IPsec ×××

企业开发 2019-04-14 22:50:48 阅读次数: 0

IPsec ×××是一种点对点,两端设备通过网络建立的安全通道
主要目的是将多个分支机构单独的局域网,通过虚拟通道连接为一个虚拟局域网环境,解决了安全问题。
通信双方在IP层通过加密、完整性校验、数据认证等方式保证数据传输的机密性、完整性和防重性
IPsec架构:
IPsec ×××
IPsec ×××主要由AH、ESP、IKE协议套件组成
AH:认证数据源、数据完整性但不加密数据报文
ESP:既提供认证也提供加密功能
IKE:用于自动协商AH和ESP使用的密码算法
SA:安全联盟,定义×××两端设备使用的数据封装协议,认证和加密算法、密钥等。它是单向的,两边要通信至少需要两个SA

IPsec协议有两种封装模式:

  1. 传输模式
    IPsec ×××
    AH:ip头部后面插入AH头
    ESP:ip头部后面插入ESP头,数据字段后插入ESP尾部
    AH+ESP:ip头部后插入AH头和ESP头,数据字段后插入ESP尾部
  2. 隧道模式
    IPsec ×××
    AH、ESP、AH+ESP:对整个ip包提供加密认证,IPsec会另外生成一个新的ip报头,封装在AH和ESP之前。
    隧道模式通常AH+ESP联合使用

配置IPSec ×××步骤:
两端都要配置

  1. 配置网络可达
    省略
  2. 配置ACL识别兴趣流
    省略
  3. 创建安全提议
    [RTA]ipsec proposal tran1 创建IPSec提议并进入提议试图
    [RTA-acl-proposal-tran1]esp authentication-algorithm sha1 采用ESP安全协议、sha1认证算法和隧道模式(默认情况下使用ESP安全协议、MD5认证算法和隧道模式)
    在IPSec提议试图下这些都可以更改:
    transform {ah | ah-esp | esp} 重新配置采用的安全协议
    encapsulation-mode {transport | trunnel} 配置传输模式或隧道模式
    esp authentication-algorithm {md5 | sha1 | sha2-256 | sha2-348 | sha2-512} 配置ESP认证算法
    esp encryption-algorithm {des | 3des | aes-128 | aes-192 | aes-256} 配置ESP加密算法
    ah authentication-algorithm {md5 | sha1 | sha2-256 | sha2-348 | sha2-512} 配置AH认证算法
    display ipsec proposal 验证查看IPSec提议中配置的参数
  4. 创建安全策略
    [RTA]ipsec policy p1 10 manual 创建策略
    这里需要说明一下 p1 是策略名字(多个相同名字的策略可以组成一个策略组)
    10 是策略号(一个策略组可以最多可以有16条安全策略,策略号越高优先级越高)
    manual 是指手动建立sa(如果要自动建立需要执行ipsec-policy-template配置指定参数)
    [RTA-ipsec-policy-manual-p1-10]security acl 3001 指定策略引用的访问控制列表
    [RTA-ipsec-policy-manual-p1-10]proposal tran1 引用上面建立的安全提议
    [RTA-ipsec-policy-manual-p1-10]trunnel remote 20.1.1.2 设置安全隧道对端地址
    [RTA-ipsec-policy-manual-p1-10]trunnel local 20.1.1.1 设置安全地址本端地址
    [RTA-ipsec-policy-manual-p1-10]sa spi outbound esp 54321 配置安全联盟出向(outbound)参数索引spi,必须与对端设备入向(inbound)参数索引相同
    [RTA-ipsec-policy-manual-p1-10]sa spi outbound esp 12345 配置安全联盟入向(inbound)参数索引spi,必须与对端设备出向(outbound)参数索引相同
    [RTA-ipsec-policy-manual-p1-10]sa string-key outbound esp simple huawei 配置安全联盟出向认证密钥,与对端入向相同
    [RTA-ipsec-policy-manual-p1-10]sa string-key inbound esp simple huawei 配置安全联盟入向认证密钥,与对端出向相同
  5. 应用安全策略
    [RTA]interface gi0/0/1 进入设备外网接口
    [RTA-GigabitEthernet0/0/1]ipsec policy p1 端口上应用安全策略组

验证命令:
display ipsec policy 查看IPSec策略

远程用户或移动用户访问本地网络,叫VPDN
子公司和总部连接,叫内部×××
两个联盟公司连接,叫扩展×××

IPsec ××× 就是点对点,两端的设备通过公网建立的一种×××。
其主要目的是将多个分支机构单独的局域网,通过虚拟通道连接为一个虚拟局域网环境,解决了安全问题。
2tp ××× 则是客户端和服务端的关系,是一种拨入连接方式,一种协议,除了L2tp 还有 ppp ssl 都属于拨入连接方式。
其主要目的是为了使外网终端访问内网资源,方便移动办公,同样解决安全问题。
MPLS ××× 则是一种运营商骨干网上的MPLS 和 ××× 相结合的产品,对用户来说完全透明。
其主要目的是既解决了安全问题的同时还可以通过MPLS的能力来解决两端通信质量的问题。

传输模式:不隐藏源和目的ip
隧道模式:真是的源和目的被×××保护

猜你喜欢

转载自blog.51cto.com/13211071/2378391
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
周排行
Python环境安装与基础语法(1)——计算机基础知识
IMU预积分
ADAS中的LDW、FCW、BSD、LCA、ACC、AEB、APA、DMS代表的含义
B站笔试两道题
skyeye arm 硬件虚拟机环境的搭建
Web前端静态页面示例
数组-合并排序数组 II-简单
springcloud之版本问题启动报错
面向对象-------------匿名对象(六)
输入URL到页面呈现中间发生了什么?
每日归档
更多
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022