【IPsec】视频安全传输方案

一种网络安全传输技术，实现数据的完整性、认证及数据加密方面的保证。...



行业背景随着高清网络监控技术的迅速发展，使得视频数据变得更有价值；互联网技术在视频监控上应用，彻底打破地域限制不足，从而实现监控无处不在。监控系统以广泛运用于工业、能源、交通、金融、教育、平安城市、边防等领域，为社会和人们生活安全保驾护航；但视频数据在互联网上传输存在一些安全漏洞，如视频数据被窃取或篡改，这就使得一些对安全等级要求高的视频数据在网络上传输存在风险（重要视频会议、机密场景监控等）；针对这些安全漏洞可以通过网络安全技术来解决，如采用专线、数据加密、VPN 等技术，今天主要向大家介绍 IPSEC -VPN 这一种网络安全传输技术。

概述VPN（Virtual Private Network）即虚拟专用网，通过公网连接到对方私网的一种技术，这种技术就是隧道技术。隧道可以实现远程网络之间通过私有 IP 地址互访。实现数据的完整性、认证及数据加密方面的保证。


优势1、VPN 与租用专线相比，VPN每条连接的费用成本只相当于租用专线的 40% 到60%，VPN 还允许一个单一的WAN接口服务多种用途；

2、安全性：采用四项技术来保证数据通信安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption &Decryption)、密钥管理技术 Key Management)、身份认证技术(Authentication)；



3、随意联网，真正达到了要连就连，要断就断，可以实现灵活自如的扩展和延伸；

IPces-VPN配置



第一步IKE（ISAKMP）策略协商:

定义 IKE Phase One 中的一些策略，包括加密算法（Encryption），Hash算（HMAC），密钥算法（Diffie-Hellman），认证方式（Authentication）等等。

配置命令：

r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption 3des

r1(config-isakmp)#hash sha

r1(config-isakmp)#authentication pre-share

r1(config-isakmp)#group 2

r1(config-isakmp)#exit第二步 定义认证标识: 

指定IKE协商密钥（双方必须相同）和对等体IP,因为之前定义的认证方式为Pre-Shared Keys (PSK)，所以需要定义认证密码，IP地址为对端R2，这里定义与R2的认证密码为123456，并且双方密码必须一致，否则无法建立IKE SA，其中0表示密码在running-config中显示为明文。

配置命令：

r1(config)#crypto isakmp key 0 123456 address 10.1.1.1第三步 定义IPSEC的变换集：

配置了 transform-set 为 myset，其中数据封装使用 esp 加 3des 加密，并且使用 esp 结合 sha 做 hash 计算，默认的 IPsec mode为tunnel。

配置命令：

r1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac

r1(cfg-crypto-trans)#exit第四步 在 R1 上定义感兴趣流量:

这里需要被 IPsec 保护传输的流量为，即 192.168.1.0/24 发往 10.1.1.0/24的流量，切记不可使用 any 来表示地址。

配置命令：

r1(config)#access-list 100 permit ip 192.168.1.0  0.0.0.255 10.1.1.0 0.0.0.255第五步 在 R1上创建 crypto map:

在 R1 上配置 crypto map 为 l2l，序号为 1，即第 1 组策略，其中指定加密数据发往的对端为 10.1.1.1，即和 10.1.1.1 建立 IPsec 隧道，调用的 IPsec transform为654321，并且指定 ACL 100 中的流量为被保护的流量。

配置命令：

r1(config)#crypto map l2l 1 ipsec-isakmp

r1(config-crypto-map)#set peer 10.1.1.1

r1(config-crypto-map)#set transform-set myset

r1(config-crypto-map)#match address 100

r1(config-crypto-map)#exit第六步 在 R1 上将 crypto map 应用于接口:

r1(config)#int f0/0

r1(config-if)#cryptomap l2l

r1(config-if)#exitR2配置：

使用相同方式配置 R2 的 LAN-to-LAN VPN

    关注 AipStar