1、什么VPN技术?
VPN ---虚拟私有网,实现是隧道技术
2、VPN技术有哪些分类?
根据业务划分:
client to LAN (access VPN)---个人连接局域网
LAN to LAN (site to site)----GRE MPS VPN (类似分公司连接总公司)
根据网络层次划分:
3、IPSEC技术能够提供哪些安全服务?
机密性
完整性
数据源鉴别
重传保护
不可否认性(类似于数字签名,这个签名就是你本人的改变不了)
4、IPSEC的技术架构是什么?
ipsec有两个安全封装协议
这两个是对ipsec所传输数据的一些安全服务
ESP
加密算法
鉴别算法
机密性、完整性、可用性
AH(不提供加密算法即不保证数据的机密性,适用于内网因为内网相对安全)
鉴别算法
完整性 可用性
5、AH与ESP封装的异同?
AH相对于ESP没有机密性,没有使用加密算法。
AH的传输模式和隧道模式要对其原始IP包头、新IP包头、IP数据都要做安全认证,而ESP只用对IP数据和自己ESP尾部做安全认证。(但是ESP的加密算法要加上ESP头部)
6、IKE的作用是什么?
为ipsec进行密钥协商并建立安全联盟
7、详细说明IKE的工作原理?
第一个阶段:通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道,交换建立一个安全联盟,IKE SA
建立IKE SA的两种形式
主模式
野蛮模式
第二个阶段:用已经建立的安全联盟(IKE SA)的安全通道为ipsec协商安全服务,建立IPSEC SA,产生用于业务数据加密的密钥
8、IKE第一阶段有哪些模式?有什么区别,使用场景是什么?
主模式和野蛮模式。
区别:主模式有六个包。野蛮模式三个包。但是安全性没问题,ID设置灵活性高,有助于不同厂商ipsec对接。
二、复现课堂IPSEC VPN实验
第一阶段:
要让PC1和PC2建立ipsec专线实现互通
AR1的提议(12包):
(上图做一个提议。有3DES或者AES,这里选择AES)
(认证算法,这里用的sm3国产的)
(认证方式预共享)
(非对称算法DH的强度这里用DH5强度)
(时间)
AR2的提议(12包):
AR1的身份认证(56包)
AR2的身份认证(56包)
和AR2的身份认证相同步骤。除了对方的主机IP不同
第二阶段:
AR1的提议:
AR2的提议:
AR1的策略集和接口调用
策略集就是将上面所有配置关联起来
上图中的配置有个错误。就是算法不要选择国产的。上面截的图已经是国产的了不方便修改。iji做的时候要记住算法不要用国产的