3.2、虚拟专用网络基础之IP sec

已于 2023-01-03 10:00:17 修改
阅读量1.6k 收藏 19
点赞数 1
分类专栏: 网络 文章标签: 网络
于 2022-12-30 10:21:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33782021/article/details/128478886
版权

目录

1、加密算法

2、验证算法

3、体系结构

4、SA安全联盟

4.1、安全通道

4.2、SA由三元组来唯一标识

5、IP sec VPN的模式

6、工作原理

7、配置步骤

7.1、网络可达性(公网通、内网通)

7.2、配置感兴趣流

7.3、配置第一阶段IKE SA

7.4、配置第二阶段IP sec SA

7.5、关联感兴趣流+第一阶段+第二阶段(配置安全策略)

7.6、应用到接口

7.7、Ping 测结果

IP sec:IP security,一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。

数据加密通过数据加密保证数据私密性
数据完整性验证通过数据完整性验证确保数据在传输路径上未经过篡改,常用算法:哈希算法
数据源验证通过对数据发送的源进行验证,保证数据来自真实的发送者
防止数据重放通过在接收方拒绝重复的报文来防止恶意用户捕获数据包重复发送进行攻击

1、加密算法

对称加密:加密和解密是同一个密钥。常用算法:DES、3DES、AES-CBC-128等

非对称加密:加密方通过对端的公钥加密数据;解密方通过自己的私钥解密数据。常用算法:DH

通常,为了保证对称加密的安全性,会采用非对称加密对对称加密的密钥进行加密(对称加密的密钥进行公钥加密后理解成一把锁,非对称加密的私钥理解为特定的钥匙)。

2、验证算法

常用算法:MD5、SHA

3、体系结构

IP sec不是一个单独的协议,IP sec VPN体系结构主要用三个协议去创建安全架构:

IKE对象是密钥,通过数据交换来计算密钥
ESP对象是用户数据,对用户数据进行封装,提供认证和加密
AH对象是用户数据,对用户数据进行封装,只提供认证,不加密

4、SA安全联盟

4.1、安全通道

一组规则,遵循此规则就能保证数据私密性、保证数据完整性、确保数据合法性、抗重放

4.2、SA由三元组来唯一标识

  1. 安全参数索引号SPI:用来唯一标识SA,手动指定或IKE协商产生SA时,SPI随机生成。
  2. 目的IP地址
  3. 安全协议号(AH:51;ESP:50)

5、IP sec VPN的模式

  • Transport:传输模式,封装的时候不会产生新的IP头部
  • Tunnel:隧道模式, 封装的时候会产生新的IP头部

系统默认是Tunnel模式。

ESP协议,工作在IP网络层:

AH协议,工作在IP网络层:

                     

6、工作原理

IKE协商过程分两个阶段:

第一阶段:建立IKE SA(对象是密钥),产生密钥,为第二阶段交互数据报文提供保护。

        两种模式:

        主模式(Main):6条ISAKMP消息交互

                第1、2个报文 协商:认证算法、加密算法、认证方式、DH等

                第3、4个报文 交换DH:产生密钥

                第5、6个报文 验证对端合法性

        野蛮模式(Aggressive):3条ISAKMP消息交互

第二阶段:建立用来传输数据的IP sec SA(对象是数据),为IP数据提供安全防护,是真正保护用户数据的。

        快速模式(Quick):3条ISAKMP消息交互

                第1、2个报文:协商加密算法、认证算法、封装协议(AH/ESP)、模式(Tunnel、Transport)等

                第3个报文:用来做确认

7、配置步骤

7.1、网络可达性(公网通、内网通)

7.2、配置感兴趣流

指定相应网段进入IP sec VPN隧道

R1配置感兴趣流:

acl number 3000  
 ##允许分部2.0段的主机访问总部服务器ip为1.0网段的服务器
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

R3配置感兴趣流:

acl number 3000  
 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

7.3、配置第一阶段IKE SA

 设备是有默认IKE Proposal以及对应算法,见上图。如需修改相应算法,如下:

