàn)的安全保護(hù)動(dòng)作有：Restrict：丟棄源MAC地址不存在的報(bào)文并上報(bào)告警。Protect：只丟棄源MAC地址不存在的報(bào)文，不上報(bào)告警。Shutdown：接口狀態(tài)被置為error-down，并上報(bào)告警。類型定義特點(diǎn)安全動(dòng)態(tài)MAC地址使能端口安全而未使能StickyMAC功能時(shí)轉(zhuǎn)換的MAC地址。設(shè)備重啟后表項(xiàng)會(huì)丟失，需要重新學(xué)習(xí)。缺省情況下不會(huì)被老化，只有在配置安全MAC的老化時(shí)間后才可以被老化。安全靜態(tài)MAC地址使能端口安全時(shí)手工配置的靜態(tài)MAC地址。不會(huì)被老化，手動(dòng)保存配置后重啟設(shè)備不會(huì)丟失。StickyMAC地址使能端口安全后又同時(shí)使能StickyMAC功能后轉(zhuǎn)換到的MAC地址。不會(huì)被老化，手動(dòng)保存配置后重啟設(shè)備不會(huì)丟失。10.1.1交換機(jī)的接口安全配置接口安全防止MAC泛洪攻擊進(jìn)入接口視圖，執(zhí)行【port-securityenable】命令，使能接口安全功能。默認(rèn)情況下，交換機(jī)的接口未使能接口安全功能。（可選）執(zhí)行【port-securitymax-mac-nummax-number】命令，配置接口安全動(dòng)態(tài)MAC學(xué)習(xí)限制數(shù)量。默認(rèn)時(shí)，接口學(xué)習(xí)的MAC地址限制數(shù)量為1。（可選）執(zhí)行【port-securityprotect-action{protect|restrict|shutdown}】命令，配置接口安全保護(hù)動(dòng)作。默認(rèn)情況下，接口安全保護(hù)動(dòng)作為restrict。執(zhí)行【port-securitymac-addresssticky】命令，使能接口自動(dòng)StickyMAC功能。默認(rèn)情況下，接口未使能StickyMAC功能。（可選）執(zhí)行【port-securitymac-addressstickymac-addressvlanvlan-id】命令，手動(dòng)配置一條sticky-mac表項(xiàng)。10.1.1交換機(jī)的接口安全Switch1GE0/0/1GE0/0/2GE0/0/3PC1PC2PC3PC4Switch2[Switch1]interfaceGigabitEthernet0/0/1[Switch1-GigabitEthernet0/0/1]port-securityenable[Switch1-GigabitEthernet0/0/1]port-securitymax-mac-num1[Switch1-GigabitEthernet0/0/1]port-securityprotect-actionrestrict[Switch1]interfaceGigabitEthernet0/0/3[Switch1-GigabitEthernet0/0/3]port-securityenable[Switch1-GigabitEthernet0/0/3]port-securitymax-mac-num2[Switch1-GigabitEthernet0/0/3]port-securityprotect-actionshutdown端口安全配置舉例-安全動(dòng)態(tài)MAC[Switch1]displaymac-addresssecurityMACaddresstableofslot0:----------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SI MAC-Tunnel---------------------------------------------------------------------------------------5489-98ac-71a91--GE0/0/3security -5489-98b1-7b301--GE0/0/1security -10.1.1交換機(jī)的接口安全SwitchGE0/0/1GE0/0/2GE0/0/3PC1PC2PC3[Switch]interfaceGigabitEthernet0/0/1[Switch-GigabitEthernet0/0/1]port-securityenable[Switch-GigabitEthernet0/0/1]port-securitymax-mac-num1[Switch-GigabitEthernet0/0/1]port-securitymac-addresssticky[Switch]interfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]port-securityenable[Switch-GigabitEthernet0/0/2]port-securitymax-mac-num1[Switch-GigabitEthernet0/0/2]port-securitymac-addresssticky端口安全配置舉例-StickyMAC[Switch1]displaymac-addressstickyMACaddresstableofslot0:-------------------------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID VSI/SI MAC-Tunnel-------------------------------------------------------------------------------------------------------5489-98b1-7b301- - GE0/0/1sticky-5489-9815-662b1- - GE0/0/2sticky -10.1.2DHCPSnoopingDHCP服務(wù)是一個(gè)沒(méi)有認(rèn)證的服務(wù)，即客戶端和服務(wù)器端無(wú)法互相進(jìn)行合法性的驗(yàn)證。如果在網(wǎng)絡(luò)中存在多臺(tái)DHCP服務(wù)器，誰(shuí)先應(yīng)答，客戶端就采用其供給的網(wǎng)絡(luò)配置參數(shù)。假如非授權(quán)的DHCP服務(wù)器先應(yīng)答，這樣客戶端最后獲得的網(wǎng)絡(luò)參數(shù)即是非授權(quán)的，客戶端可能獲取不正確的IP地址、網(wǎng)關(guān)、DNS等信息。