IPSEC VPN 基础原理

作为一个努力在IT一线奋斗的人,励志做到以下几点:

搬的了机器,玩的了系统,精通了协议,敲得了代码。

——谨以此让自己不断努力!

—————————————————————————————————————————————

一、IPSEC框架:

IPSEC封装:

IP头部   传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据

IP头部   IPSEC头部  传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据

由上可以看出IPSEC头部是插入到IP头部以及传输层头部中间。

1)散列函数:

主要算法包含MD5与SHA-1,主要任务是验证数据完整性。

介绍下HMAC(密钥化散列信息认证代码)

这项技术不仅能够实现完整性校验,还能完成源认证的任务,例如:ip ospf message-digest-key 1 md5 cisco 命令,配置预共享密钥cisco,这种加上与共享密钥一起进行散列计算的技术叫做HMAC。

2)加密算法:

对称加密:DES,3DES,AES,RC4

非对称加密:RSA,DH(IPSEC 产生密钥资源的主要协议)

3)封装协议:

IPSEC有ESP和AH两种封装协议,其中ESP是广泛使用的协议。

ESP协议的ip协议号是50

4)封装模式:

传输模式

隧道模式

两种模式ESP的位置并不相同如果需要了解得话可以找下两种模式下数据包格式看下。

5)密钥有效期:

长期使用相同的密钥是不明智的,应该周期性的更换密钥,cisco的IPSEC VPN用户加密实际数据的密钥,默认每一小时就要更换一次。

Cisco 的IPSEC VPN虽然默认每小时更换一次,但下一小时使用的密钥,是由当前这个小时使用的密钥通过一系列算法得出,这样的密钥更新不能叫做完美向前保密PFS。PFS要求每一次密钥更新,都需要重新产生全新的密钥,和以前的密钥没有任何关系。

二、互联网密钥交换协议IKE

IKE主要完成3个任务:

对建立IPSEC的双方进行认证(需要预先协商认证方式)

通过密钥交换,产生加密和HMAC的随机密钥

协商协议参数(加密协议,密钥有效期,封装协议,封装模式)

IKE的协商完成后叫做安全关联SA,可以说IKE建立了安全关联,SA一共分为两种类型,一种叫做IKESA,另外一种叫做IPSEC SA。

IKE SA:主要用于协商加密算法,密钥有效期,认证方式,散列函数等。

IPSEC SA:维护安全防护实际用户流量(通信点之间流量)的细节。

下面的内容比较重要:

IKE的2个阶段与三个模式

第一阶段:IKE SA

1)主模式IKE1-2包交换

第一通过核对收到ISAKMP数据包的源IP地址,确认收到的ISAKMP数据包是否源自于合法的对等体

第二协商IKE策略

IKE 1-2包交换过程中,IKE策略协商才是他主要的任务,策略包含五项内容:认证方式,加密协议,密钥有效期,DH组,散列函数。

2)主模式IKE3-4包交换

该阶段主要产生加密策略以及散列函数的密钥

3)主模式IKE5-6包交换

该阶段主要就是认证,认证的方式包含预共享密钥认证、证书认证、RSA加密随机数认证。

第一阶段小结:

这一阶段主要任务就是相互认证,第一阶段完成不仅表示收发双方认证通过,并且还会建立一个双向的ISAKMP(IKE)安全关联SA。这个SA维护了处理IKE流量相关的策略,但是不会处理实际感兴趣流,而对等体双方还会继续使用这个SA,来安全保护后续的IKE快速模式1-3包交换。

第二阶段:IPSEC SA

快速模式数据包1-3的交换:

IKE快速模式1-3包交换主要目的是在安全的环境下,基于感兴趣流协商处理这个感情需留的IPSEC策略,这些策略包含如下6项内容:

感兴趣流

加密策略

封装协议

封装模式

密钥有效期

散列函数

第二阶段小结:

主要基于感兴趣流来协商相应的IPSEC SA,IKE快速模式交换的三个数据包都得到了安全保护。另外两个指的注意的内容就是SPI和PFS。SPI用于唯一表示一个单项的IPSEC SA,SPI的值由目的的设备决定。PFS以上已经介绍,本次不再累述。

IPSEC VPN 基本配置:

第一阶段:

crypto isakmp enable

激活isakmp

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key 0 cisco add X.X.X.X

第二阶段:

ip access-list extend VPN

permit 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

crypto ipsec transform-set Trans esp-des esp-md5-hmac

此处网上都说定义转换集,我理解的就是定义封装模式。

crypto map cisco 10 ipsec-isakmp

match address VPN

set transform-set Trans

set peer X.X.X.X

set pfs group2

启用PFS完美向前保密

set security-association lifetime seconds 1800

int f0/0

ip add 202.106.0.20 255.255.255.0

cryto map cisco

时间: 2024-08-28 08:41:29

IPSEC VPN 基础原理的相关文章

IPSec VPN的原理与配置

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 一.VPN概述 VPN技术最早是为了解决明文数据在网络上传输带来的安全隐患而产生的.TCP/IP协议族中很多协议都是采用明文传输的,比如telnet.ftp.tftp等. VPN技术可以对公网上传输的数据进行加密,也可以实现数据传输双方的身份验证. 1.VPN的定义 VPN(虚拟专用网),就是在两个网络实体之间建立的一个受保护的连接.这两