##安全提议,x数值越小越优先,默认优先级最低
IKE Proposal X
 ##加密算法
 encryption-algorithm 3des-cbc
 ##认证算法
 authentication-algorithm md5
 ##认证方式-预共享,后续产生密钥
 authentication-method pre-share

上图配置根据实际需要决定是否人工配置。

R1配置:

##字符串huawei1标识peer的名字,v1是版本1
ike peer huawei1 v1
 ##配置预共享密钥,字符串huawei是密钥,两端的密钥必须保持一致,否则协商不起来
 pre-shared-key simple huawei
 ##配置合法的对端,用来验证对端是否合法,而管理员知道对端的合法IP
 remote-address 23.1.1.3

R3配置:

ike peer huawei1 v1
 pre-shared-key simple huawei
 remote-address 12.1.1.1

7.4、配置第二阶段IP sec SA

设备是有默认IP sec SAl以及对应算法,见上图。如需修改相应算法,如下:

##配置第二阶段,建立IP sec SA,字符串huawei2为名字
ipsec proposal huawei2
  ##用户数据报文封装协议
  transform esp
  ##数据报文需不需要加新头部
  encapsulation-mode tunnel
  ##用户数据报文加密时的加密算法
  esp encryption-algorithm 3des
  ##数据报文完整性校验,保证数据没有被篡改
  esp authentication-algorithm md5

上图配置根据实际需要决定是否人工配置。

R1同R3配置:

ipsec proposal tran1

7.5、关联感兴趣流+第一阶段+第二阶段(配置安全策略)

R1配置:

##字符串vpn是名字,1是序列号,两端保持一致
ipsec policy vpn 1 isakmp
 ##关联感兴趣流
 security acl 3000
 ##关联第一阶段
 ike-peer huawei1
 ##关联第二阶段
 proposal tran1

ip route-static 192.168.2.0 255.255.255.0 12.1.1.2

R3配置:

ipsec policy vpn 1 isakmp
 security acl 3000
 ike-peer huawei1
 proposal tran1

ip route-static 192.168.1.0 255.255.255.0 23.1.1.2

7.6、应用到接口

R1配置:

interface GigabitEthernet0/0/1
 ipsec policy vpn

R3配置:

