网站制作那家便宜,外贸网站英文版,铝型材网络机柜设计报告,pinfinity wordpress前情回顾
前面介绍的GRE隧道协议#xff0c;可以字LAN之间通过Internet建立隧道#xff0c;实现网络间资源共享#xff0c;但是GRE隧道协议不能实现加密功能#xff0c;传输的数据不受加密保护#xff0c;为了实现在隧道间传输数据包收到加密保护#xff0c;需要使用IPS…前情回顾
前面介绍的GRE隧道协议可以字LAN之间通过Internet建立隧道实现网络间资源共享但是GRE隧道协议不能实现加密功能传输的数据不受加密保护为了实现在隧道间传输数据包收到加密保护需要使用IPSec隧道协议
什么是LAN VPN提供的安全服务有哪些方面
机密性完整性即传输的数据不被修改验证服务
VPN可以在哪些层上实现
链路层例如点对点隧道协议PPTP二层转发例如二层转发协议L2FP、二层隧道协议L2TP网络层例如IP安全协议IPSec传输层例如安全套接字协议SSL
IPSec隧道协议
简介
一种开放标准的安全框架结构基于AH、ESP等安全协议的基础上网络层隧道协议 使用特性
在两台设备之间开始传递数据之前他们之间通过协商建立安全联盟SA搭建传递数据的安全通道采用的协议方法可以是手工配置或者采用标准的IKEInternet Key Exchange协议方式
IPsec中的两个安全协议
鉴别首部AH协议提供源点身份鉴别和数据完整性检查但是不提供保密ESP除了提供AH那两种特性外海提供了保密功能 常用术语 对等体参与Ipsece的设备亦或者其他设备例如网关路由器、计算机 安全联盟 安全参数索引 安全联盟生命周期 交换集 加密映射条目 IPSec连接过程
IPSec启动
一个对等体向两一个对等体发送需要保护的数据流量时则IPSec进程自动启动也可以通过手动启动
建立管理连接IKE SA
启动IPSec进程后首要做的事情就是建立IKE安全联盟即建立管理连接在这个阶段完成的主要任务如下
策略协商
确认采用什么样的加密方法(AES-256,AES-192等等采用 什么样的完整性检查方法SHA1、MD5采用什么样的验证方法KerberosV5、证书或预共享秘钥采用什么样的创建秘钥方法DH Group14、DH Group2等
验证身份
交换参数并创建管理秘钥
IKE的一个主要特征就是不在网络上传递秘钥只在网络传递创建秘钥需要的相关参数然后由通信双方计算机依据交换的相关参数分别产生相同管理秘钥管理秘钥主要用于对管理连接中交换的数据加密和解密。
建立数据连接IPSec SA)
完成IKE安全联盟建立之后可以创建IPSec数据连接在这个阶段主要任务
策略协商
去顶IpSec采用什么安全协议AH、ESP等、完整性与验证方法采用什么样的散列方法MD5、SHA1等采用什么样的加密方法AES-256,AES-192等等
创建会话秘钥
将SA、秘钥以及安全参数索引SPI应用于驱动程序
SPI是每对SA的标志符、每对SA有唯一的SPI值
传输数据
IPSec配置
IPSec配置是为了建立IPSec安全联盟
两种方式
手工配置IPSec安全联盟手工配置的不需要IKE介入加密秘钥由管理员手工设置但是需要指定更多的参数安全性低通过IKE协商创建配置IPSec安全联盟这里面的加密秘钥是由IKE产生但是需要对IKE参数进行配置加密秘钥可以定期自动协商更新安全性较高
IPSec配置过程中主要有以下任务
创建加密访问列表定义变换集创建加密映射条目将加密映射条目应用到接口上配置默认生命周期监视和维护IPSec
下次再记录配置的过程
