IPSEC建立过程(简)

最新推荐文章于 2024-06-12 10:13:51 发布
最新推荐文章于 2024-06-12 10:13:51 发布
阅读量5.8k 收藏 17
点赞数 3
分类专栏: 网络 文章标签: ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuaizai__/article/details/120478329
版权

IPSEC建立过程

文章目录

阶段一:

  • 目的是建立IKE SA (ISAKMP SA) 建立后对等体间所有的IKE消息都将通过加密和验证
阶段一支持两种协商模式:

在这里插入图片描述

  • 主模式:

    三个交换步骤:

    • 协商对等体之间使用IKE安全提议 1/2数据包
    • 使用DH算法交换密钥相关信息,并生成密钥 3/4数据包
    • 对等体之间验证彼此身份 5/6数据包
  • 野蛮模式:
    • 发起方发送ISAKMP消息,携带建立IKE SA所使用的参数、与密钥生成相关的信息
      和身份验证信息。
    • 响应方对收到的第一个数据包进行确认,查找并返回匹配的参数、密钥生成信息
      和身份验证信息。
    • 发起方回应验证结果,并建立IKE SA

在这里插入图片描述

阶段二

快速交换模式

在这里插入图片描述

快速模式共有3条消息完成双方IPSec SA的建立。
  • 消息1发送本端的安全参数和身份认证信息。

安全参数包括被保护的数据流和IPSec安全提议等需要协商的参数。身份认证信息 包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体

说明: 密钥的有效时间由配置的安全联盟生存周期决定。安全联盟超时后会重新
协商密钥和安全联盟。

  • 消息2响应消息1,发送响应方的安全参数和身份认证信息并生成新的密钥。

对等体双方通过交换密钥材料生成新的共享密钥,并最终衍生出IPSec的加密密钥
此时响应者和发送者各有两个SA。

IPSec SA数据传输需要的加密、验证密钥由SKEYID_d、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。

当启用PFS时,要再次应用DH算法计算出一个共享密钥,然后参与上述计算,因
此在参数协商时要为PFS协商DH密钥组。

  • 消息3响应消息2,确认与响应方可以通信,协商结束

主模式和野蛮模式的区别

主模式包含三次双向交换,用到了六条信息。
  • 消息①和②用于策略交换,发起方发送一个或多个IKE安全提议,响应方查找最先
    匹配的IKE安全提议,并将这个IKE安全提议回应给发起方。
  • 消息③和④用于密钥信息交换,双方交换Diffie-Hellman公共值和nonce值,IKE SA
    的认证/加密密钥在这个阶段产生。
  • 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进
    行身份认证和对整个主模式交换内容的认证。
野蛮模式只用到三条信息

前两条消息①和②用于协商提议,交换Diffie-Hellman公共值
、必需的辅助信息以及身份信息,并且消息②中还包括响应方发送身份信息供发起方
①和②用于协商提议,交换Diffie-Hellman公共值
、必需的辅助信息以及身份信息,并且消息②中还包括响应方发送身份信息供发起方
认证,消息③用于响应方认证发起方。

