1、×××

通过一个不安全的网络建立一个安全的通道

2、×××分类

1)工作层次

应用层--->SSL ×××

传输层--->TLS

网际层--->IPSEC MPLS L3×××

数据链路层-->FR ATM

物理层--->专线E1

2)ISP--客户关系

对等模型×××:客户跟ISP有路由交互

覆盖模型×××:没有

3、IPSEC:标准化

IP+SEC

1)认证数据---->身份认证

2)数据完整性-->不被修改

3)数据私密性-->不被看到

4、×××应用场景

1)站点——站点×××

2)远程接入×××

5、IPSEC 协议

1control--->IKE

2data--->ESP AH

6、IPSEC 保护模式

1)传输模式

保护原始数据4层负载

保护数据的源和目标就是×××的源和目标

2)隧道模式

保护原始整个IP包

保护数据的源和目标跨过×××的源和目标

7、对等体认证

1)设备认证---ip

pre-share key--->扩展性问题

数字证书

2)用户认证

用户名密码

OTP

生物识别

8、IKE---control plain

1)作用

(1)SA参数数据协商---算法

(2)key 产生

(3)key 刷新

(4)可管理配置

2)流程:2个阶段3个模式

阶段1:建立1个安全管理通道

认证对等体

协商双向SA--->ISAKMP SA

主模式/积极模式

 

阶段2:建立1个安全数据通道

建立IPSEC SA

快速模式

阶段1.5:---->针对远程接入×××

xauth:扩展认证

modeconfig:下发安全策略,简化远端配置 EZ×××

9、IKE其它功能

1)DPD:没有流量发送

2)IKE keepalive 平时周期性发送

3)NAT-T

(1)判断有没有NAT

IP+PORT--->HASH

(2)如何NAT-T

把IPSEC的数据重新封一个UDP头部, 源目端口都是4500

4)mode config xuath

 

1ESPAH

1)ESP

prot=50

加密

数据源认证

完整性认证

2)AH

pro=51

数据源认证

完整性认证

注意:认证时把认证结构填充0来计算

2、消息认证和完整性检测

1)hash

唯一不可逆

2)hash算法

MD5---->128

SHA-1-->160

3)密钥化散列 hmac

data+key---hash-->值

4)hmac在IPSEC使用

取前面96放到IPSEC中去

3、对称加密

1)加密和解密是使用相同的密钥

2)紧凑的

3)速度快

4)算法

DES 3DES AES RC4 RC-6

块加密,64位数据块,56位密钥

3DES---168 加密--->解密--->加密

data+key1--->密文1

密文1+key2-->密文2

密文2+key3-->密文

AES--->128位,192,256

4、非对称加密

1)加密和解密是用不同的key

公钥----可以公开

私钥----只有自己知道,不公开

公钥加密,私钥解密---->对数据进行加密,SSH

私钥加密,公钥解密---->数字签名

2)不紧凑的

3)速度慢 3000倍

4)算法:RSA DH

RSA:因式分解

DH:求模

5、DH

IPSec作用:不传输key的前提下,使得双方产生相同的key

6、IPSEC 操作

1)感兴趣流量触发IPSEC建立

2)建立ipsec IKE阶段1--->IKE SA(保护控制数据)

认证方法(pre-share 数字证书)

加密DES 3DES AES

DH1257

lifetime

hashmd5 sha

3)建立ipsec IKE阶段2--->IPSEC SA保护用户数据

SA特点:

协商一系列参数(加密、协议、HASH)

单向

协议相关(AH ESP)

4)数据使用IPSEC保护

5)终结ipsec tunnel

7、配置

R2#sh crypto engine connections ac

R2#sh crypto isakmp policy

R2#sh crypto ipsec sa

R2#debug crypto ipsec

R2#debug crypto isakmp

R2#clear crypto isakmp

R2#clear cry sa

 

IPSec问题:同时做了NAT和IPSec×××时,或NAT穿越