技術(shù)資訊|信而泰IPSec測試方法介紹

NO.1

什么是IPSec

IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一組開放的網(wǎng)絡(luò)安全協(xié)議。它并不是一個單獨(dú)的協(xié)議，而是一系列為IP網(wǎng)絡(luò)提供安全性的協(xié)議和服務(wù)的集合，包括認(rèn)證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）兩個安全協(xié)議、密鑰交換和用于驗(yàn)證及加密的一些算法等。通過這些協(xié)議，在兩個設(shè)備之間建立一條IPSec隧道。數(shù)據(jù)通過IPSec隧道進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)保護(hù)數(shù)據(jù)的安全性。

NO.2

IPSec產(chǎn)生原因

隨著網(wǎng)絡(luò)發(fā)展，企業(yè)直接通過Internet進(jìn)行互聯(lián)，IP協(xié)議沒有考慮安全性，但是Internet上有大量的不可靠用戶和網(wǎng)絡(luò)設(shè)備，所以用戶業(yè)務(wù)數(shù)據(jù)要穿越這些未知網(wǎng)絡(luò)就無法保證數(shù)據(jù)的安全性，數(shù)據(jù)易被偽造、篡改或竊取。因此，迫切需要一種兼容IP協(xié)議的通用的網(wǎng)絡(luò)安全方案。為了解決上述問題，IPSec（Internet Protocol Security）應(yīng)運(yùn)而生。IPSec是對IP的安全性補(bǔ)充，其工作在IP層，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)。

NO.3

IPSec如何工作

分為四個步驟：

1、識別“感興趣流”

設(shè)備在收到報(bào)文后，一般會將報(bào)文的五元組等信息和IPsec策略進(jìn)行匹配來判斷報(bào)文是否要通過IPsec隧道傳輸，需要通過IPsec隧道傳輸?shù)牧髁勘环Q為“感興趣流”。

2、協(xié)商安全聯(lián)盟（Security Association，以下簡稱SA）

SA是通信雙方對某些協(xié)商要素的約定，只有建立了SA才能進(jìn)行安全的數(shù)據(jù)傳輸。識別出感興趣流后，本端網(wǎng)絡(luò)設(shè)備會向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)起SA協(xié)商。在這一階段，通信雙方建立IKE SA，然后在IKE SA的基礎(chǔ)上協(xié)商建立IPsec SA。

3、數(shù)據(jù)傳輸

IPsec SA建立成功后，雙方就可以通過IPsec隧道傳輸數(shù)據(jù)。IPsec為了保證數(shù)據(jù)傳輸?shù)陌踩�性，在這一階段需要通過AH或ESP協(xié)議對數(shù)據(jù)進(jìn)行加密和驗(yàn)證。

4、隧道拆除

通常情況下，通信雙方之間的會話老化即代表通信雙方數(shù)據(jù)交換已經(jīng)完成，因此為了節(jié)省系統(tǒng)資源，通信雙方之間的隧道在空閑時間達(dá)到一定值后會自動刪除。

NO.4

IPSec重要性

部署IPSec具有以下價值：

數(shù)據(jù)來源驗(yàn)證：接收方驗(yàn)證發(fā)送方身份是否合法。

數(shù)據(jù)加密：發(fā)送方對數(shù)據(jù)進(jìn)行加密，以密文的形式在Internet上傳送，接收方對接收的加密數(shù)據(jù)進(jìn)行解密后處理或直接轉(zhuǎn)發(fā)。

數(shù)據(jù)完整性：接收方對接收的數(shù)據(jù)進(jìn)行驗(yàn)證，以判定報(bào)文是否被篡改。

抗重放：接收方拒絕舊的或重復(fù)的數(shù)據(jù)包，防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊。

對于設(shè)備能否支持IPSec協(xié)議在各種場景的部署，以及設(shè)備對于各種場景的流量轉(zhuǎn)發(fā)能否達(dá)標(biāo)顯得尤為重要，信而泰的2-3層BigTao測試平臺和層DarYu測試平臺以及DarPeng2000E平臺的ALPS測試平臺能進(jìn)行IPSec的IKEv1、IKEv2、IKEGM測試。

NO.5

如何進(jìn)行IPSec VPN測試

信而泰ALPS測試平臺支持的IPSec VPN測試功能：

1、信而泰ALPS測試平臺支持IPSec的IKE協(xié)議兩個國際標(biāo)準(zhǔn)版本IKEv1和IKEv2，以及國家標(biāo)準(zhǔn)化管理委員會提出由國家密碼管理局批準(zhǔn)的我國自主制定的IPSec行業(yè)標(biāo)準(zhǔn)——《GM-T 0022-2014 IPsec VPN技術(shù)規(guī)范》即IKEv1.1。

2、身份認(rèn)證支持預(yù)共享密鑰PSK（pre-shared key）認(rèn)證、數(shù)字證書RSA（rsa-signature）認(rèn)證。預(yù)共享密鑰PSK（配置方式為IKEv1或IKEv2時）數(shù)字證書Cert（配置方式為IKEv1、IIKEv2或IKEGM時）。

3、IKE HD（公共密鑰算法）支持MODP-768(1)，MODP-1024(2)，MODP-1536(5)，MODP-2048(14)，MODP-3072(15)，MODP-4096(16)，MODP-6144(17)，MODP-8192(18)等。

4、“完善的前向保密”PFS（Perfect Forward Secrecy）支持MODP-768（1），MODP-1024（2），MODP-1536（5），MODP-2048（14）等。

5、IKE哈希算法支持HMAC-SHA2-318，HMAC-SHA2-512，HMAC-SHA2-256，GM-SM3；

IKE加密算法支持AES-CBC-128，AES-CTR-128，AES-CBC-192，AES-CBC-256，GM-SM4；IKE PRF偽隨機(jī)數(shù)算法支持HMAC-SHA2-256，GM-SM3，AES-128，HMAC-SHA2-384，HMAC-SHA2-512，HMAC-SHA1；

ESP哈希算法支持NULL，HMAC-MD5，HMAC-SHA2-256，HMAC-SHA2-384，HMAC-SHA2-512，GM-SM3，GM-SM3-96；

ESP加密算法支持DES-CBC，3DES-CBC，AES-CTR-128，AES-CBC-128，AES-CBC-192，AES-CBC-256，GCM-128，GCM-192，GCM-256，GM-SM4；

支持校驗(yàn)證書；

IPsec拓?fù)淠Ｊ街С諷ite To Site（兩個局域網(wǎng)之間通過VPN隧道建立連）和Remote Access（客戶端與企業(yè)內(nèi)網(wǎng)之間通過VPN隧道建立連接）。

應(yīng)用場景示例

IPSec VPN點(diǎn)對多點(diǎn)IKEv1測試：

拓?fù)湔f明：

本例使用測試儀上的Port1（作為多個分支機(jī)構(gòu)模擬的多個防火墻來和DUT的G0/0/1端口建立IPSec隧道）和Port2（作為DUT的G0/0/2端口后的網(wǎng)絡(luò)，模擬DUT后的總部）。

操作步驟：

第一步：預(yù)約端口，創(chuàng)建并設(shè)置網(wǎng)絡(luò)鄰居

第二步：創(chuàng)建測試用例，編輯流量模型及應(yīng)用模型

第三步：保存配置并運(yùn)行

查看結(jié)果：

統(tǒng)計(jì)中第一階段及第二階段協(xié)商成功數(shù)量為100。

　　DUT上IPSec VPN協(xié)商成功數(shù)量為100。