kuaizai__
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco路由器之IPSec 虚拟专用网(包括相关知识点以及配置实例)
cheng198956的专栏
08-15 1242
博文大纲: 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用...
ipsec,用于单是设置2003的ip安全策略
11-20
1. **身份验证方法**:这是IPSec协商过程的起点,常见的身份验证方法有预共享密钥、数字证书和 Kerberos 等。在Windows 2003中,预共享密钥是最单的设置方式,适合小型网络环境。 2. **过滤规则**:定义哪些流量...
IPSEC流程例子及两个阶段的协商过程详细介绍
热门推荐
wesleyhe的专栏
02-01 3万+
IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图   我们来看一个完整的IPSec体系结构模型图,以便更好地理解IPSec体系结构。   IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息. 第一阶段 有主模式和积极模式2种
网络安全——网络层安全协议(2)
最新发布
cc123489ll的博客
06-12 721
本章将会讲解网络层的安全协议,了解IPSec体系结构,与工作原理。
IPsec原理+实现 一文全介绍
qingwangheni的博客
01-28 2045
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
IPSEC建立过程
时九博客
10-27 8316
IPSEC建立过程如下: 详细参考3GPP     33.402        IKEv2 协议由两个阶段的交互过程组成。第一阶段称为 IKE_SA_INIT 交换,第二阶段称为 IKE_AUTH 交换  IKE_SA_INIT:确认对方使用的算法、产生密钥   ---交换SA(加密、完保算法、伪随机数生成函数)、KE(DH算法)----鉴权四元组   IKE_AUTH:身份验证、分配IP、
IPsec基础(HCIE)
qq_45022073的博客
07-05 2119
IPsec基础(HCIE)
L2TP/IPSEC搭建详细步骤
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
IPsec协议过程
City_of_skey的博客
01-23 1万+
版权声明:如有需要,可供转载,但请注明出处:https://blog.csdn.net/City_of_skey/article/details/86618784 1、ipsec协议IPSec是在网络层构建的安全虚拟专有网络,通过在数据包中插入一些预定义的头部,实现对网络层以上的协议数据安全。不同于ssl应用层的加密。IPSec内核加密支持的库是xfrm。 ipsec安全体系 ...
IPSec的搭建
qq_42235364的博客
08-16 6349
1.环境说明 本次安装基于CentOS 6.5(内核版本 2.6.32-431.el6.x86_64),其他linux版本命令有可能有出入。 StrongSwan 版本为5.8.0,本方案介绍基于预共享密钥的方式。 2.CentOS 端配置步骤 1)安装依赖的库: yum install pam-devel openssl-devel make gcc 2)下载strongswan: wget http://download.strongswan.org/strongswan.tar.gz.
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6380
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
三分钟教会你搭建gre over ipsec隧道
weixin_44799797的博客
05-30 4589
GRE OVER IPSEC VPN实验技术介实验拓扑环境介绍配置文件 技术介 VPN:虚拟专用网络,旨在解决不同内网穿越公网实现互访的问题,主要实现途径是在公网中搭建一个隧道,用于传输跨公网的内网流量。说人话就是在家里能上公司内网 -_- IPSEC VPN:是VPN的一种,通过IPSEC来加密内网流量,实现流量在公网中的安全传输 GRE OVER IPSEC VPN:旨在解决IPSEC VPN无法传输组播流量的问题,IPSEC加上GRE隧道可实现组播流量的可靠传输 实验拓扑 环境介绍 现总部需与分
freeswan源码 学习使用111
11-08
freeswan支持IKE(Internet Key Exchange)协议,用于自动建立和管理IPSec安全关联,并且兼容IPv4和IPv6。 **二、源码结构与编译** 1. **源码结构**:freeswan源码通常包含多个子目录,如`include`(头文件)、`...
混合环境中如何使用IPSec实施SDI 将SDI延伸到UNIX和Linux系统.pdf
09-06
对于UNIX和Linux系统,配置过程可能因具体的操作系统版本而异,但基本步骤包括安装和配置IPSec软件,设置预共享密钥,并创建相应的安全策略。这些策略应该与Windows系统中的策略相匹配,以确保跨平台的互操作性。 ...
交换机工作原理
02-08
在交换机中,IPsec可用于建立安全隧道,加密传输的数据,防止数据被窃听或篡改。对于涉及敏感信息传输的企业网络,IPsec的部署显得尤为重要,它能有效保障网络通信的安全性和隐私性。 综上所述,交换机的工作原理...
luci-app-usb-printer_1.0-1_all.ipk.zip
04-27
本文将深入探讨这个应用,阐述其功能、安装过程以及如何在LuCI界面上进行操作。 首先,"luci-app-usb-printer"是专为OpenWrt或LEDE系统设计的一个LuCI界面插件,版本号为1.0-1,适用于所有架构。它使得用户可以通过...
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8641
路由器基础(十二):IPSEC VPN配置
centos7 L2TP/ipsec 搭建
zerotoall的博客
06-07 4850
centos7 L2TP/ipsec 搭建
华为防火墙IPSEC单搭建
baidu_41701694的博客
09-05 3692
消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP。
enspipsec配置
09-02
配置IPsec的步骤如下: 1. 配置IP地址。 2. 配置路由。 3. 添加兴趣流。 4. 配置ike安全提议。 5. 配置ike对等体。 6. 配置ipsec安全提议。 7. 配置ipsec安全策略。 8. 在接口应用ipsec安全策略。 具体来说,IPsec的配置包括以下步骤: 1. 首先,配置IP地址,确保主机或设备拥有正确的IP地址。 2. 然后,配置路由,以确保数据包可以正确地转发到目标地址。 3. 接下来,添加感兴趣流(interesting traffic),指定需要进行IPsec加密和认证的流量。 4. 配置ike安全提议,设置ike协商过程中所使用的加密算法、认证算法等参数。 5. 配置ike对等体,指定与对端设备之间进行ike建立安全关联的相关参数。 6. 配置ipsec安全提议,设置ipsec加密和认证所使用的算法。 7. 配置ipsec安全策略,确定哪些流量需要进行ipsec保护。 8. 最后,在接口上应用ipsec安全策略,确保流经该接口的流量得到适当的保护。 根据引用中的配置示例,可以看到在ipsec安全策略中使用了sha2-256算法进行认证,使用了3des算法进行加密。 总结来说,enspipsec配置的步骤包括IP地址、路由、兴趣流、ike安全提议、ike对等体、ipsec安全提议、ipsec安全策略和接口应用ipsec安全策略。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ensp上ipsec单配置](https://blog.csdn.net/m0_46626894/article/details/115324689)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值