IPSec分组的处理

所有IPSec实现都必须使用的两个数据库:

安全策略数据库(SPD);

安全关联数据库(SADB)

SPD存储了策略定义,它们决定了如何处理两个IPSec对等体之间的所有IP数据流:入站的和出站的。SADB包含每个活动安全关联的参数。

安全策略数据库:

目标IP地址

源IP地址

名称

数据敏感性等级

传输层协议

源和目标端口

安全关联数据库(SADB):

SADB包含下述9个与IPSec处理相关的参数:

序列号

序列号溢出

反重放窗口

SA寿命

模式

AH验证算法

ESP验证算法

ESP加密算法

路径MTU

crypto IPSec transform-set test esp-3des esp-sha-hmac

使用安全协议ESP,用3DES进行加密,用SHA-HMAC确保数据完整性,使用隧道模式来封装分组。

show crypto ipsec transform-set

1.查路由

2.查接口有没有加密映射

3.查SPD,是否匹配感兴趣流量,如果不匹配,直接转发,匹配则查IKE SA和IPSEC SA,如果没有,则协商。建议IKE/ISAKMP SA后,在IPSec隧道模式下使用ESP报头封装原始IP分组。

show cry isakmp policy

show cry isakmp sa

show cry eng conn act

注意:IPSec不仅要求对出站分组进行加密(如果它与代理或访问列表匹配),还要求与代理或访问列表的镜像匹配的入站分组必须是经过加密的。如果收到的这种分组为明文,将被丢弃。

时间: 2024-11-03 01:40:19

IPSec分组的处理的相关文章

分组密码模式: CBC模式(密码分组链接模式)

CBC模式是将前一个密文分组与当前明文分组的内容混合起来进行加密的,这样就可以避免ECB模式的弱点. 在CBC模式中,首先将明文分组与前一个密文分组进行XOR运算,然后再进行加密,如下图所示: 如果将一个分组的加密过程分离出来,我们就可以很容易地比较出ECB模式和CBC模式的区别,ECB模式只进行了加密,而CBC模式则在加密之前进行了一次XOR,如下图所示: 当加密第一个明文分组时,由于不存在“前一个密文分组”,因此需要事先准备一个长度为一个分组的比特序列来代替“前一个密文分组”,这个比特序列称

WEB安全——IPsec传输模式下ESP报文的装包与拆包过程

WEB安全概论                                                          ——IPsec传输模式下ESP报文的装包与拆包过程 一.IPsec       (一)简介       互联网安全协定(英语:Internet Protocol Security,缩写为 IPsec),是透过对IP协议(互联网协议)的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合). IPsec由两大部分组成:(1)建立安全分组流的密钥交换

Linux中IPsec的实现--(实例)

Linux中IPsec的实现 IPsec-VPN: virtual private network--虚拟专用网VPN作用: 通过公网实现远程连接,将私有网络联系起来VPN的类型:1.overlay的VPN,例如IPsec-VPN2.peer-to-peer的VPN,例如MPLS-VPN还可以分为二层VPN和三层VPNIPsec-VPN是三层的VPNIPsec-VPN的分类:1.site-to-site VPN 也叫 LAN-to-LAN VPN (要求两个站点都要有固定的IP)2.EASY-V

分组加密的四种模式(ECB、CBC、CFB、OFB)

加密一般分为对称加密(Symmetric Key Encryption)和非对称加密(Asymmetric Key Encryption). 对称加密又分为分组加密和序列password. 分组password.也叫块加密(block cyphers).一次加密明文中的一个块.是将明文按一定的位长分组,明文组经过加密运算得到密文组,密文组经过解密运算(加密运算的逆运算),还原成明文组. 序列password.也叫流加密(stream cyphers),一次加密明文中的一个位.是指利用少量的密钥(

IPSEC VPN两个阶段的协商过程

IPSEC VPN两个阶段的协商过程 第一阶段有主模式和积极模式2种注意!!!只有remote vpn和Easy vpn是积极模式的,其他都是用主模式来协商的让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥交换,创建完IKE SA后,所有后续的协商都将通过加密合完整性检查来保护phase 1帮助在对等体之间创建了一条安全通道,使后面的phase 2过程协商受到安全保护 第二阶段快速模式协商IPSEC SA使用的安全参数,创建IPSEC SA,使用AH或ESP来加密IP数据流总结第

MPLS VPN与IPSec VPN对比分析

转:http://www.xzbu.com/8/view-7456625.htm 1 引言 互联网的快速发展大大促进了信息资源的交流,与此同时,人们对频繁出现的安全保密问题也愈加关注.通过传统的方式构建企业内部或企 业之间的安全通信环境,必须通过自建通信干道或租用电缆和光缆,利用ISDN(Integrated Services Digital Network,综合业务数字网)或DDN(Digital Data Network,数字数据网)等技术构建企业专用网,若想在安全性和可靠性上得到保障,获得

对称加密和分组加密中的四种模式(ECB、CBC、CFB、OFB)

对称加密和分组加密中的四种模式(ECB.CBC.CFB.OFB) 一. AES对称加密: AES加密 分组 二. 分组密码的填充 分组密码的填充 e.g.: PKCS#5填充方式 三. 流密码:   四. 分组密码加密中的四种模式: 3.1 ECB模式 优点: 1.简单: 2.有利于并行计算: 3.误差不会被传送: 缺点: 1.不能隐藏明文的模式: 2.可能对明文进行主动攻击: 3.2 CBC模式: 优点: 1.不容易主动攻击,安全性好于ECB,适合传输长度长的报文,是SSL.IPSec的标准.

分组对称加密模式:ECB/CBC/CFB/OFB(转)

一般的加密通常都是块加密,如果要加密超过块大小的数据,就需要涉及填充和链加密模式,文中提到的ECB和CBC等就是指链加密模式.在C#组件中实现的很多算法和Java都不太兼容,至少我发现RSA和AES/ECB是如此.研究了AES/ECB时发现了这篇文档,图还画的不错,先记下.注意,还缺一种CTR的模式. 对称加密和分组加密中的四种模式(ECB.CBC.CFB.OFB) 一. AES对称加密:                                                     

分组加密的四种模式

(以下内容整理自网络文章)加密一般分为对称加密(Symmetric Key Encryption)和非对称加密(Asymmetric Key Encryption). 对称加密又分为分组加密和序列密码.分组密码,也叫块加密(block cyphers),一次加密明文中的一个块.是将明文按一定的位长分组,明文组经过加密运算得到密文组,密文组经过解密运算(加密运算的逆运算),还原成明文组.序列密码,也叫流加密(stream cyphers),一次加密明文中的一个位.是指利用少量的密钥(制乱元素)通过