1342發(fā)現(xiàn)階段DHCPDISCOVER（廣播）提供階段DHCPOFFER（單播/廣播）選擇階段DHCPREQUEST（廣播）確認(rèn)階段DHCPACK（單播）DHCPClientDHCPServer二層廣播域10.1.2DHCPSnoopingDHCPSnooping是DHCP的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址。DHCP服務(wù)器記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對(duì)應(yīng)關(guān)系，防止網(wǎng)絡(luò)上針對(duì)DHCP攻擊。目前DHCP協(xié)議在應(yīng)用的過(guò)程中遇到很多安全方面的問(wèn)題，網(wǎng)絡(luò)中存在一些針對(duì)DHCP的攻擊，如DHCPServer仿冒者攻擊、DHCPServer的拒絕服務(wù)攻擊、仿冒DHCP報(bào)文攻擊等。DHCPSnooping主要是通過(guò)DHCPSnooping信任功能和DHCPSnooping綁定表實(shí)現(xiàn)DHCP網(wǎng)絡(luò)安全。10.1.2DHCPSnoopingDHCP餓死攻擊原理：攻擊者持續(xù)大量地向DHCPServer申請(qǐng)IP地址，直到耗盡DHCPServer地址池中的IP地址，導(dǎo)致DHCPServer不能給正常的用戶進(jìn)行分配。DHCPServer向申請(qǐng)者分配IP地址時(shí)，無(wú)法區(qū)分正常的申請(qǐng)者與惡意的申請(qǐng)者。解決方案：對(duì)于餓死攻擊，可以通過(guò)DHCPSnooping的MAC地址限制功能來(lái)防止。DHCPServerDHCPClientSwitchAttackerDHCPREQUESTCHADDR=ASourceMac=Mac-ADHCPREQUESTCHADDR=BSourceMac=Mac-BDHCPREQUESTCHADDR=CSourceMac=Mac-CDHCPREQUESTCHADDR=DSourceMac=Mac-D攻擊者通過(guò)不斷偽造源MAC地址不同的的DHCPdiscover報(bào)文，向服務(wù)器申請(qǐng)IP地址。正常主機(jī)用戶向DHCPServer申請(qǐng)IP地址。DHCPACKCHADDR=BIPAddress10.1.1.1DHCPACKCHADDR=CIPAddress10.1.1.2DHCPACKCHADDR=DIPAddress10.1.1.3DHCPNAKCHADDR=AIPAddress0.0.0.0DHCPServer是根據(jù)請(qǐng)求報(bào)文中的CHADDR字段來(lái)為其分配IP地址，并最終被耗光，當(dāng)合法用戶請(qǐng)求時(shí)已經(jīng)無(wú)地址可分配了。10.1.2DHCPSnoopingDHCP欺騙攻擊原理：攻擊者可以通過(guò)發(fā)送大量的DHCP請(qǐng)求，耗盡網(wǎng)絡(luò)中合法DHCP服務(wù)器的資源，使得合法用戶無(wú)法獲得IP地址。在這種情況下，攻擊者可以進(jìn)一步進(jìn)行欺騙攻擊，偽裝成合法的DHCP服務(wù)器以欺騙其他用戶。解決方案：交換機(jī)上開啟DHCPSNOOPING功能，通過(guò)建立和維護(hù)一個(gè)綁定表來(lái)過(guò)濾掉非信任的DHCP信息，只允許合法的DHCP應(yīng)答通過(guò)。非法DHCPOFFER/ACK/NAK報(bào)文DHCP客戶端請(qǐng)求報(bào)文DHCPClient1非法DHCPServerDHCPClient2合法DHCPServer10.1.2DHCPSnoopingDHCPSnooping的信任功能，能夠保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址。DHCPSnooping信任功能將接口分為信任接口和非信任接口：信任接口正常接收DHCP服務(wù)器響應(yīng)的DHCPACK、DHCPNAK和DHCPOffer報(bào)文。設(shè)備只將DHCP客戶端的DHCP請(qǐng)求報(bào)文通過(guò)信任接口發(fā)送給合法的DHCP服務(wù)器，不會(huì)向非信任接口轉(zhuǎn)發(fā)。非信任接口收到的DHCPServer發(fā)送的DHCPOFFER、DHCPACK、DHCPNAK報(bào)文會(huì)被直接丟棄。DHCPClient1非法DHCPServerDHCPClient2合法DHCPServerDHCPSnooping信任接口DHCPSnooping非信任接口使能DHCPSnooping的接口合法DHCPOFFER/ACK/NAK報(bào)文非法DHCPOFFER/ACK/NAK報(bào)文DHCP客戶端請(qǐng)求報(bào)文10.1.2DHCPSnooping二層接入設(shè)備使能了DHCPSnooping功能后，從收到DHCPACK報(bào)文中提取關(guān)鍵信息（包括PC的MAC地址以及獲取到的IP地址、地址租期），并獲取與PC連接的使能了DHCPSnooping功能的接口信息（包括接口編號(hào)及該接口所屬的VLAN），根據(jù)這些信息生成DHCPSnooping綁定表。由于DHCPSnooping綁定表記錄了DHCP客戶端IP地址與MAC地址等參數(shù)的對(duì)應(yīng)關(guān)系，故通過(guò)對(duì)報(bào)文與DHCPSnooping綁定表進(jìn)行匹配檢查，能夠有效防范非法用戶的攻擊。DHCPServerDHCPClient1192.168.1.98/24MAC-1DHCPClient2192.168.1.99/24MAC-2DHCPACKGE0/0/1GE0/0/2GE0/0/3IPMACVLAN接口Lease192.168.1.98MAC-11GE0/0/11192.168.1.99MAC-21GE0/0/2110.1.2DHCPSnooping配置DHCPSnooping防DHCP欺騙VLAN視圖下使能DHCPSnooping功能的步驟：進(jìn)入系統(tǒng)視圖，執(zhí)行【dhcpenable】命令，全局使能DHCP功能。執(zhí)行【dhcpsnoopingenable】命令，全局使能DHCPSnooping功能。進(jìn)入VLAN視圖，執(zhí)行【dhcpsnoopingenable】命令，使能VLAN的DHCPSnooping功能，這時(shí)該VLAN下的接口全部會(huì)使能DHCPSnooping功能。默認(rèn)情況下，接口為“不信任”狀態(tài)。（可選）進(jìn)入接口視圖。執(zhí)行【dhcpsnoopingdisable】命令，可單獨(dú)去使能VLAN下特定接口的DHCPSnooping功能。（可選）配置接口為信任狀態(tài)。在VLAN視圖下執(zhí)行【dhcpsnoopingtrustedinterfaceinterface-type