interface GigabitEthernet0/0/0
 ipsec policy vpn

7.7、Ping 测结果

网运少年
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
十、虚拟专用网络基础IP sec
12-30
IP sec不是一个单独的协议,IP sec体系结构主要用三个协议去创建安全架构: IP secIP security,一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。 IKE协商过程分两个阶段: 第一阶段:建立IKE SA(对象是密钥),产生密钥,为第二阶段协商提供保护。         两种模式:         主模式(Main):6条ISAKMP消息交互         野蛮模式(Aggressive):3条ISAKMP消息交互 第二阶段:建立用来传输数据的IP sec SA(对象是数据),为IP数据提供安全防护。         快速模式(Quick):3条ISAKMP消息交互
L2L 虚拟专用网络 实验
09-29
L2L实验用GNS3做的博客我发步的文章有介绍,可以去看,就是关于IP Sec 的实验,还有抓包的实验,都有
3.3、GRE Over IP sec
qq_33782021的博客
01-03 237
1、GRE 缺点:不安全,无认证无加密 优点:支持多协议,支持IP组播,配置简单容易理解 2、IP sec 缺点:只支持IPv4单播 优点:安全,加密认证都有
IPSec协议抓包详解和IPSec NAT穿越报文解析
沉默的鹏先生
04-11 2万+
目录 协议概述 2、IPSec作用 3、认证方式 3.1、预共享密钥 3.2、数字证书 4、ESP加密算法 4.1、ESP完整性检测 4.2、ESP防重放 4.3、ESP防窃听 5、IPSec工作原理 5.1、传输模式 5.2、隧道模式 6.1、主动模式 6.1.1、Ikev1协商 6.1.2、IPSec加密协商 6.2、野蛮模式 7、IPsec穿越NAT ...
IP sec的×××配置
weixin_34162629的博客
09-09 681
×××的定义 虚拟专网(×××-VIRTUAL PRIVATE NETWORK)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如INTERNET,ATM,FRAME RELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。 ×××的功能 ...
IP Sec××× 配置实例
weixin_34248023的博客
01-30 201
前言:IPSec ×××配置基本步骤:第一步 配置IKE协商R1(config)#crypto isakmp policy1建立IKE协商策略R1(config-isakmap)#hashmd5 设置密钥验证所用的算法R1(config-isakmap)#authentication pre-share设置路由要使用的预先共享的密钥R1(config)#cr...
IPSec的特征与功能
key_3_feng的博客
06-09 1432
IPsec简述
IPSec 基础介绍
qq_32044265的博客
11-28 4515
IPSec包括认证头协议AH、封装安全载荷协议ESP、因特网密钥交换协议IKE,用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换 本文对IPSec的安全联盟(Security Association)安全协议、封装模式、加密和验证、密钥交换和IKE协议以及IPSec的加密数据流进行简单介绍
IPSec详解
Anakin01的博客
05-25 5791
与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。ESP协议验证报文的完整性检查部分包括ESP头、原IP头、传输层协议头、数据和ESP报尾,但不包括新IP头,因此ESP协议无法保证新IP头的安全。ESP协议验证报文的完整性检查部分包括ESP头、传输层协议头、数据和ESP报尾,但不包括IP头,因此ESP协议无法保证IP头的安全。明文数据----------同样的散列算法(MD5算法)---------算出散列值2(67890)
IPSEC详解
qq_45782298的博客
05-05 3万+
1、什么是IPSec IPSec(Internet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一些列协议,它为IP数据包提供了高质量的、基于密码学的安全传输特性。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。 私有性:指对用户数据进行加密,用密文形式进行传送。 完整性:指对接收的数据进行认证,以判定报文是否被篡改。 防重放:指防止恶意用户通过重复发送捕获到的数据包进行攻击
IPSEC原理及组成
热门推荐
LDF-Dicky的博客
09-20 4万+
1.IPsec介绍 IPsecurity是一套完整的加密系统   IPsec-VPN提供三个特性: authentication  每一个IP包的认证 data integrity  验证数据完整性,保证在传输过程中没有被人为改动 confidentiality(私密性)数据包的加密   2.IPsec组成 IPsec协议集包括三个协议: ①internet keyexch
SEC储量评估基础知识交流分享
04-21
美国证券交易委员会(U.S.Securities and Exchange Commission)简称SEC,是1929年10月由美国联邦政府建立的一个专门从事金融管理和市场监督的机构,目前已发展成为国际上最大的上市企业融资机构之一,也是国际资本...
