目录
10.IKE第一阶段有哪些模式? 有什么区别,使用场景是什么?
13.多VPN的NAT环境下ipsec会有哪些问题? 如何解决?
1.什么是数据认证,有什么作用,有哪些实现的技术手段?
数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的安全性、完整性。 使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。 简单来说就是保障你的在网上交易的安全。
预主密钥, 共享密钥,HMAC认证密钥,初始化向量
2.什么是身份认证,有什么作用,有哪些实现的技术手段?
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
3.什么VPN技术?
4.VPN技术有哪些分类?
业务分类
网络层次划分
应用层:SSL VPN等
传输层:Sangfor VPN
网络层:IPSec,GRE等
网络接口层:L2F/L2TP,PPTP等
5.IPSEC技术能够提供哪些安全服务?
6.IPSEC的技术架构是什么?
7.AH与ESP封装的异同?
8.IKE的作用是什么?
9.详细说明IKE的工作原理?
ike建立安全联盟的两个阶段:
两个阶段:
第一阶段:IKE SA ---主要解决两个主要的问题---(双方---对等体之间的身份认证,IPSec之间的密钥 生成和交换)。
第二阶段:IPSec SA
10.IKE第一阶段有哪些模式? 有什么区别,使用场景是什么?
IKEv1分为两个阶段,第一阶段分为两个模式:主模式和野蛮模式,主模式协商6个报野蛮模式3个包协商IKE SA,协商IPSec SA需要3个包
主模式
6个包交互,默认使用IP地址作为身份标识,默认传递自己的接口地址作为身份标识,对方的公网地址作
为对端身份标识去检查
野蛮模式
11.ipsec在NAT环境下会遇到什么问题?
无论在哪种协议下由于NAT会转换IP地址,就导致了会破坏完整性;
具体场景:当我们ipsec设备没有部署在企业边界,而是部署企业内网时,ipsec的通信地址会被边界NAT设备做地址转换,这种情况下,需要考虑NAT与IPSEC的兼容性
12.详细分析NAT环境下IPSEC的兼容问题
ipsec的AH协议不支持NAT,ESP仅有隧道模式支持,传输模式不支持NAT,并且标准的IKE SA的主模式是用IP地址作为身份ID的,nat会破坏IP地址故而不支持主模式,仅支持野蛮模式。野蛮模式+ESP的隧道模式
13.多VPN的NAT环境下ipsec会有哪些问题? 如何解决?
NAT环境下IPSEC最终解决方案:NAT-T技术,改技术规定在NAT模式下IPSEC的IKE SA阶段使用目的端口UDP 500或4500作为端口号,源端口允许被修改(这种情况下防火墙写策略时不要规定其源端口号),IPSEC SA数据加密流传输阶段规定使用目的端口UDP 4500来传输ESP加密流,源端口允许被修改,解决了ESP没有端口号的问题。
14.描述NHRP的第三阶段工作原理?
NHRP:下一跳解析协议
NHRP的第三阶段通过解析请求和使用本地和广域网缓存来确定数据包的下一跳NBMA地址,以实现数据包转发
15.IPSEC是否支持动态协议? 为什么?
ipsec不支持动态协议,因为ipsec自始至终都没有创建该协议所需要的接口;并不想GRE协议,需要创建Tunnel口,并且配置IP。
16.DSVPN的工作原理及配置步聚?
其主要原理是利用mGRE结合NHRP来建立分支之间的直接隧道,当设备转发一个IP报文时,根据路由表将IP报文传给下一跳的出接口mGRE隧道接口,mGRE在NHRP映射表中查找获取下一跳地址映射的对端公网地址。
配置总部和分支的公网IP地址;
配置总部和分支的ISP的路由,确保分支能够到达总部的公网IP地址
配置分支与总部的IPSec VPN;
启动NHRP协议,使得分支能够动态学习到其他分支的信息;
配置mGRE接口,使得分支之间可以建立直接的隧道;
配置分支之间的动态路由协议,使得分支之间可以通过mGRE隧道直接通信;
验证DSVPN是否正常工作
扫一扫
693
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
