ipsec_vpn协议原理及配置

ipsec_vpn协议原理及配置

ID:6164683

大小:2.28 MB

页数:50页

时间:2017-11-14

ipsec_vpn协议原理及配置_第1页
ipsec_vpn协议原理及配置_第2页
ipsec_vpn协议原理及配置_第3页
ipsec_vpn协议原理及配置_第4页
ipsec_vpn协议原理及配置_第5页
资源描述:

《ipsec_vpn协议原理及配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IPSecVPN协议原理及配置1ISSUE1.1日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播了解VPN的概念和分类理解IPSecVPN协议原理掌握ICG2000IPSecVPN配置方法课程目标学习完本课程,您应该能够:VPN概述IPSecVPN协议原理ICG2000IPSec配置与排错目录VPN的定义VPN——VirtualPrivateNetwork合作伙伴Internet出差员工隧道专线办事处总部分支机构异地办事处VPN的分类按应用类型分类:AccessVPNIntranetVPNExtranetVPN按实现的层次分类:二层隧道VPN三层隧道VPNVPDNPOP

2、POP用户直接发起连接POPISP发起连接总部隧道适用范围:出差员工异地小型办公机构IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构ExtranetVPNInternet/ISPIPATM/FR总部合作伙伴异地办事处分支机构按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GenericRoutingEncapsulationIPSEC:IPSecurityProtocol

3、VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性VPN概述IPSecVPN协议原理ICG2000IPSec配置与排错目录IPSecIPSec(IPSecurity)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH(协议号51)和封装安全载荷协议ESP(协议号50)两个协议IPSec有隧道(tunnel)和传输(transport)两种工作方式IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文验证头协议MD5(MessageDigest5)SHA1(Se

4、cureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)IPSec的安全特点数据机密性(Confidentiality)数据完整性(DataIntegrity)数据来源认证(DataOriginAuthentication)反重放(Anti-Replay)IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityP

5、arameterIndex)安全联盟生存时间(LifeTime)安全提议(SecurityProposal)安全策略(SecurityPolicy)AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据(可变)填充字段(0-255字节)填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分IK

6、EIKE(InternetKeyExchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2DH交换及密钥产生ac=gamodpdamodp

7、peer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASAVPN概述IPSecVPN协议原理ICG2000IPSec配置与排错Web方式配置IPsec排错目录IPSec

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。