VPN:Virtual Private Network,虚拟私有网络,使用不安全的公共网络,架设一条安全的私有网络
使用场合:总部和分公司、商业合作伙伴、远程办公、翻墙
优点:安全、低开销、扩展灵活
种类:
Site-to-Site:LAN-to-LAN,站点到站点,双方都拥有固定的IP
Remote-Access:Easy VPN,远程接入,一方没有固定IP,如ADSL、移动办公、SOHO
VPN的主要技术:
二层:FR、ATM(异步传输模式)
三层:IPsec、GRE
应用层:SSL(安全套接层)
小编推荐:CCSP课程大纲全面升级【详情】
数据安全的关键点:
CIA模型:
C=Confidentiality,私密性,保证数据无法其他人准确读取
I=Integrity,完整性,保证数据没有被改动
A=Authentication,认证,保证数据的来源
Antireplay protection:防重传,保证数据传输的次数
Sign:签名,防止抵赖
私密性的保证:加密算法
加密方法:
移位:通过特定的规律改变原来的顺序
置换:通过特定的规律改变原来的字符
加密算法的分类:
对称:加密和解密使用相同的密钥
非对称:有两把密钥:公钥和私钥,公钥加密私钥解密,私钥加密公钥解密
流行算法:
对称:DES、3DES、AES
DES=56位
3DES=168位
AES=128~1024位
非对称:RSA
保证算法的安全性:目前大多数加密的算法都公开,关键是如何保护密钥
完整性的保证:哈希算法、散列函数
主要算法:
MD5=消息摘要算法版本5
SHA
特点:
单向不可逆
雪崩效应
值定长128位
认证的保证:签名、数字证书
如:私钥加密公钥解密
防止抵赖:
IPsec:IP Security,IP安全,其实是一个安全框架,可以保证数据的CIA,放重传等,实现每一个目标没有固定的算法限制,可以随着算法的升级而改进,永不过时
IPsec的封装模式:
AH:Authentication Header,认证头部,提供数据的完整性、认证保证
ESP:Encapsulating Security Protocol,负载安全协议,提供数据的私密性、完整性、认证、防重传的保证
SA:Security Association,安全关联,类似双方传输数据前为VPN签署的协议合同
配置:
1,抓取需要加密的流量:
R1(config)#access-list 100 permit ip host 1.1.1.1 host 2.2.2.2
2,定义IPsec细节:
R1(config)#crypto isakmp policy 1 创建合同签署方案1
R1(config-isakmp)#encryption aes 加密算法
R1(config-isakmp)#hash md5 哈希算法
R1(config-isakmp)#authentication pre-share 认证方式
R1(config-isakmp)#lifetime 3600 有效期
R1(config-isakmp)#group 2 DH算法为2
3,定义认证:
R1(config)#crypto isakmp Key 123 address 23.0.0.3
对方IP=23.0.0.3,密码=123
4,定义封装:
R1(config)#crypto ipsec transform-set iLync esp-aes esp-md5-hmac
转换集叫winnie,加密=aes,完整=md5
5,定义映射把1~4进行关联:
R1(config)#crypto map cisco 1 ipsec-isakmp 创建名叫pooh的映射
R1(config-crypto-map)#match address 100 匹配1
R1(config-crypto-map)#set transform-set iLync 匹配4
R1(config-crypto-map)#set peer 23.0.0.3 设置对方IP
6,在接口调用:
R1(config-if)#crypto map cisco
调试命令:
R1#show crypto isakmp policy 查看模板
R1#show crypto ipsec sa 查看安全关联