本帖最后由 SPOTO 于 2022-8-4 09:33 编辑
【SPOTO思博网络】【网工入门基础】VPN——IPSec VPN IPSec VPN是啥
IPSec(Internet Protocol Security):
是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议簇。
IPSec协议的设计目标:
是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
IPSec VPN:
是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
IPsec协议簇安全体系框架
IPSEC协议簇
ipsec的工作模式
01 传输模式
主要用于主机和主机之间端到端通信的数据保护。
封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,只封装数据部分。
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DD3.tmp.jpg 02 隧道模式
主要用于私网与私网之间通过公网进行通信,建立安全VPN通道。
封装方式:增加新的IP(外网IP)头,其后是ipsec包头,之后再将原来的整个数据包封装。
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DD4.tmp.jpg
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DD5.tmp.jpg
IPsec通信协议
01 AH协议(Authentication Header,认证报头)
AH不提供任何保密性服务,它不加密所保护的数据包。不论是传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTL和TOS字段)
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DD6.tmp.jpg 传输模式下的封装:
隧道模式下封装:
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DD7.tmp.jpg
02 ESP协议
ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。
保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。数据流保密由隧道模式下的保密服务提供。
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DD8.tmp.jpg
传输模式下封装:
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DD9.tmp.jpg
隧道模式下封装:
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DDA.tmp.jpg
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DEA.tmp.jpg
IPSec vpn建立
安全联盟SA:
SA(Security Association)是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA。SA由三元组来唯一标识,包括安全参数索引、目的IP地址、安全协议号
IPSec的安全联盟可以通过手工配置的方式建立。也可以使用IKE(Internet Key Exchange)自动进行安全联盟建立与密钥交换的过程
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DEB.tmp.jpg
IKE
IKE第一阶段内容:
通信各方彼此间建立了一个已通过身份验证和安全保护的通道,用于传输第二阶段的对称密钥,此阶段的交换生成了一个ISAKMP SA(也可称为IKE SA)
IKE第一阶段建立有两种模式:
1、主模式协商(慢,严谨 只能使用IP地址)建议同一个厂商用主模式,用了6个包。
建立过程:
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DEC.tmp.jpg
野蛮模式(Aggressive)协商
快,不严谨,可以使用用户名等,建议不同一个厂商用野蛮模式协商。
野蛮模式下有三个交互包:
1、第一个交互包发起方建议SA,发起DH交换 2、第二个交互包接收方接受SA 3、第三个交互包发起方认证接受方
建立过程:
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DED.tmp.jpg
两种模式对比:
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DEE.tmp.jpg
IKE第二阶段内容:
双方协商IPSec安全参数,称为变换集transform set ,建立一个供数据传输的安全通道 。此阶段的交换生成了IPsec SA
transform set包括:
Ipsec数据传递图:
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps5DEF.tmp.jpg
文章来源:选自CSDN技术平台,因觉优质,特此分享,侵删。
—————————————————————————————————— HCIE/CCIE的提升空间有多少?看看群内聊天讨论就知道!
添加老杨老师微信:spotoa,加入全国网工交流群(已建立50+个),获取更多CCIE/HCIE考试一手资讯+考试必备资料,也欢迎添加网工老杨老师微信:spotoa
【推荐阅读】
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-2-8 16:14:23
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2022-2-8 16:21:20
楼主