interface-number】命令；或者接口視圖下執(zhí)行【dhcpsnoopingtrusted】命令。執(zhí)行【

displaydhcpsnoopinginterface】命令，查看接口下DHCPSnooping的配置信息。執(zhí)行【displaydhcpsnoopinguser-bindall】命令，查看接口的DHCPSnooping動(dòng)態(tài)綁定表信息。10.1.2DHCPSnoopingDHCPSnooping配置舉例DHCPClient1DHCPClient2DHCPServerVLAN2VLAN2SwitchGE0/0/1GE0/0/2GE0/0/3配置方式一：接口視圖[Switch]dhcpsnoopingenableipv4[Switch]interfaceGigabitEthernet0/0/1[Switch-GigabitEthernet0/0/1]dhcpsnoopingenable[Switch]interfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]dhcpsnoopingenable[Switch]interfaceGigabitEthernet0/0/3[Switch-GigabitEthernet0/0/3]dhcpsnoopingenable[Switch-GigabitEthernet0/0/3]dhcpsnoopingtrusted配置方式二：VLAN視圖[Switch]dhcpsnoopingenableipv4 [Switch]vlan2[Switch-vlan2]dhcpsnoopingenable [Switch]interfaceGigabitEthernet0/0/3[Switch-GigabitEthernet0/0/3]dhcpsnoopingtrusted [Switch]displaydhcpsnoopinginterfaceGigabitEthernet0/0/3DHCPsnoopingrunninginformationforinterfaceGigabitEthernet0/0/3:DHCPsnooping :Enable

Trustedinterface :Yes

Dhcpusermaxnumber :1024(default)Currentdhcpusernumber :0-----more------10.1.3ARP安全ARP攻擊原理黑客所控制的計(jì)算機(jī)B收到計(jì)算機(jī)A的請(qǐng)求（ARP請(qǐng)求是廣播），計(jì)算機(jī)B人為稍作延時(shí)再發(fā)送ARP響應(yīng)，保證這個(gè)響應(yīng)遲于網(wǎng)關(guān)的響應(yīng)到達(dá)計(jì)算機(jī)A，計(jì)算機(jī)B回答：10.1.1.1和10.1.1.3的MAC均為B.B.B。由于ARP條目會(huì)采用最新的響應(yīng)，因此計(jì)算機(jī)A就誤認(rèn)為10.1.1.3的MAC為B.B.B了，路由器也誤認(rèn)為10.1.1.1的MAC為B.B.B。10.1.3ARP安全動(dòng)態(tài)ARP檢測(cè)（DAI）原理DAI基于DHCPSnooping來(lái)工作，DHCPSnooping綁定表包括IP地址與MAC地址的綁定信息，并將其與VLAN、交換機(jī)端口相關(guān)聯(lián)，DAI可以用來(lái)檢查接口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP)，確保請(qǐng)求和應(yīng)答來(lái)自真正的MAC、IP所有者。交換機(jī)通過(guò)檢查接口記錄的DHCP綁定信息和ARP報(bào)文的信息決定是否合法的ARP報(bào)文，不合法的ARP報(bào)文將被拒絕轉(zhuǎn)發(fā)。圖中，交換機(jī)知道計(jì)算機(jī)B的IP地址為10.1.1.2、MAC地址為B.B.B、在哪個(gè)接口，計(jì)算機(jī)B發(fā)送的虛假ARP報(bào)文將被丟棄。10.1.3ARP安全配置DAI防止ARP中間人攻擊DAI依賴于DHCPSnooping來(lái)實(shí)現(xiàn)它的功能。設(shè)備使能DHCPSnooping功能后，當(dāng)DHCP用戶上線時(shí)，設(shè)備會(huì)自動(dòng)生成DHCPSnooping綁定表。對(duì)于靜態(tài)配置IP地址的用戶，設(shè)備不會(huì)生成DHCPSnooping綁定表，所以需要手動(dòng)添加靜態(tài)綁定表，在系統(tǒng)視圖下執(zhí)行【user-bindstatic{{ip-addressip-address&<1-10>}|mac-addressmac-address}*[interfaceinterface-type

