返回
配置路由器站点到站点IPSec VPN.ppt

配置路由器站点到站点IPSec VPN.ppt

ID:48532970

大小:512.50 KB

页数:36页

时间:2020-01-23

配置路由器站点到站点IPSec VPN.ppt_第1页
配置路由器站点到站点IPSec VPN.ppt_第2页
配置路由器站点到站点IPSec VPN.ppt_第3页
配置路由器站点到站点IPSec VPN.ppt_第4页
配置路由器站点到站点IPSec VPN.ppt_第5页
资源描述:

《配置路由器站点到站点IPSec VPN.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、配置路由器站点—站点IPSecVPNVPN产生背景合作伙伴/客户公司总部办事处/SOHO公共网络DDNADSL虚拟专用网vs专线网络共性:1)为用户单位所专用;2)实现网络的统一规划和管理(象在LAN中);差异:1)专线网络:存在物理上连同的实际链路;2)VPN:利用公网(internet)实现可达,利用加密解决安全性,保证专用。什么是VPN?VPN(VirtualPrivateNetwork)是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术VPN可以省去专线租用费用或者长距离电话费用,大大降低成本VPN可以充分利用internet公网资源,快速地建立起公司的广

2、域连接ISPModemsVPNGatewayVPNGateway总部网络远程局域网络总部分支机构单个用户InternetVPN为用户带来的好处节省资金(降低30-70%的网络费用)免去长途费用降低建立私有专网的费用用户不必设立自己的ModemPoolInternet对于用户来说,可以以任何技术任何地点访问Internet的容量完全可以随着需求的增张而增长提供安全性强大的用户认证机制数据的私有性以及完整性得以保障不必改变现有的应用程序、网络架构以及用户计算环境网络现有的Routers不用作任何修改现有的网络应用完全可以正常运行对于最终用户来说完全感觉不到任何变化IPSec内容协议部分,分为

3、AH:AuthenticationHeaderESP:EncapsulatingSecurityPayload密钥管理(KeyManagement)SA(SecurityAssociation)ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议SA(SecurityAssociation)基本概念是发送者和接收者两个IPSec系统之间的一个简单的单向逻辑连接,是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合因为SA是单个方向的,所以,对于一个双向通信,则需要两个SASA与IPSec系统中实现的两个数据库有关安全策略数据库(SPD)安全关联数据库(S

4、AD)每个SA通过三个参数来标识SPI(SecurityParametersIndex)目标地址IP安全协议标识SPD&SADSPD对于通过的流量的策略三种选择:discard,bypassIPsec,applyIpsec管理界面条目的粒度不必很细,因为作用在IP包上SAD,通常用到以下一些域SequenceNumberCounterSequenceCounterOverflowAnti-ReplayWindowAHAuthenticationalgorithm,keys,etcESPEncryptionalgorithm,keys,IVmode,IV,etcESPauthenticat

5、ionalgorithm,keys,etcLifetimeofthisSecurityAssociationIPsecprotocolmodePathMTUAH(AuthenticationHeader)为IP包提供数据完整性和认证功能利用MAC码实现认证,双方必须共享一个密钥认证算法由SA指定认证的范围:整个包两种认证模式:传输模式:不改变IP地址,插入一个AH隧道模式:生成一个新的IP头,把AH和原来的整个IP包放到新IP包的净荷数据中AH两种模式示意图传输模式隧道模式IPSecAuthenticationHeaderNextHeader:下一个头的类型PayloadLength:A

6、H的长度(32位字为单位)SPI:用来标识SASequenceNumber:用来避免重放攻击AuthenticationData:可变长度的域,包含针对这个包的ICV或者MACAH处理过程AH定位在IP头之后,在上层协议数据之前认证算法计算ICV或者MAC对于发出去的包(OutboundPacket)的处理,构造AH查找SA产生序列号计算ICV(IntegrityCheckValue)内容包括:IP头中部分域、AH自身、上层协议数据分片AH处理过程(续)对于接收到的包(InboundPacket)的处理分片装配查找SA依据:目标IP地址、AH协议、SPI检查序列号(可选,针对重放攻击)使

7、用一个滑动窗口来检查序列号的重放ICV检查ESP(EncapsulatingSecurityPayload)提供保密功能,也可以提供认证服务将需要保密的用户数据进行加密后再封装到一个新的IP包中,ESP只认证ESP头之后的信息加密算法和认证算法由SA指定也有两种模式:传输模式和隧道模式ESP两种模式示意图OrigIPHdrESPhdrTCPDataESPtrlrESPauthESPhdrESPauthESPtrlrDataTCPOr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。