配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt

配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt

ID:48532970

大?。?12.50 KB

頁數(shù):36頁

時(shí)間:2020-01-23

配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt_第1頁
配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt_第2頁
配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt_第3頁
配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt_第4頁
配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt_第5頁
資源描述:

《配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、配置路由器站點(diǎn)—站點(diǎn)IPSecVPNVPN產(chǎn)生背景合作伙伴/客戶公司總部辦事處/SOHO公共網(wǎng)絡(luò)DDNADSL虛擬專用網(wǎng)vs專線網(wǎng)絡(luò)共性:1)為用戶單位所專用;2)實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一規(guī)劃和管理(象在LAN中);差異:1)專線網(wǎng)絡(luò):存在物理上連同的實(shí)際鏈路;2)VPN:利用公網(wǎng)(internet)實(shí)現(xiàn)可達(dá),利用加密解決安全性,保證專用。什么是VPN?VPN(VirtualPrivateNetwork)是通過internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全地傳遞數(shù)據(jù)的技術(shù)VPN可以省去專線租用費(fèi)用或者長距離電話費(fèi)用,大大降低成本VPN可以充分利用internet公網(wǎng)資源,快速地建立起公司的廣

2、域連接ISPModemsVPNGatewayVPNGateway總部網(wǎng)絡(luò)遠(yuǎn)程局域網(wǎng)絡(luò)總部分支機(jī)構(gòu)單個用戶InternetVPN為用戶帶來的好處節(jié)省資金(降低30-70%的網(wǎng)絡(luò)費(fèi)用)免去長途費(fèi)用降低建立私有專網(wǎng)的費(fèi)用用戶不必設(shè)立自己的ModemPoolInternet對于用戶來說,可以以任何技術(shù)任何地點(diǎn)訪問Internet的容量完全可以隨著需求的增張而增長提供安全性強(qiáng)大的用戶認(rèn)證機(jī)制數(shù)據(jù)的私有性以及完整性得以保障不必改變現(xiàn)有的應(yīng)用程序、網(wǎng)絡(luò)架構(gòu)以及用戶計(jì)算環(huán)境網(wǎng)絡(luò)現(xiàn)有的Routers不用作任何修改現(xiàn)有的網(wǎng)絡(luò)應(yīng)用完全可以正常運(yùn)行對于最終用戶來說完全感覺不到任何變化IPSec內(nèi)容協(xié)議部分,分為

3、AH:AuthenticationHeaderESP:EncapsulatingSecurityPayload密鑰管理(KeyManagement)SA(SecurityAssociation)ISAKMP定義了密鑰管理框架IKE是目前正式確定用于IPSec的密鑰交換協(xié)議SA(SecurityAssociation)基本概念是發(fā)送者和接收者兩個IPSec系統(tǒng)之間的一個簡單的單向邏輯連接,是與給定的一個網(wǎng)絡(luò)連接或一組網(wǎng)絡(luò)連接相關(guān)聯(lián)的安全信息參數(shù)集合因?yàn)镾A是單個方向的,所以,對于一個雙向通信,則需要兩個SASA與IPSec系統(tǒng)中實(shí)現(xiàn)的兩個數(shù)據(jù)庫有關(guān)安全策略數(shù)據(jù)庫(SPD)安全關(guān)聯(lián)數(shù)據(jù)庫(S

4、AD)每個SA通過三個參數(shù)來標(biāo)識SPI(SecurityParametersIndex)目標(biāo)地址IP安全協(xié)議標(biāo)識SPD&SADSPD對于通過的流量的策略三種選擇:discard,bypassIPsec,applyIpsec管理界面條目的粒度不必很細(xì),因?yàn)樽饔迷贗P包上SAD,通常用到以下一些域SequenceNumberCounterSequenceCounterOverflowAnti-ReplayWindowAHAuthenticationalgorithm,keys,etcESPEncryptionalgorithm,keys,IVmode,IV,etcESPauthenticat

5、ionalgorithm,keys,etcLifetimeofthisSecurityAssociationIPsecprotocolmodePathMTUAH(AuthenticationHeader)為IP包提供數(shù)據(jù)完整性和認(rèn)證功能利用MAC碼實(shí)現(xiàn)認(rèn)證,雙方必須共享一個密鑰認(rèn)證算法由SA指定認(rèn)證的范圍:整個包兩種認(rèn)證模式:傳輸模式:不改變IP地址,插入一個AH隧道模式:生成一個新的IP頭,把AH和原來的整個IP包放到新IP包的凈荷數(shù)據(jù)中AH兩種模式示意圖傳輸模式隧道模式IPSecAuthenticationHeaderNextHeader:下一個頭的類型PayloadLength:A

6、H的長度(32位字為單位)SPI:用來標(biāo)識SASequenceNumber:用來避免重放攻擊AuthenticationData:可變長度的域,包含針對這個包的ICV或者M(jìn)ACAH處理過程AH定位在IP頭之后,在上層協(xié)議數(shù)據(jù)之前認(rèn)證算法計(jì)算ICV或者M(jìn)AC對于發(fā)出去的包(OutboundPacket)的處理,構(gòu)造AH查找SA產(chǎn)生序列號計(jì)算ICV(IntegrityCheckValue)內(nèi)容包括:IP頭中部分域、AH自身、上層協(xié)議數(shù)據(jù)分片AH處理過程(續(xù))對于接收到的包(InboundPacket)的處理分片裝配查找SA依據(jù):目標(biāo)IP地址、AH協(xié)議、SPI檢查序列號(可選,針對重放攻擊)使

7、用一個滑動窗口來檢查序列號的重放ICV檢查ESP(EncapsulatingSecurityPayload)提供保密功能,也可以提供認(rèn)證服務(wù)將需要保密的用戶數(shù)據(jù)進(jìn)行加密后再封裝到一個新的IP包中,ESP只認(rèn)證ESP頭之后的信息加密算法和認(rèn)證算法由SA指定也有兩種模式:傳輸模式和隧道模式ESP兩種模式示意圖OrigIPHdrESPhdrTCPDataESPtrlrESPauthESPhdrESPauthESPtrlrDataTCPOr

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時(shí)可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時(shí)聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。