interface-number][vlanvlan-id[ce-vlance-vlan-id]]】命令。進(jìn)入接口視圖，或者進(jìn)入VLAN視圖，執(zhí)行【arpanti-attackcheckuser-bindenable】命令，使能ARP報(bào)文檢查功能。默認(rèn)情況下，接口或VLAN未使能對(duì)ARP報(bào)文的檢查功能。進(jìn)入接口視圖，執(zhí)行【arpanti-attackcheckuser-bindcheck-item{ip-address|mac-address|vlan}*】命令；或者VLAN視圖下執(zhí)行【arpanti-attackcheckuser-bindcheck-item{ip-address|mac-address|interface}*】命令，配置ARP報(bào)文檢查方式。默認(rèn)情況下，對(duì)IP地址、MAC地址、VLAN和接口都進(jìn)行檢查。使用【displayarpanti-attackconfiguration{arp-rate-limit|arpmiss-rate-limit|arp-speed-limit|arpmiss-speed-limit|entry-check|gateway-duplicate|log-trap-timer|packet-check|all}】和【displayarpanti-attackconfigurationcheckuser-bindinterfaceinterface-typeinterface-number】命令查看當(dāng)前ARP防攻擊配置。10.1.3ARP安全配置DAI防止ARP中間人攻擊案例[S1]dhcpsnoopingenable[S1]vlan1[S1-vlan1]dhcpsnoopingenable//在VLAN1使能DHCPSnooping[S1-vlan1]user-bindstaticip-address192.168.1.100mac-address5489-9389-03BDinterfaceg0/0/4vlan1//手動(dòng)添加靜態(tài)綁定表[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingtrusted//配置接口為可信任接口[S1]interfaceGigabitEthernet0/0/2[S1-GigabitEthernet0/0/2]arpanti-attackcheckuser-bindenable//使能ARP報(bào)文檢查功能[S1-GigabitEthernet0/0/2]arpanti-attackcheckuser-bindcheck-itemip-addressmac-addressvlan//配置ARP報(bào)文檢查方式，對(duì)IP地址、MAC地址、VLAN和接口都進(jìn)行檢查G0/0/3、G0/0/4接口配置和G0/0/2的一樣DHCPClient1DHCPClient2DHCPServerS1GE0/0/2GE0/0/3GE0/0/1192.168.1.100GE0/0/410.1.4IP源防護(hù)IP源地址欺騙是黑客進(jìn)行DoS攻擊時(shí)經(jīng)常同時(shí)使用的一種手段，黑客發(fā)送具有虛假源IP地址的數(shù)據(jù)包。IP源防護(hù)（IPSourceGuard，IPSG）可以防止局域網(wǎng)內(nèi)的IP地址欺騙攻擊。和DAI類似，IPSG也是基于DHCPSnooping進(jìn)行工作，DHCPSnooping綁定表包括了IP地址與MAC地址的綁定信息，并將其與VLAN、交換機(jī)端口相關(guān)聯(lián)，交換機(jī)根據(jù)DHCPSnooping綁定表的內(nèi)容來(lái)過(guò)濾IP報(bào)文。客戶端發(fā)送的IP數(shù)據(jù)包，只有其源IP地址、MAC地址、VLAN和DHCPSnooping綁定表相符才會(huì)被發(fā)送，其他IP數(shù)據(jù)包都將被丟棄。IPSG技術(shù)概述IP地址欺騙攻擊中，攻擊者通過(guò)偽造合法用戶的IP地址獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限，非法訪問(wèn)網(wǎng)絡(luò)，甚至造成合法用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)，或者信息泄露。IPSG針對(duì)IP地址欺騙攻擊提供了一種防御機(jī)制，可以有效阻止此類網(wǎng)絡(luò)攻擊行為。IP源防攻擊（IPSG，IPSourceGuard）是一種基于二層接口的源IP地址過(guò)濾技術(shù)。它能夠防止惡意主機(jī)偽造合法主機(jī)的IP地址來(lái)仿冒合法主機(jī)，還能確保非授權(quán)主機(jī)不能通過(guò)自己指定IP地址的方式來(lái)訪問(wèn)網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。InternetSwitchRouter合法主機(jī)1合法主機(jī)2非法主機(jī)IP:10.1.1.1IP:10.1.1.2IP:10.1.1.10規(guī)定：只允許IP地址為10.1.1.1和10.1.1.2的主機(jī)可以上網(wǎng)合法主機(jī)1和2可以上網(wǎng)，但是關(guān)機(jī)了非法主機(jī)的IP地址為10.1.1.10，不能上網(wǎng)，改為10.1.1.1就可以上網(wǎng)了在Switch的接入用戶側(cè)的接口或VLAN上部署IPSG功能匹配通過(guò)偽造合法IP不匹配丟棄IPSG工作原理IPSG利用綁定表（源IP地址、源MAC地址、所屬VLAN、入接口的綁定關(guān)系）去匹配檢查二層接口上收到的IP報(bào)文，只有匹配綁定表的報(bào)文才允許通過(guò)，其他報(bào)文將被丟棄。常見(jiàn)的綁定表有靜態(tài)綁定表和DHCPSnooping動(dòng)態(tài)綁定表。合法主機(jī)IP:10.1.1.1MAC:5489-98C2-1486非法主機(jī)IP:10.1.1.10MAC:5489-98AB-22A7InternetSwitchRouter規(guī)定：只允許IP地址為10.1.1.1的主機(jī)可以訪問(wèn)InternetSwitchDHCPSnooping綁定表使能IPSG的二層接口GE0/0/1GE0/0/2GE0/0/35489-98AB-22A7SIP:10.1.1.1DataVLAN15489-98C2-148610.1.1.1DataVLAN1IPMACVLAN接口10.1.1.15489-98C2-14861GE0/0/110.1.1.105489-98AB-22A71GE0/0/2IPSG配置舉例IPSG配置舉例#在接入交換機(jī)上配置靜態(tài)綁定表[Switch1]user-bindstaticip-address10.1.1.1mac-address5489-98C2-1486[Switch1]user-bindstaticip-address10.1.1.10mac-address5489-98AB-22A7#使能GE0/0/1接口IPSG和IP報(bào)文檢查告警功能[Switch1]interfaceGigabitEthernet0/0/1[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindenable[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmenable[Switch1-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmthreshold100#接口GE0/0/2配置與GE0/0/1類似，此處省略InternetSwitch2Switch1GE0/0/1GE0/0/2GE0/0/3IP:10.1.1.1/24MAC:5489-98C2-1486IP:10.1.1.10/24MAC:5489-98AB-22A7PC1PC2[Switch1]displaydhcpstaticuser-bindallDHCPstaticBind-table:Flags:O-outervlan,I-innervlan,P-Vlan-mappingIPAddressMACAddress VSI/VLAN(O/I/P)Interface-------------------------------------------------------------------------------------------------10.1.1.15489-98C2-1486 --/--/----10.1.1.105489-98AB-22A7 --/--/-----------------------------------------------------------------------------------------------------Printcount:2Totalcount:210.2VPN對(duì)于規(guī)模較大的企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)訪問(wèn)需求不僅僅局限于公司總部網(wǎng)絡(luò)內(nèi)，分公司、辦事處、出差員工、合作單位等也需要訪問(wèn)公司總部的網(wǎng)絡(luò)資源，可以采用VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）技術(shù)來(lái)實(shí)現(xiàn)這一需求。