iperf 网络链路参数
01-07
iperf 网络链路参数 看 srt 的 大神文档,看到大神使用的网络链路探测工具是iperf 一直向找一个这样的工具 web gui qt gui sdn iperf iPerf – The ultimate speed test tool for TCP, UDP and SCTP Test the ...
JAVA安全性第一部分 密码学基础 j-sec1.zip_密码学基础
09-20
Java安全--密码
IP sec VNP
weixin_34375251的博客
12-29 315
IP sec 的组成--IPsec协议集包括三个协议:1、internet key exchange(IKE)密匙交换协议、isakmp(internet安全联系和密钥管理协议)协议双方使用的算法,密匙,协商在两个对等体之间建立一条遂道的参数,协商完成再用下面的方法封装数据。IKE动态的,周期性的在两个PEER之间更新密钥2、encapsulating secutity pa...
ACL --- 访问控制列表
weixin_49252364的博客
05-22 591
1,访问控制 --- 在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作 (permit--允许,deny---拒绝) 2, 抓取感兴趣流:ACL的另一个作用就是和其他服务结合,ACL负责按照事先制定的规则抓取流量,而其他服务对匹配到的流量执行相应的动作 ACL的匹配规则 ---- 自上而下,逐一匹配。匹配上就按照对应的动作来执行,而不在向下匹配。 思科体系的设备,ACL列表末尾隐含了一条拒绝所有的规则。 华为体系的设备,对ACL列表中匹配不到的流量不做任何处理...
商业虚拟专用网络技术七IPSec应用场景
weixin_42227328的博客
03-31 2418
PSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族,是一个开放的协议族。IPSec主要是解决数据传输过程中的机密性、完整性、真实性、抗重播这些问题,利用IPSec的安全机制在局域网安全互联、与移动用户远程安全接入、与多分支机构的远程安全接入通过隧道嵌套技术,实现安全传输。
IPSEC的实现方式
遇见你是我最美丽的意外
05-15 8919
IPSEC的实现方式 在IPSEC通信中涉及到一个重要方面,那就是如何定义要保护的数据流(又称为感兴趣流)。这不仅涉及到IPSEC最终要保护哪部分数据,还关系到IPSEC的实现方式,因此有必要把感兴趣流的定义方式进行详细说明。 1. 感兴趣流的定义方式 “感兴趣流”指的是哪些数据可以进入IPsec隧道进行传输,哪些数据不能进入IPsec隧道传输。在现有的IPsec 实现过程中,最常用的实现方式有两种:“基于ACL”、“基于虚拟隧道接口”。下面我们对这两中方式进行详细的介绍。 2. 基于ACL(访问控制)方式
IP Sec 小练习
qq_43561410的博客
11-26 847
  一、基本配置:R1-R5的IP地址、改名、并让R1和R5模拟PC R1(config)#int s1/1 R1(config-if)#ip add 10.1.1.1 255.255.255.0 R1(config-if)#no shu R1(config)#ho PC1(改名) PC1(config)#no ip routing(关闭其路由功能) PC1(config)#...
谈谈你对IP Sec的定义、原理、特点、面临问题、优缺点、应对策略等方面的认识
最新发布
06-03
IPsec(Internet Protocol Security)是一种网络安全协议,它提供了对IP数据包的加密和认证,以保证数据在互联网上传输时的安全性和完整性。 IPsec的原理是通过加密和认证来保护IP数据包。它使用了一系列的安全协议来实现数据包的加密和认证,包括密钥交换协议、身份认证协议、加密协议和完整性保护协议等。 IPsec的特点包括: 1. 安全性高:IPsec提供了强大的加密和认证机制,保证了数据传输的安全性和完整性。 2. 灵活性强:IPsec支持多种加密算法和认证方式,可以根据需求进行定制化配置。 3. 兼容性好:IPsec可以在各种操作系统和网络设备上运行,与现有的网络设备和协议兼容性好。 4. 可扩展性强:IPsec可以根据需要进行扩展,支持多种应用场景。 IPsec面临的问题主要包括: 1. 性能影响:IPsec加密和解密会对网络性能产生一定的影响,特别是在高负载情况下。 2. 配置难度:IPsec的配置比较复杂,需要一定的专业知识和经验。 3. 安全性问题:IPsec的安全性依赖于密钥管理和密钥交换协议的安全性,如果这些协议存在漏洞,会影响IPsec的安全性。 IPsec的优点包括: 1. 提供了强大的安全保障,可以有效地保护数据传输的安全性和完整性。 2. 可以根据需要进行定制化配置,支持多种加密算法和认证方式。 3. 兼容性强,可以在各种操作系统和网络设备上运行。 4. 可扩展性强,支持多种应用场景。 IPsec的缺点包括: 1. 配置复杂,需要一定的专业知识和经验。 2. 性能影响比较大,在高负载情况下会对网络性能产生影响。 3. 密钥管理和密钥交换协议存在安全性问题,可能会影响IPsec的安全性。 应对IPsec面临的问题,可以采取以下策略: 1. 优化IPsec的配置,减少对网络性能的影响。 2. 加强密钥管理和密钥交换协议的安全性,提高IPsec的安全性。 3. 增强IPsec的可管理性,简化配置过程,降低配置成本。 4. 优化IPsec的性能,提高网络的传输效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网运少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值