一、基本概述
二、工作原理
三、配置步骤
IKE协议来建立SA,SA协议建立在由ISAKMP定义的框架上
IKE不是在网络上直接传输密钥,而是通过一系列数据交换,最终计算出双方共享的密钥,并且即使第三方截获了双方用于计算密钥所有交换数据,无法计算出真正的密钥
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份,分发密钥,建立IPsec SA
数据认证
身份认证:确认通信双方的身份,预共享密钥(pre-shared-key)认证和基于PKI的数字签名认证
身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护
transform set是一组算法集合,通过它来定义ESP、AH封装IP报文
Crypto Map 是IPSec的组件,执行两个主要功能:
1、选择需要加密处理的数据(transform set)、
2、定义数据加密的策略以及数据发往的对端(感兴趣流、目的地址)
AH协议定义认证应用方法、提供数据源认证和完整性保证;ESP协议定义加密和可选认证的应用方法,提供数据可靠保证
AH协议(IP协议号51)工作原理:在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5、SHA-1等
ESP协议(IP协议号50)工作原理:在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。
ESP协议与AH协议不同的是,ESP保护用户数据进行加密后再封装到IP包中,保证数据的机密性
AH和ESP联合使用方式:先对报文进行封装ESP,再对报文进行AH封装
IPsec工作模式:传输模式、隧道模式封装格式
传输模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在厡IP包头后面
适用场合:两台主机之间通讯,一台主机和一个安全网关之间通讯
transport mode 模式只有安全功能,没有隧道功能
transport mode 多应用于局域网
DPD:(Dead Peer Detection)隧道检测机制,为了防止“隧道黑洞”,只对第一阶段生效
隧道模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中
适用场合:两个安全网关之间的通讯
加密认证都需要占用大量CPU资源,对于模块的路由器可以使用加密卡,完成数据的IPsec运算
路由器将需要加/解密处理的数据发送给加密卡,加密卡对数据进行加/解密运算并给数据添加/删除加密帧头