VPN可以在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，建立虛擬專用連接。因其具有廉價(jià)、專用和虛擬等多種優(yōu)勢(shì)，在現(xiàn)網(wǎng)中應(yīng)用非常廣泛。VPN技術(shù)的基本原理是利用隧道技術(shù)，對(duì)傳輸報(bào)文進(jìn)行封裝，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的安全傳輸。企業(yè)總部企業(yè)分支VPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2Internet原始報(bào)文VPN隧道解封裝后的報(bào)文封裝后的報(bào)文封裝解封裝10.2.1VPN簡(jiǎn)介在VPN出現(xiàn)之前，企業(yè)分支之間的數(shù)據(jù)傳輸只能依靠現(xiàn)有物理網(wǎng)絡(luò)（例如Internet）。由于Internet中存在多種不安全因素，報(bào)文容易被網(wǎng)絡(luò)中的黑客竊取或篡改，最終造成數(shù)據(jù)泄密、重要數(shù)據(jù)被破壞等后果。除了通過(guò)Internet，還可以通過(guò)搭建一條物理專網(wǎng)連接保證數(shù)據(jù)的安全傳輸，但其費(fèi)用會(huì)非常昂貴，且專網(wǎng)的搭建和維護(hù)十分困難。辦事處企業(yè)總部企業(yè)分支出差員工Internet黑客企業(yè)內(nèi)部數(shù)據(jù)直接使用共享且不安全的Internet傳輸數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)被盜取、篡改。采用Internet傳輸數(shù)據(jù)辦事處企業(yè)總部企業(yè)分支出差員工專網(wǎng)企業(yè)內(nèi)部數(shù)據(jù)搭建專網(wǎng)傳輸數(shù)據(jù)有效保證企業(yè)數(shù)據(jù)傳輸安全性，但面臨使用成本高、使用率低、部署不靈活等問(wèn)題。10.2.1VPN簡(jiǎn)介VPN即虛擬專用網(wǎng)，泛指通過(guò)VPN技術(shù)在公用網(wǎng)絡(luò)上構(gòu)建的虛擬專用網(wǎng)絡(luò)。VPN用戶在此虛擬網(wǎng)絡(luò)中傳輸私網(wǎng)流量，在不改變網(wǎng)絡(luò)現(xiàn)狀的情況下實(shí)現(xiàn)安全、可靠的連接。辦事處企業(yè)總部企業(yè)分支出差員工專網(wǎng)/Internet公共網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)專用（Private）VPN網(wǎng)絡(luò)是專門供VPN用戶使用的網(wǎng)絡(luò)，對(duì)于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒(méi)有區(qū)別。VPN能夠提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_。VPN與底層承載網(wǎng)絡(luò)（一般為IP網(wǎng)絡(luò)）之間保持資源獨(dú)立，即VPN資源不被網(wǎng)絡(luò)中非該VPN的用戶所使用。虛擬（Virtual）VPN用戶的通信是通過(guò)公共網(wǎng)絡(luò)進(jìn)行的，而這個(gè)公共網(wǎng)絡(luò)同時(shí)也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個(gè)邏輯意義上的專網(wǎng)。TunnelTunnelTunnel10.2.1VPN簡(jiǎn)介按照用途分類遠(yuǎn)程接入VPN（AccessVPN）內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）外聯(lián)網(wǎng)VPNVPN（Extranet）企業(yè)總部運(yùn)營(yíng)商MPLSVPN專線企業(yè)分支2企業(yè)分支1VPN分類-根據(jù)建設(shè)單位不同根據(jù)建設(shè)單位分類租用運(yùn)營(yíng)商VPN專線搭建企業(yè)VPN網(wǎng)絡(luò)最常見(jiàn)的場(chǎng)景為租用運(yùn)營(yíng)商MPLSVPN專線。自建企業(yè)VPN網(wǎng)絡(luò)基于Internet建立企業(yè)VPN網(wǎng)絡(luò)，常見(jiàn)的如IPSecVPN、L2TPVPN、SSLVPN等。VPN網(wǎng)關(guān)為運(yùn)營(yíng)商所有企業(yè)總部企業(yè)分支Internet出差員工VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)企業(yè)分部VPN分類-根據(jù)組網(wǎng)方式不同根據(jù)組網(wǎng)方式分類遠(yuǎn)程訪問(wèn)VPN（RemoteAccessVPN）適用于出差員工VPN撥號(hào)接入的場(chǎng)景，員工可在任何能接入Internet的地方，通過(guò)VPN接入企業(yè)內(nèi)網(wǎng)資源。常見(jiàn)的有L2TPVPN、SSLVPN等。局域網(wǎng)到局域網(wǎng)VPN（Site-to-siteVPN）適用于公司兩個(gè)異地機(jī)構(gòu)的局域網(wǎng)互連。常見(jiàn)的有MPLSVPN、IPSecVPN等。企業(yè)總部Internet出差員工A地企業(yè)總部InternetVPN網(wǎng)關(guān)出差員工B地VPN網(wǎng)關(guān)VPN分類-根據(jù)實(shí)現(xiàn)的網(wǎng)絡(luò)層次根據(jù)實(shí)現(xiàn)的網(wǎng)絡(luò)層次分類應(yīng)用層TCP/IP參考模型傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層SSLVPNIPSecVPN、GREVPNL2TPVPN、PPTPVPNMPLSVPN10.2.2加密學(xué)基礎(chǔ)數(shù)據(jù)加密可以避免數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)被讀取。數(shù)據(jù)加密一般有兩種方案：對(duì)稱加密：使用同一個(gè)密碼加密/解密，效率很高，但是對(duì)稱加密在互相交互密鑰時(shí)存在密鑰被截取的風(fēng)險(xiǎn)。非對(duì)稱加密：使用公鑰加密，私鑰解密，安全性很高但是加解密效率很低。對(duì)稱加密數(shù)據(jù)數(shù)據(jù)密鑰A密鑰A預(yù)先配置或傳遞相同密鑰被加密數(shù)據(jù)被加密數(shù)據(jù)數(shù)據(jù)轉(zhuǎn)發(fā)RT1RT2非對(duì)稱加密數(shù)據(jù)數(shù)據(jù)公鑰B私鑰B被加密數(shù)據(jù)被加密數(shù)據(jù)數(shù)據(jù)轉(zhuǎn)發(fā)RT1RT2加密解密公鑰加密私鑰解密公鑰B私鑰B密鑰對(duì)設(shè)備自動(dòng)生成公鑰與私鑰傳遞公鑰交互密鑰10.2.2加密學(xué)基礎(chǔ)IPsec同時(shí)使用對(duì)稱加密與非對(duì)稱加密，保證了安全也兼顧了性能。