目录
IPSEC
IPSEC可以提供的安全服务
IPSEC 协议簇
两种工作模式
传输模式
隧道模式
两个通信保护协议(两个安全协议)
AH(鉴别头协议)
可以提供的安全服务
报头
安全索引参数SPI
序列号
认证数据
AH保护范围
传输模式
隧道模式
ESP(封装安全载荷协议)
可以提供的安全服务
ESP的头部
ESP保护范围
传输模式
隧道模式
AH和ESP对比
AD和ESP传输模式联合使用
IKE
IPSec手工创建流程
IPSec自动创建流程
使用IKE,动态建立IPSEC SA
IKE版本
IKE协议包含的三个协议
IKE的两个阶段
阶段1
阶段1过程
交互过程的数据包
主模式和野蛮模式区别
阶段2
快速模式
阶段2过程
需要协商的安全参数
PFS技术
数据传输阶段
VPN黑洞
解释域
安全策略数据库SPD
安全关联数据库SPA
IKE V2
V2和V1相比较的优势
传输效率
认证
IPSec应用场景
VPN的网关部署模式
VPN的单臂部署 --- 在NAT环境下的VPN部署
在不同阶段出现问题
问题1
解决方案
问题2
解决方案
问题3
解决方案
结论
NAT-T技术
通过IKE建立IPSEC SA流程
命令行配置 V1版本(这个配置以网络部署模式作为例子)
IPSEC
IPSEC可以提供的安全服务
IPSEC 协议簇
两种工作模式
传输模式
传输模式的工作过程
隧道模式
两个通信保护协议(两个安全协议)
AH(鉴别头协议)
GRE协议号47
可以提供的安全服务
报头
安全索引参数SPI
序列号
认证数据
AH要保护数据是以完整性校验来保护的,它会将后面数据hash,然后放在认证数据里面
AH保护范围
传输模式
隧道模式
ESP(封装安全载荷协议)
属于网络层协议,封装在IP协议之上,协议号:50
可以提供的安全服务
ESP的头部
ESP报尾,当加密时使用分组交换的时候,要满足一定位数,当位数不够的时候,报尾的填充和填充头部就可以用来补充。下一头部可以标识上层协议。认证数据是所有东西都校验完了放东西的地方。
ESP保护范围
传输模式
IP头部不加密原因是要过其他层加密了就过不去了
隧道模式
AH和ESP对比
AD和ESP传输模式联合使用
IKE
IPSec手工创建流程
1、创建acl抓取流量
2、配置IPSec安全提议,首先选择协议类型也就是选AH还是ESP,然后再选择加密算法、再选择校验算法、如果选了AH的话就选AH的校验,再选择封装模式。
3、做IPSec策略,首先关联流量和安全提议,再去定义自己的通道和对端的通道地址。标识SPI的id,再配置一个和认证有关的,也就是对方过来的时候需要的证书
4、接口处调用相应的安全策略
(注:手工建立后这个通道将一直存在)
IPSec自动创建流程
使用IKE,动态建立IPSEC SA
IKE版本
IKE协议包含的三个协议
ISAKMP是IKE协议的主体,剩下的两个协议用来提供支持
IKE的两个阶段
阶段1
阶段1过程
交互过程的数据包
主模式和野蛮模式区别
阶段2
快速模式
阶段2过程
需要协商的安全参数
PFS技术
数据传输阶段
VPN黑洞
解释域
IPSec执行都在解释域中执行
安全策略数据库SPD
存放策略的数据库,数据来到来到边界首先在SPD里面找对他的处理
安全关联数据库SPA
和和加密密钥相关的一些东西,和SA的有关一些参数都会存在这个数据库里
IKE V2
V2和V1相比较的优势
传输效率
认证
IPSec应用场景
VPN的网关部署模式
VPN的单臂部署 --- 在NAT环境下的VPN部署
在不同阶段出现问题
问题1
解决方案
使用野蛮模式
问题2
解决方案
使用NAT-T方案(NAT穿越技术)
问题3
解决方案
使用ESP和隧道模式
结论
NAT-T技术
通过IKE建立IPSEC SA流程
1、通过ACL抓取要保护流量
2、配置IKE安全提议,配置加密算法、配置认证模式、配置hash算法、配置DH、配置老化时间
3、配置IKE对等体,相当于邻居的建立,选择版本、配置身份认证的参数、配置交换模式也就是主模式还是野蛮模式、还需要配置一个对端IP
4、配置IPSec安全提议,配置协议是AH还是ESP、根据你选择的协议来决定下面选择如果是AH,就配置AH的认证算法,如果你选的是ESP的话你就配置ESP的加密和ESP的认证,最后配置封装模式也就是隧道模式还是传输模式
5、配置IPSec策略、引用刚刚配置的策略的策略,配置pfs,这里主要就是将前面配置的东西调用
6、接口调用