虚拟专网(二)
原创
©著作权归作者所有:来自51CTO博客作者dby08的原创作品,如需转载,请与作者联系,否则将追究法律责任
五、IPsec ×××
IPsec技术是目前使用最广泛的×××技术。目前企业构架×××时大多数都在使用IPsec技术。虽然目前随着技术的不断创新,出现了很多新的×××技术,如:MPLS ×××、SSL ×××等,但IPsec 在市场上还占有很大的市场。
1、IPsec的概述
IPsec(IP security)是IETF为保证在internet上传输数据的安全保密性,而制定的框架
协议。IPsec协议不是yoga单独的协议,它给出了应用于IP层上网络数据的安全的一整套体系结构,包括网络认证协议(authentication header,AH)、封装安全载荷协议(encapsulation security payload,ESP)、密钥管理协议(Internet key exchange IKE)和用于网络认证及加密的一些算法。IPsec规定了如何在对等层之间的安全协议,即确定安全算法和密钥交换,向上提供来访问控制,数据源的认证,数据加密等网络服务管理。
IPsec提供的安全服务:
1) 私有性:IPsec在传送数据之前将其加密,保证数据的私密性。
2) 完整性:Ipsec在目的地要检验数据包以保证数据在传送的过程中不被修改。
3) 真实性:IPsec段要验证所有受IPsec保护的数据包。
4) 防重性:IPsec防止了数据包被普抓并重新放到网络上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
Ipsec的隧道模式和传输模式
n 隧道模式
q IPsec对整个IP数据包进行封装和加密,隐蔽了源和目的IP地址
q 从外部看不到数据包的路由过程
n 传输模式
q IPsec只对IP有效数据载荷进行封装和加密,IP源和目的IP地址不加密传送
q 安全程度相对较低
2、 IPsec的组成
1) IPSec 提供两个安全协议
AH (Authentication Header) 认证头协议
ESP (Encapsulation Security Payload)封装安全载荷协议
2) 密钥管理协议
IKE(Internet Key Exchange)因特网密钥交换协议
AH (Authentication Header) 认证头协议
q 隧道中报文的数据源鉴别
q 数据的完整性保护
q 对每组IP包进行认证,防止黑客利用IP进行攻击
ESP (Encapsulation Security Payload)封装安全载荷协议
n 保证数据的保密性
n 提供报文的认证性、完整性保护
AH和ESP的比较
n ESP基本提供所有的安全服务
n 如果仅使用ESP,消耗相对较少
n 为什么使用AH
q AH的认证强度比ESP强
q AH没有出口限制
IKE(Internet Key Exchange)因特网密钥交换协议
n 在IPsec网络中用于密钥管理
n 为IPSec提供了自动协商交换密钥、建立安全联盟的服务
n 通过数据交换来计算密钥
3、 安全联盟SA
1) 使用安全联盟(SA)是为了解决以下问题
如何保护通信数据
保护什么通信数据
由谁实行保护
2) 建立SA是其他IPsec服务的前提
3) SA定义了通信双方保护一定数据流量的策略
SA的内容包括以下:
n 一个SA通常包含以下的安全参数
q 认证/加密算法,密钥长度及其他的参数
q 认证和加密所需要的密钥
q 哪些数据要使用到该SA
q IPsec的封装协议和模式
六、IPsec ×××的配置步骤
1. 配置IKE的协商。
2. 配置IPsec的协商。
3. 配置端口的应用。
4. IKE的调试和排错。
1) 配置IKE的协商。
启用IKE
Router(config)#crypto isakmp enable
建立IKE协商策略
Router(config)#crypto isakmp policy priority
Priority是IKE的编号,可取1——10000,其值越低,优先级越高。
配置IKE的协商参数
Router(config-isakmp)#hash {mad5|sha1}
2) 配置IPsec的协商。
Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# encryption { des | 3des }
Router(config-isakmp)# hash { md5 | sha1 }
Router(config-isakmp)# lifetime seconds
3) 配置端口的应用。
创建Crypto Maps
Router(config)# crypto map map-name seq-num ipsec-isakmp
配置Crypto Maps
Router(config-crypto-map)# match address access-list-number
Router(config-crypto-map)# set peer ip_address
Router(config-crypto-map)# set transform-set name
Router(config)# interface interface_name interface_num
Router(config-if)# crypto map map-name
4) IKE的调试和排错。
查看IKE策略
Router# show crypto isakmp policy
查看IPsce策略
Router# show crypto ipsec transform-set
查看SA信息
Router# show crypto ipsec sa
查看加密映射
Router# show crypto map
上一篇:虚拟专网一
下一篇:Linux常用命令大总结
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
虚拟专网
虚拟专网
职场 休闲 (*^__^*) 嘻嘻…… -
虚拟专网一
虚拟专网一
职场 虚拟 休闲 虚拟专网 IPsec vpn -
Centos 5.5 搭建PPTP ××× 虚拟专网
一、介绍VPN服务二、安装PPTP VPN服务三、配置VPN服务四、测试!
职场 休闲 centos VPN CENTOS pptpd