將對(duì)稱加密所用的密鑰，使用非對(duì)稱算法加密并傳遞。數(shù)據(jù)通過(guò)交互后的對(duì)稱密鑰加密。IPsec加解密基本思路IPsec設(shè)備IPsec設(shè)備非對(duì)稱加密對(duì)稱密鑰對(duì)稱密鑰非對(duì)稱加密用戶數(shù)據(jù)用戶數(shù)據(jù)對(duì)稱加密對(duì)稱加密交互對(duì)稱密鑰公鑰加密私鑰解密公鑰加密私鑰解密交互用戶數(shù)據(jù)通過(guò)對(duì)稱密鑰加解密通過(guò)對(duì)稱密鑰加解密IPsec隧道交互對(duì)稱密鑰后，通過(guò)對(duì)稱密鑰加解密數(shù)據(jù)1210.2.2加密學(xué)基礎(chǔ)DH（Deffie-Hellman）密鑰交換是最常用的密鑰交換算法之一，它使得通信的雙方能在Internet這樣的非安全信道中安全地交換密鑰，用于加密后續(xù)的通信。常用的DH算法有Group1、Group2、Group5等。DH算法的原理是依賴于計(jì)算離散對(duì)數(shù)的難度。10.2.2加密學(xué)基礎(chǔ)防止數(shù)據(jù)在傳輸過(guò)程中被篡改可以通過(guò)HASH算法實(shí)現(xiàn)。HASH也稱為散列函數(shù)，能夠把任意長(zhǎng)度的輸入通過(guò)運(yùn)算變換成固定長(zhǎng)度的散列值（通常是128位、168位、256位等）。HASH算法有個(gè)特點(diǎn)是輸入明文很容易運(yùn)算得到散列值，但是不能從散列值反推出明文，我們可以把HASH理解成一個(gè)單向函數(shù)。常用的HASH算法有MD5、SHA-1、SHA-256、SHA-384、SHA-512等。10.2.2加密學(xué)基礎(chǔ)事先通過(guò)密鑰交換在收、發(fā)雙方產(chǎn)生一個(gè)共同的密鑰，發(fā)送方把要發(fā)送的消息、密鑰做HASH運(yùn)算得到HASH值，把消息和HASH值發(fā)送給對(duì)方。接收方收到消息后，把收到的消息、密鑰做HASH運(yùn)算得到自己的HASH值，然后把這個(gè)HASH值和收到的HASH做比較，如果兩個(gè)HASH值相同，則表明數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改；如果兩個(gè)HASH值不相同，則表明數(shù)據(jù)在傳輸過(guò)程中被篡改。Hash算法Hash算法數(shù)據(jù)轉(zhuǎn)發(fā)RT1RT2Hash計(jì)算Hash計(jì)算數(shù)據(jù)Hash值A(chǔ)數(shù)據(jù)Hash值A(chǔ)Hash值B對(duì)比Hash值10.2.2加密學(xué)基礎(chǔ)身份認(rèn)證可以保證數(shù)據(jù)發(fā)送者的身份真實(shí)性，以防止假冒者發(fā)送數(shù)據(jù)。身份認(rèn)證主要有兩種方式：數(shù)字證書和預(yù)共享密鑰。10.2.2加密學(xué)基礎(chǔ)IPSec不是一個(gè)單獨(dú)的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等協(xié)議。安全協(xié)議加密驗(yàn)證密鑰交換ESPDES3DESAESSM1/4AH不支持MD5SHA1SHA2SM3MD5SHA1SHA2SM3IKE（ISAKMP，DH）IPSec協(xié)議體系10.2.3IPSec基本概念I(lǐng)PSec（InternetProtocolSecurity）是IETF（InternetEngineeringTaskForce）制定的一組開放的網(wǎng)絡(luò)安全協(xié)議，在IP層通過(guò)數(shù)據(jù)來(lái)源認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性和抗重放功能來(lái)保證通信雙方Internet上傳輸數(shù)據(jù)的安全性。數(shù)據(jù)來(lái)源認(rèn)證：接收方認(rèn)證發(fā)送方身份是否合法。數(shù)據(jù)加密：發(fā)送方對(duì)數(shù)據(jù)進(jìn)行加密，以密文的形式在Internet上傳送，接收方對(duì)接收的加密數(shù)據(jù)進(jìn)行解密后處理或直接轉(zhuǎn)發(fā)。數(shù)據(jù)完整性：接收方對(duì)接收的數(shù)據(jù)進(jìn)行認(rèn)證，以判定報(bào)文是否被篡改?？怪胤疟Ｗo(hù)：接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包，防止惡意用戶通過(guò)重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊。10.2.3IPSec基本概念I(lǐng)PSec對(duì)等體：即建立IPSecVPN的雙方。端點(diǎn)可以是網(wǎng)關(guān)路由器，也可以是主機(jī)。IPSec隧道：提供對(duì)數(shù)據(jù)流的安全保護(hù)，IPSec對(duì)數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的。發(fā)送方對(duì)要保護(hù)的數(shù)據(jù)包進(jìn)行加密封裝，在Internet中傳輸，接收方采用相同的參數(shù)對(duì)報(bào)文進(jìn)行認(rèn)證、解封裝，以得到原始數(shù)據(jù)。企業(yè)總部企業(yè)分支VPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2Internet原始報(bào)文VPN隧道解封裝后的報(bào)文封裝后的報(bào)文封裝解封裝10.2.3IPSec基本概念安全聯(lián)盟（SecurityAssociation，SA）是出于安全目的而創(chuàng)建的一個(gè)單向邏輯連接，是通信的對(duì)等體間對(duì)某些要素的約定。對(duì)等體間需要通過(guò)手工配置或IKE協(xié)議協(xié)商匹配的參數(shù)才能建立起安全聯(lián)盟。對(duì)等體之間的雙向通信需要建立一對(duì)SA，這一對(duì)SA對(duì)應(yīng)于一條IPSec隧道。SA由安全參數(shù)索引、目的IP地址和使用的安全協(xié)議三元組來(lái)唯一標(biāo)識(shí)。兩種方式建立SA：手工方式、IKE動(dòng)態(tài)協(xié)商方式。10.2.3IPSec基本概念I(lǐng)Psec有兩種傳輸層協(xié)議提供認(rèn)證或加密服務(wù)：AH（AuthenticationHeader,認(rèn)證頭），ESP（EncapsulatingSecurityPayload,封裝安全載荷）。AH僅支持認(rèn)證功能，不支持加密功能。ESP支持認(rèn)證和加密功能。AH報(bào)文頭部結(jié)構(gòu)ESP報(bào)文頭部結(jié)構(gòu)NextHeaderPayloadLenReservedSecurityParametersIndex(SPI)SequenceNumberAuthenticationData(Variable)IntegrityCheckValue(ICV)32bitSecurityParametersIndex(SPI)SequenceNumberPayloadData(Variable)Padding(0-255Octets)PadLenNextHeaderAuthenticationData(Variable)IntegrityCheckValue(ICV)32bitESPHeaderESPTrailerEncryptedESPAuthenticationAuthentication10.2.3IPSec基本概念封裝模式是指將AH或ESP相關(guān)的字段插入到原始IP報(bào)文中，以實(shí)現(xiàn)對(duì)報(bào)文的認(rèn)證和加密，封裝模式有傳輸模式和隧道模式兩種。傳輸模式中：AH頭或ESP頭被插入到IP頭與傳輸層協(xié)議頭之間。在隧道模式下：AH頭或ESP頭被插到原始IP頭之前。隧道模式傳輸模式IPHeaderAHHeaderDataIPHeaderESPHeaderDataESPTrailerESPAuthdataIPHeaderAHHeaderESPHeaderDataESPTrailerESPAuthdataAHESPAH-ESPNew

