資源描述:
《配置路由器站點(diǎn)到站點(diǎn)IPSec VPN.ppt》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、配置路由器站點(diǎn)—站點(diǎn)IPSecVPNVPN產(chǎn)生背景合作伙伴/客戶公司總部辦事處/SOHO公共網(wǎng)絡(luò)DDNADSL虛擬專用網(wǎng)vs專線網(wǎng)絡(luò)共性:1)為用戶單位所專用;2)實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一規(guī)劃和管理(象在LAN中);差異:1)專線網(wǎng)絡(luò):存在物理上連同的實(shí)際鏈路;2)VPN:利用公網(wǎng)(internet)實(shí)現(xiàn)可達(dá),利用加密解決安全性,保證專用。什么是VPN?VPN(VirtualPrivateNetwork)是通過internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全地傳遞數(shù)據(jù)的技術(shù)VPN可以省去專線租用費(fèi)用或者長距離電話費(fèi)用,大大降低成本VPN可以充分利用internet公網(wǎng)資源,快速地建立起公司的廣
2、域連接ISPModemsVPNGatewayVPNGateway總部網(wǎng)絡(luò)遠(yuǎn)程局域網(wǎng)絡(luò)總部分支機(jī)構(gòu)單個用戶InternetVPN為用戶帶來的好處節(jié)省資金(降低30-70%的網(wǎng)絡(luò)費(fèi)用)免去長途費(fèi)用降低建立私有專網(wǎng)的費(fèi)用用戶不必設(shè)立自己的ModemPoolInternet對于用戶來說,可以以任何技術(shù)任何地點(diǎn)訪問Internet的容量完全可以隨著需求的增張而增長提供安全性強(qiáng)大的用戶認(rèn)證機(jī)制數(shù)據(jù)的私有性以及完整性得以保障不必改變現(xiàn)有的應(yīng)用程序、網(wǎng)絡(luò)架構(gòu)以及用戶計(jì)算環(huán)境網(wǎng)絡(luò)現(xiàn)有的Routers不用作任何修改現(xiàn)有的網(wǎng)絡(luò)應(yīng)用完全可以正常運(yùn)行對于最終用戶來說完全感覺不到任何變化IPSec內(nèi)容協(xié)議部分,分為
3、AH:AuthenticationHeaderESP:EncapsulatingSecurityPayload密鑰管理(KeyManagement)SA(SecurityAssociation)ISAKMP定義了密鑰管理框架IKE是目前正式確定用于IPSec的密鑰交換協(xié)議SA(SecurityAssociation)基本概念是發(fā)送者和接收者兩個IPSec系統(tǒng)之間的一個簡單的單向邏輯連接,是與給定的一個網(wǎng)絡(luò)連接或一組網(wǎng)絡(luò)連接相關(guān)聯(lián)的安全信息參數(shù)集合因?yàn)镾A是單個方向的,所以,對于一個雙向通信,則需要兩個SASA與IPSec系統(tǒng)中實(shí)現(xiàn)的兩個數(shù)據(jù)庫有關(guān)安全策略數(shù)據(jù)庫(SPD)安全關(guān)聯(lián)數(shù)據(jù)庫(S
4、AD)每個SA通過三個參數(shù)來標(biāo)識SPI(SecurityParametersIndex)目標(biāo)地址IP安全協(xié)議標(biāo)識SPD&SADSPD對于通過的流量的策略三種選擇:discard,bypassIPsec,applyIpsec管理界面條目的粒度不必很細(xì),因?yàn)樽饔迷贗P包上SAD,通常用到以下一些域SequenceNumberCounterSequenceCounterOverflowAnti-ReplayWindowAHAuthenticationalgorithm,keys,etcESPEncryptionalgorithm,keys,IVmode,IV,etcESPauthenticat
5、ionalgorithm,keys,etcLifetimeofthisSecurityAssociationIPsecprotocolmodePathMTUAH(AuthenticationHeader)為IP包提供數(shù)據(jù)完整性和認(rèn)證功能利用MAC碼實(shí)現(xiàn)認(rèn)證,雙方必須共享一個密鑰認(rèn)證算法由SA指定認(rèn)證的范圍:整個包兩種認(rèn)證模式:傳輸模式:不改變IP地址,插入一個AH隧道模式:生成一個新的IP頭,把AH和原來的整個IP包放到新IP包的凈荷數(shù)據(jù)中AH兩種模式示意圖傳輸模式隧道模式IPSecAuthenticationHeaderNextHeader:下一個頭的類型PayloadLength:A
6、H的長度(32位字為單位)SPI:用來標(biāo)識SASequenceNumber:用來避免重放攻擊AuthenticationData:可變長度的域,包含針對這個包的ICV或者M(jìn)ACAH處理過程AH定位在IP頭之后,在上層協(xié)議數(shù)據(jù)之前認(rèn)證算法計(jì)算ICV或者M(jìn)AC對于發(fā)出去的包(OutboundPacket)的處理,構(gòu)造AH查找SA產(chǎn)生序列號計(jì)算ICV(IntegrityCheckValue)內(nèi)容包括:IP頭中部分域、AH自身、上層協(xié)議數(shù)據(jù)分片AH處理過程(續(xù))對于接收到的包(InboundPacket)的處理分片裝配查找SA依據(jù):目標(biāo)IP地址、AH協(xié)議、SPI檢查序列號(可選,針對重放攻擊)使
7、用一個滑動窗口來檢查序列號的重放ICV檢查ESP(EncapsulatingSecurityPayload)提供保密功能,也可以提供認(rèn)證服務(wù)將需要保密的用戶數(shù)據(jù)進(jìn)行加密后再封裝到一個新的IP包中,ESP只認(rèn)證ESP頭之后的信息加密算法和認(rèn)證算法由SA指定也有兩種模式:傳輸模式和隧道模式ESP兩種模式示意圖OrigIPHdrESPhdrTCPDataESPtrlrESPauthESPhdrESPauthESPtrlrDataTCPOr