IPSEC VPN 介绍

1.什么是数据认证,有什么作用,有哪些实现的技术手段?

数据认证技术在VPN中发挥着重要的作用,主要用于验证VPN连接的合法性和可信度,确保数据传输的安全性和完整性。

2.什么是身份认证,有什么作用,有哪些实现的技术手段?

身份认证技术在VPN中发挥着重要的作用,主要用于验证VPN用户的身份和权限,确保VPN连接的安全性和合法性。

3.什么VPN技术?

-- virtual private network 虚拟私有网,实现是隧道技术。

4.VPN技术有哪些分类?

1.隧道技术
2.加解密技术
3.数据认证技术
4.身份认证技术
5.密钥管理传输技术

5.IPSEC技术能够提供哪些安全服务?

  1. 数据机密性

  2. 数据完整性

  3. 身份认证

  4. 反重放攻击保护

  5. 抗攻击能力

6.IPSEC技术架构?

IPSEC VPN 介绍_第1张图片

7.AH与ESP封装的异同?

IPSEC VPN 介绍_第2张图片

 IPSEC VPN 介绍_第3张图片

8.IKE的作用是什么?

1.为 ipsec 通信双方,动态的建立安全联盟 SA ,对 SA 进行管理与维护。
2.为 ipsec 生成密钥,提供 AH/ESP 加解密和验证使用。。

9.详细说明IKE的工作原理?

第一个阶段 :通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道,交换建立一个
安全联盟。
第二个阶段: 用已经建立的安全联盟 iskmp sa(ike sa) 的安全通道为 ipsec 协商安全服务,建立 ipsecsa,产生用于业务数据加密的密钥。

10.IKE第一阶段有哪些模式?有什么区别,使用场景是什么?

主模式和野蛮模式

主模式:需要更高的安全性时使用

野蛮模式:需要快速建立通道时使用

11.IPSEC在NAT环境下会遇到什么问题?

主模式以IP地址为身份ID,NAT会转换IP地址,导致认证不通过。

12.详细分析NAT环境下IPSEC的兼容问题?

  1. IP地址转换:在NAT环境下,私有网络内的IP地址需要被转换为公网IP地址,以便与公网上的其他网络进行通信。但是,IPSEC中的加密负载是基于IP地址的,如果IP地址发生了转换,那么接收方将无法解密。
  2. 会话状态维护:在NAT环境下,NAT设备需要记录每个会话的状态信息,以便能够正确地转发数据包。但是,IPSEC使用了IP头部中的SPI字段来标识IPSEC会话,这意味着NAT设备无法正确地处理SPI字段,从而导致会话状态无法正确地维护。

13.多VPN的NAT环境下IPSEC会有哪些问题?

多VPN的NAT环境下,IPSEC可能会出现以下问题: 

  1. IP地址冲突

  2. 数据包转发错误

  3. 隧道建立问题

14.描述NHRP的第三阶段工作原理?

当一个主机需要向另一个主机发送数据包时,它会首先查询NHRP缓存,以确定目标主机的下一跳地址。如果该地址不在NHRP缓存中,则它会向NHRP服务器发送一个解析请求。

15.IPSEC是否支持动态协议?为什么?

IPSEC可以在两个节点之间建立一个安全通信隧道,该隧道可以通过静态设置建立,也可以通过动态协议来建立。

16.DSVPN的工作原理及配置步骤?

1.DSVPN可以让站点之间可以直接通信,而不需要经过VPN中心站点。每个站点(包括中心站点和分支站点)都有一个唯一的标识符,称为NHRP注册ID。站点之间的通信通过NHRP协议进行,NHRP协议负责维护站点之间的路由信息。

interface Tunnel0/0/0
ip address 10.0.0.3 255.255.255.0
tunnel-protocol gre p2mp
source GigabitEthernet0/0/0
gre key 123
ospf network-type p2mp
ipsec profile yyy
nhrp redirect //总部和一级分支需要配置
nhrp shortcut //一级分支和二级分支需要配置
nhrp entry multicast dynamic
nhrp network-id 100
nhrp entry 10.0.0.1 100.1.12.1 register
ipsec proposal yyy
encapsulation-mode transport
transform ah-esp
ah authentication-algorithm sha1
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ike proposal 1
encryption-algorithm aes-cbc-128
dh group5
authentication-algorithm md5
sa duration 3600
#
ike peer yyy v1
exchange-mode aggressive
pre-shared-key simple 999
ike-proposal 1
local-id-type name
remote-name kkk
#
ipsec profile yyy
ike-peer yyy
proposal yyy
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 10.0.0.3 0.0.0.0
network 10.3.3.3 0.0.0.0

你可能感兴趣的:(防火墙,网络,运维)