IPHeaderAHHeaderRawIPHeaderDataNewIPHeaderESPHeaderRawIPHeaderDataESPTrailerESPAuthdataNewIPHeaderAHHeaderESPHeaderRawIPHeaderDataESPTrailerESPAuthdataAHESPAH-ESP認(rèn)證范圍認(rèn)證范圍加密范圍ESP認(rèn)證范圍加密范圍AH認(rèn)證范圍認(rèn)證范圍認(rèn)證范圍加密范圍ESP認(rèn)證范圍加密范圍AH認(rèn)證范圍10.2.4IKE協(xié)議IPsec基本工作流程IPsec設(shè)備IPsec隧道IPsec設(shè)備IKE模塊用戶數(shù)據(jù)用戶數(shù)據(jù)加密認(rèn)證模塊IKESA協(xié)商交互用戶數(shù)據(jù)IKE模塊加密認(rèn)證模塊基于IPsecSA對(duì)用戶數(shù)據(jù)進(jìn)行加解密，認(rèn)證IKESAIPsecSAIPsecSA協(xié)商基于IKESA加密IPsecSA協(xié)商報(bào)文IKE協(xié)商第一階段IKE協(xié)商第二階段IPsecSA設(shè)備對(duì)于被保護(hù)流進(jìn)行加解密10.2.4IKE協(xié)議IKE協(xié)議建立在Internet安全聯(lián)盟和密鑰管理協(xié)議（InternetSecurityAssociationandKeyManagementProtocol，ISAKMP）定義的框架上，是基于UDP的應(yīng)用層協(xié)議。它為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立SA的服務(wù)，能夠簡(jiǎn)化IPSec的使用和管理。采用IKEv1協(xié)商安全聯(lián)盟主要分為兩個(gè)階段：第一階段，通信雙方協(xié)商并建立IKE協(xié)議本身使用的安全通道，即建立一個(gè)IKESA；第二階段，利用第一階段已通過(guò)認(rèn)證與安全保護(hù)的安全通道，建立一對(duì)用于數(shù)據(jù)安全傳輸?shù)腎PsecSA。IKE模塊IKESA協(xié)商IKE模塊IKESAIPsecSA協(xié)商基于IKESA加密IPsecSA協(xié)商報(bào)文IKE協(xié)商第一階段IKE協(xié)商第二階段IKEv1協(xié)商基本過(guò)程10.2.4IKE協(xié)議IKEv1協(xié)商第一階段的目的是建立IKESA。IKESA建立后對(duì)等體間的所有ISAKMP消息都將通過(guò)加密和驗(yàn)證，這條安全通道可以保證IKEv1第二階段的協(xié)商能夠安全進(jìn)行。IKEv1協(xié)商第一階段支持兩種協(xié)商模式：主模式（MainMode）和野蠻模式（AggressiveMode）。主模式協(xié)商過(guò)程野蠻模式協(xié)商過(guò)程發(fā)送IKE安全提議查找匹配的提議接受提議發(fā)送確認(rèn)的IKE安全提議發(fā)送密鑰生成信息生成密鑰生成密鑰發(fā)送密鑰生成信息發(fā)送身份和驗(yàn)證數(shù)據(jù)身份驗(yàn)證和交換過(guò)程驗(yàn)證身份驗(yàn)證和交換過(guò)程驗(yàn)證發(fā)送身份和驗(yàn)證數(shù)據(jù)協(xié)商發(fā)起方協(xié)商響應(yīng)方124635發(fā)起IKE安全提議，密鑰生成信息和身份信息查找匹配的提議算法，身材密鑰和身份驗(yàn)證接受提議和生成密鑰發(fā)送密鑰生成信息、身份信息和驗(yàn)證數(shù)據(jù)發(fā)送驗(yàn)證數(shù)據(jù)交換過(guò)程驗(yàn)證協(xié)商發(fā)起方協(xié)商響應(yīng)方123已加密數(shù)據(jù)10.2.4IKE協(xié)議IKEv1協(xié)商第二階段的目的是建立用來(lái)安全傳輸數(shù)據(jù)的IPsecSA，并為數(shù)據(jù)傳輸衍生出密鑰。第二階段采用快速模式（QuickMode）。該模式使用IKEv1協(xié)商第一階段中生成的密鑰對(duì)ISAKMP消息的完整性和身份進(jìn)行驗(yàn)證，并對(duì)ISAKMP消息進(jìn)行加密，故保證了交換的安全性?？焖倌Ｊ絽f(xié)商過(guò)程發(fā)送IPsec安全提議、身份和驗(yàn)證數(shù)據(jù)查找匹配的安全提議，生成密鑰接收安全提議和生成密鑰發(fā)送確認(rèn)的安全提議、身份和驗(yàn)證數(shù)據(jù)發(fā)送驗(yàn)證數(shù)據(jù)接收信息協(xié)商發(fā)起方協(xié)商響應(yīng)方123已加密數(shù)據(jù)10.2.5IPSecVPN配置IPSecVPN配置方式：ACL方式虛擬隧道接口方式以EfficientVPN策略在采用ACL方式建立IPSec隧道之前，需完成以下任務(wù)：實(shí)現(xiàn)源接口和目的接口之間的路由可達(dá)。確定需要IPSec保護(hù)的數(shù)據(jù)流。確定數(shù)據(jù)流被保護(hù)的強(qiáng)度，即確定使用的IPSec安全提議的參數(shù)。確定IPSec隧道是基于手工方式還是IKE動(dòng)態(tài)協(xié)商方式建立。10.2.5IPSecVPN配置采用ACL方式建立IPSec隧道配置流程如下：定義需要保護(hù)的數(shù)據(jù)流。配置IPSec安全提議。配置IKE安全提議。配置IKE對(duì)等體。配置安全策略。接口上應(yīng)用安全策略組。檢查配置結(jié)果。10.2.5IPSecVPN配置1.定義需要保護(hù)的數(shù)據(jù)流ACL規(guī)則中的permit關(guān)鍵字表示與之匹配的流量需要被IPSec保護(hù)，而deny關(guān)鍵字則表示與之匹配的流量不需要被保護(hù)。一個(gè)ACL中可以配置多條規(guī)則，首個(gè)與數(shù)據(jù)流匹配上的規(guī)則決定了對(duì)該數(shù)據(jù)流的處理方式。操作步驟如下。進(jìn)入系統(tǒng)視圖。執(zhí)行【acl

