IPSEC VPN 介绍

1.什么是数据认证，有什么作用，有哪些实现的技术手段？

数据认证技术在VPN中发挥着重要的作用，主要用于验证VPN连接的合法性和可信度，确保数据传输的安全性和完整性。

2.什么是身份认证，有什么作用，有哪些实现的技术手段？

身份认证技术在VPN中发挥着重要的作用，主要用于验证VPN用户的身份和权限，确保VPN连接的安全性和合法性。

3.什么VPN技术？

-- virtual private network 虚拟私有网，实现是隧道技术。

4.VPN技术有哪些分类？

1.隧道技术

2.加解密技术

3.数据认证技术

4.身份认证技术

5.密钥管理传输技术

5.IPSEC技术能够提供哪些安全服务？

1. 数据机密性

2. 数据完整性

3. 身份认证

4. 反重放攻击保护

5. 抗攻击能力

6.IPSEC技术架构？

7.AH与ESP封装的异同？

 

8.IKE的作用是什么？

1.为 ipsec 通信双方，动态的建立安全联盟 SA ，对 SA 进行管理与维护。

2.为 ipsec 生成密钥，提供 AH/ESP 加解密和验证使用。。

9.详细说明IKE的工作原理？

第一个阶段 ：通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道，交换建立一个

安全联盟。

第二个阶段： 用已经建立的安全联盟 iskmp sa(ike sa) 的安全通道为 ipsec 协商安全服务，建立 ipsecsa，产生用于业务数据加密的密钥。

10.IKE第一阶段有哪些模式？有什么区别，使用场景是什么？

主模式和野蛮模式

主模式：需要更高的安全性时使用

野蛮模式：需要快速建立通道时使用

11.IPSEC在NAT环境下会遇到什么问题？

主模式以IP地址为身份ID，NAT会转换IP地址，导致认证不通过。

12.详细分析NAT环境下IPSEC的兼容问题？

1. IP地址转换：在NAT环境下，私有网络内的IP地址需要被转换为公网IP地址，以便与公网上的其他网络进行通信。但是，IPSEC中的加密负载是基于IP地址的，如果IP地址发生了转换，那么接收方将无法解密。
2. 会话状态维护：在NAT环境下，NAT设备需要记录每个会话的状态信息，以便能够正确地转发数据包。但是，IPSEC使用了IP头部中的SPI字段来标识IPSEC会话，这意味着NAT设备无法正确地处理SPI字段，从而导致会话状态无法正确地维护。

13.多VPN的NAT环境下IPSEC会有哪些问题？

多VPN的NAT环境下，IPSEC可能会出现以下问题： 

1. IP地址冲突

2. 数据包转发错误

3. 隧道建立问题

14.描述NHRP的第三阶段工作原理？

当一个主机需要向另一个主机发送数据包时，它会首先查询NHRP缓存，以确定目标主机的下一跳地址。如果该地址不在NHRP缓存中，则它会向NHRP服务器发送一个解析请求。

15.IPSEC是否支持动态协议？为什么？

IPSEC可以在两个节点之间建立一个安全通信隧道，该隧道可以通过静态设置建立，也可以通过动态协议来建立。

16.DSVPN的工作原理及配置步骤？

1.DSVPN可以让站点之间可以直接通信，而不需要经过VPN中心站点。每个站点（包括中心站点和分支站点）都有一个唯一的标识符，称为NHRP注册ID。站点之间的通信通过NHRP协议进行，NHRP协议负责维护站点之间的路由信息。

interface Tunnel0/0/0
ip address 10.0.0.3 255.255.255.0
tunnel-protocol gre p2mp
source GigabitEthernet0/0/0
gre key 123
ospf network-type p2mp
ipsec profile yyy
nhrp redirect //总部和一级分支需要配置
nhrp shortcut //一级分支和二级分支需要配置
nhrp entry multicast dynamic
nhrp network-id 100
nhrp entry 10.0.0.1 100.1.12.1 register
ipsec proposal yyy
encapsulation-mode transport
transform ah-esp
ah authentication-algorithm sha1
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ike proposal 1
encryption-algorithm aes-cbc-128
dh group5
authentication-algorithm md5
sa duration 3600
#
ike peer yyy v1
exchange-mode aggressive
pre-shared-key simple 999
ike-proposal 1
local-id-type name
remote-name kkk
#
ipsec profile yyy
ike-peer yyy
proposal yyy
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 10.0.0.3 0.0.0.0
network 10.3.3.3 0.0.0.0