IPSEC VPN

目录: 简介:... 2 分类:... 2 1.在路由上实现的VPN可分为:... 2 2.在ASA防火墙上实现的VPN:2 IPSec VPN:3 IPSec能实现的功能有:... 3 IPSec的特性(IPSec之所以安全是由它的特性决定的):... 3 IPSec的实施包含两个阶段... 4 IPSec协商过程:... 4 IPSec 范畴的VPN中各种形式的大体配置步骤:... 6 IPSEC VPN几种配置实例... 6 一.实验拓扑... 7 二.实验目的... 7 三.实验要求..

MPLS VPN与IPSec VPN对比分析

转:http://www.xzbu.com/8/view-7456625.htm 1 引言 互联网的快速发展大大促进了信息资源的交流,与此同时,人们对频繁出现的安全保密问题也愈加关注.通过传统的方式构建企业内部或企 业之间的安全通信环境,必须通过自建通信干道或租用电缆和光缆,利用ISDN(Integrated Services Digital Network,综合业务数字网)或DDN(Digital Data Network,数字数据网)等技术构建企业专用网,若想在安全性和可靠性上得到保障,获得

IPSec VPN原理与配置

需求:IPSec在VPN对等体设备实现的安全特性,如数据的机密性,完整性,验证等. 效果:对公网上传输的数据进行加密,即使黑客通过某种窃听工具截获到数据,也无法了解数据信息的含义:也可以实现数据传输双方的身份验证,避免黑客伪装成网络中的合法用户攻击网络资源. 理论:    VPN概述 VPN起源是为了解决明文数据在网络上传输带来的安全隐患而兴起的.TCP/IP协议簇中的很多协议都采用明文传输,如telnet,ftp,ftfp等. VPN可以对公网上传输的数据进行加密,即使黑客通过某种窃听工具截获

IPSec VPN原理

需求:IPSec在VPN对等体设备实现数据的机密性,数据的完整性,数据验证等.经历了IKE阶段1和IKE阶段2的协商建立过程 实现的效果:可以对公网上传输的数据进行加密,即使黑客通过某种窃听工具截获数据也无法了解数据信息的含义,也可以实现数据传输双方的身份验证,避免黑客伪装成网络中的合法用户攻击网络资源. 理论知识: VPN的定义 VPN虚拟专用网就是在两个网络实体之间建立的一种受保护的连接,两个实体可以通过点到点的链路直接相连. 受保护: 通过使用加密技术防止数据被窃听 通过数据完整性验证验证

IPsec VPN原理与配置 【Route&ASA】

IPsec VPN原理与配置 简单的了解一些VPN的理论知识: 1.VPN的连接模式 VPN技术有两种传输模式:隧道模式和传输模式.这两种模式定义了两台实体设备之间传输数据时所采用的不同封装过程. (1)传输模式 传输模式一个最显著的特点就是:在传输过程中,包头并没有被封装进去,意思是从源端到目的端始终使用原有的IP地址进行通信.而传输的实际数据被封装在VPN报文中. (2)隧道模式 与传输模式的区别显而易见,VPN设备将整个三层数据报文封装在VPN数据内,再为封装过后的数据报文添加新的IP包头

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的

<转>VPN技术原理

原文地址:VPN技术原理 VPN,Virtual Private Network(虚拟专用 网络),被定义为通过一个公用网络(通常是因特网)建立一个临时的.安全的连接,是一条穿过公用网络的安全.稳定的隧道.虚拟专用网是对企业内部网的扩 展,它可以帮助异地用户.公司分支机构.商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输. IETF 组 织对基于IP 的VPN 解释为:通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术.所谓虚拟,是指用户不再需要拥有实际的长途数

VPN 工作原理

VPN 工作原理 引言 在过去几十年中,世界发生了很大的变化.现在很多公司除了处理本地或地区性事务外,还要考虑全球市场和物流的问题.很多公司在全国甚至全球都设有分支机构,而这些公司都需要做的一件事情就是:找到能够与分公司进行快速.安全和可靠通信的方式,而不管这些分公司设在何处. 直到最近为止,要想实现这个目的,还只能通过利用租用线路的方式来维护广域网(WAN).租用线路的范围从ISDN(集成服务数字网络,速度为128Kbps)到OC3(光学载波第3级,速度为155Mbps)光纤,这为公司提供了一