[

number

]

acl-number

[

match-order

{

config

|

auto

}]】命令，創(chuàng)建一個(gè)高級(jí)ACL（acl-number為3000～3999）并進(jìn)入其視圖。執(zhí)行【rule

[

rule-id

]{

deny

|

permit

}

ip

[

destination

{

destination-addressdestination-wildcard

|

any

}|

source

{

source-addresssource-wildcard

|

any

}

|

vpn-instance

vpn-instance-name

|

dscp

dscp

]

*】命令，在ACL視圖下，配置ACL規(guī)則。10.2.5IPSecVPN配置2.配置IPSec安全提議執(zhí)行【ipsecproposal

proposal-name】命令創(chuàng)建IPSec安全提議并進(jìn)入IPSec安全提議視圖。執(zhí)行【transform

{

ah

|

esp

|

ah-esp

}】命令配置安全協(xié)議。默認(rèn)IPSec安全提議采用ESP協(xié)議。配置安全協(xié)議的認(rèn)證/加密算法。執(zhí)行【ahauthentication-algorithm

{

md5

|

sha1

|

sha2-256

|

sha2-384

|

sha2-512

|

sm3

}】命令，設(shè)置AH協(xié)議采用的認(rèn)證算法。默認(rèn)情況下，AH協(xié)議采用SHA-256認(rèn)證算法。執(zhí)行【espauthentication-algorithm

{

md5

|

sha1

|

sha2-256

|

sha2-384

|

sha2-512

|

sm3

}】命令，設(shè)置ESP協(xié)議采用的認(rèn)證算法。默認(rèn)情況下，ESP協(xié)議采用SHA-256認(rèn)證算法。執(zhí)行【espencryption-algorithm

[

3des

|

des

|

aes-128

|

aes-192

|

aes-256

|

sm1

|

sm4

]】命令，設(shè)置ESP協(xié)議采用的加密算法。默認(rèn)情況下，ESP協(xié)議采用AES-256加密算法。執(zhí)行【encapsulation-mode

{

transport

|

tunnel

}】命令，選擇安全協(xié)議對(duì)數(shù)據(jù)的封裝模式。默認(rèn)情況下，安全協(xié)議對(duì)數(shù)據(jù)的封裝模式采用隧道模式。10.2.5IPSecVPN配置3.配置IKE安全提議進(jìn)入系統(tǒng)視圖。執(zhí)行【ikeproposal

proposal-number】命令，創(chuàng)建一個(gè)IKE安全提議，并進(jìn)入IKE安全提議視圖。執(zhí)行【authentication-method

{