返回
VPN理论很实用.doc

VPN理论很实用.doc

ID:49615329

大小:536.58 KB

页数:13页

时间:2020-03-02

VPN理论很实用.doc_第1页
VPN理论很实用.doc_第2页
VPN理论很实用.doc_第3页
VPN理论很实用.doc_第4页
VPN理论很实用.doc_第5页
资源描述:

《VPN理论很实用.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、VPN(隧道+安全)隧道技术:(tunnel)-à在目标IP为私有IP的数据包外面封装公网IP,实现远程网络之间私有IP通信的技术--à:在隧道中传递的数据至少有两个IP包头隧道协议:GRE;IPsec;SSL/TLS;PPTP;L2TP;协议分类:PPTPVPN;L2TPVPN;IPsecVPN;应用分类;远程访问VPN;SiteToSiteVPN;实现方式:VPN服务器;硬件VPN;集成VPN;GRE-à:GenericRoutingEncapsulation通用路由封装---à:在两个远程网络之间模拟出直连链路,从而使网络间达到直连的效果1

2、,原始IP数据包包头的IP地址为私有IP地址2,将原始IP数据包封装进GRE协议,封装的包头IP地址为虚拟直连链路两端的IP地址1,将整个GRE数据包当做数据,在外层封装IP包头私有IP地址包头:SA:10.1.1.2DA:192.168.1.4GRE包头:SA:1.1.1.1DA:1.1.1.2真实的IP包头:SA:100.1.1.1DA:200.1.1.1GRETunnel:要求至少一端有固定IP地址;只支持路由器,不支持ASA和PIX;分三步;1,创建虚拟链路(隧道)接口,号码任意;2,配置GRE包头地址;3,定义隧道的源和目标,就是在公网

3、中指导路由器转发数据包的公网IP地址GREKeepalive使得双方隧道接口状态保存一致:-à隧道之间定期向对端发送Keepalive默认10S发送一个,一次发送三次Inttunnel1Keepalive53(每隔5秒发一次,连续发送3个包)一,加密-->:DES密钥长度:64位3DES密钥长度:168位AES1.对称加密加密和解密都使用一个密钥如果密钥被盗取,则数据不安全A<--->BB把公钥给A,A用公钥加密="G"-->B再用公钥解密2.非对称加密-->:DH(Diffie-Hellman)RSADSA对公钥进行加密,用私钥进行解密;公钥对

4、外公开私钥仅自己拥有公钥和私钥成对使用A<-->BB把公钥给A,A用公钥加密="G"-->B再用私有解密公钥速度快,但不安全,私钥安全,但是速度慢---->解决办法:用对称加密数据,用非对称加密密钥!!!二,HMAC-->:数据完整性,实现数据报文(身份)验证Hash-BaseMessageAuthenticationCodes散列消息验证码——>Hash的一个子集!!A—>BA在发送加密的数据"G"之前进行Hash得到一个"数字签名"-->一起发送给BB也是一样进行Hash也得到一个"数字签名"与A的进行比较(一致的华就可以)特点;固定大小:M

5、D5-->128bitSHA-1-->160bit雪崩效应:数据微小改动,结果巨大变化单向计算:无法逆向运算冲突避免:几乎找不到一个数据与当期数据计算的数字签名相同三,Ipsec(IPSecurity)à:保证数据安全,让数据加密传输--à定义了一些方法和策略,不是一个协议作用:数据源认证-à保证数据是真正的发送者发过来的,不会被伪造保护数据完整性-à不被攻击者改动保证数据私密性à别人得到了看不懂,只有接受者才能看懂;防止中间人攻击-à被第三放修改,截获防止数据被重放;为IPSec服务的协议IKE(InternetKeyExchange)-à互联

6、网密钥交换协议主要是对密钥进行保护,并不保护实际的数据IKE会在VPN对等体之间采用认证机制认证方式:预共享密钥(Pre-Share-Keys)PKI证书(PublicKeyInfrastructure)RSAencryptednonceESP(EncapsulatingSecurityProtocol)-à封装安全协议--à数据AH(AuthenticationHeader)-à认证头-à数据密钥算法:使用DH算法在VPN对等体之间建立安全的密钥用来加密数据Group1:--à密钥的长度:768bitGroup2:-à密钥长度为:1024bit

7、Group5:-à密钥长度为:1536bit四,SA(安全会话)-àSecurityAssociationIPsec的所有会话都是在SA通道中传输的,包括协商密钥,传递用户数据SA是一组规则,是需要会话的对等体之间必须遵守的一份合同SA中的规则能够保证所有数据的安全传递密钥安全--àIKE负责-àISAKMPSecurityAssociation(IKESA)-àlifetime:默认为一天,没有流量限制数据安全-àIPSec负责-àIPsecSecurityAssociation(IPsecSA)Lifetime:默认时间为一小时,流量为4.6

8、08G每个SA都有lifetime(生存时间),使用时间或者流量来衡量由于SA有两个,所有IKE的整个过程也分为两个阶段ISAKMP/I

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。