资料来源:北大青鸟BENET2.0课程第二学期PPT。以下内容经本人总结后作学习交流之用,可随意转载,转载请注明出处!请勿用于商业用途,否则后果自负!!!
虚拟专网(×××)
-什么是×××:
×××(Virtual Private Network):在公用网络中,按照相同的策略和安全规则,建立的私有网络连接。
×××相对于专线方式的优点
|
专线方式
|
×××
方式
|
|
费用高
|
费用低
|
|
灵活性差
|
灵活性好
|
|
广域网的管理
|
简单的网络管理
|
|
复杂的拓扑结构
|
隧道的拓扑结构
|
-×××的结构和分类:
l
远程访问的×××:移动用户或远程小办公室通过Internet访问网络中心;连接单一的网络设备;客户通常需要安装×××客户端软件。
l
站点到站点的×××:公司总部和其分支机构、办公室之间建立的×××;替代了传统的专线或分组交换WAN连接;他们形成了一个企业的内部互联网络。
-×××的工作原理:
×××=加密+隧道
明文-访问控制-报文加密-报文认证-IP封装-IP隧道-公共IP网络-公共IP隧道-IP解封-报文认证-报文解密-控制访问-明文
-×××的关键技术:
安全隧道技术;信息加密技术;用户认证技术;访问控制技术
-安全隧道技术:
为了在公网上传输私有数据而发展起来的“信息封装”(Encapsulation)方式;在Internet上传输的加密数据包中,只有×××端口或网关的IP地址暴露在外面。
二层隧道×××:建立在点对点协议PPP的基础上;先把各种网络协议(IP、IPX等)封装到PPP帧中,再把整个数据帧装入隧道协议;适用于通过公共电话交换网或者ISDN线路连接×××,包括:
l
L2TP:Layer 2 Tunnel Protocol
l
PPTP:Point To Point Tunnel Protocol
l
L2F:Layer 2 Forwarding
三层隧道×××:把各种网络协议直接装入隧道协议;在可扩充性、安全性、可靠性方面优于第二层隧道协议,包括:
l
GRE:General Routing Encapsulation
l
IPSEC:IP Security Protocol
-信息的加密技术:
机密性:对用户数据提供安全保护
数据完整性:确保消息在传送过程中没有被修改
身份验证:确保宣称已经发送了消息的实体是真正发送消息的实体
-加密算法:
对称加密:DES算法;AES算法;IDEA算法、Blowfish算法、Skipjack算法
非对称加密:RSA算法;PGP
-对称密钥:
发送方和接受方使用统一密钥:通常加密比较快(可以达到线速);给予简单的数学操作(可借助硬件);需要数据的保密性时,用于大批量加密;密钥的管理是最大的问题。
-非对称密钥:
每一方有两个密钥:公钥,可以公开;私钥,必选全保存;已知公钥,不可能推算出私钥;一个密钥用于加密,一个用于解密;比对称加密算法慢很多倍。
-什么是IPSec:
l
IPSec(IP Security)是IETF为保证在Internet上传送数据的安全保密性,而制定的框架协议。
l
应用在网络曾,保护和认证用IP数据包:是开放的框架式协议,各算法之间相互独立;提供了信息的机密性、数据的完整性、用户的验证和防重放保护。
l
支持隧道模式和传输模式
-隧道模式和传输模式:
隧道模式:IPSec对整个IP数据包进行封装和加密,隐蔽了源和目的IP地址;从外部看不到数据包的路由过程。
传输模式:只对IP有效数据载荷进行封装和加密,IP源和目的IP地址不加密传送;安全程度相对较低。
-IPSec的组成:
IPSec提供两个安全协议:AH(Authentication Header)认证头协议;ESP(Encapsulation Security Payload)封装安全载荷协议。
密钥管理协议:IKE(Internet Key Exchange)因特网密钥交换协议
-AH认证头协议:
隧道中报文的数据源鉴别;数据的完整性保护;对每组IP包进行认证,防止***利用IP进行***。
-ESP封装安全载荷协议:
保证数据的保密性;提供报文的认证性、完整性保护
-AH和ESP相比较:
l
ESP基本提供所有的安全服务
l
如果仅使用ESP,消耗相对较少
l
为什么使用AH:AH的认证强度比ESP强;AH没有出口限制
-安全联盟SA:
l
使用安全联盟(SA)是为了解决:如何保护通信数据;保护什么通信数据;由谁实行保护
l
建立SA是其他IPSec服务的前提
l
SA定义了通信双方保护一定数据流量的策略
-一个SA通常包含以下的安全参数:
认证/加密算法,密钥长度及其他的参数;认证和加密锁需要的密钥;哪些数据要使用到SA;IPSec的封装协议和模式
-IKE因特网密钥交换协议:
在IPSec网络中用于密钥管理;为IPSec提供了自动协商交换密钥、建立安全联盟的服务;通过数据交换来计算密钥
-IPSec ×××的配置:
启动IKE:
Router(config)#crypto isakmp enable
建立IKE协商策略:
Router(config)#crypto isakmp policy priority
*priority:取值范围1~1000,数值越小,优先级越高
配置IKE协商策略:
Router(config-isakmp)#authentication pre-share //使用预定义密钥
Router(config-isakmp)#encryption {des | 3des} //加密算法
Router(config-isakmp)#hash {md5 | sha1} //认证算法
Router(config-isakmp)#lifetime seconds //SA活动时间
设置共享密钥和对端地址:
Router(config)#crypto isakmp key keystring address peer-address
*keystring:密钥;peer-address:对端IP
设置传输模式集:
Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform 2 [transform3]]
*transform:定义了使用AH还是ESP协议,以及相应协议所用的算法
配置保护访问控制列表:
Router(config)#access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard
*用来定义哪些报文需要经过IPSec加密后发送,哪些报文直接发送
创建端口Crypto Maps:
Router(config)#crypto map map-name seq-num ipsec-isakmp
*seq-num:Map优先级,取值范围1~65535,值越小,优先级越高
配置Crypto Maps:
Router(config-crypto-map)#match address access-list-number
Router(config-crypto-map)#set peer ip_address //对端IP地址
Router(config-crypto-map)#set transform-set name //传输模式的名称
应用Crypto Maps到端口:
Router(config-if)#crypto map map-name
-检查IPSec配置:
查看IKE策略:
Router#show crypto isakmp policy
查看IPSec策略:
Router#show crypto ipsec transform-set
查看SA信息:
Router#show crypto ipsec sa
查看加密映射:
Router#show crypto map