虚拟专线
动态智能虚拟专线(mgre)
包含两种角色,分别为hub和spoke,hub为主端,spoke为分支
在ospf中有4个接口发送状态,分别为p2p,p2mp,ma,nbma,由于p2p为单点传输所以不被选择,因为中间区域包含多个路由器,所以不能使用ma。而被p2mp和nbma被广泛选择。
使用伪广播,将信息发送给每一个spoke
p2mp与nbma区别:p2mp不需要选举dr/bdr,而nbma需要。
p2mp的topo与nbma的区别,p2mp spoke之间通信需要过hub,而nbma spoke之间可以互相直接访问。
dsvpn 的p2mp topo
dsvpn nbma topo
nhrp
下一跳解析协议:dsvpn建立mgre隧道必要的协议
spoke与spoke之间的mgre隧道建立中,nomal和shortcut的区别
nomol解析下一跳,通过下一跳递推,在询问目标网置时,不会重定向
shortcut直接解析目标地址,在询问目标网段是,hub会进行重定向
当在多级mgre中,nomal会绕行,而shoortcut不会
ipsec
基于网络层的应用于密码学的安全通信信息族
ipsec是基于IPSec协议族构建的在IP层实现的安全虚拟专用网,主要用于保护TCP、UDP、ICMP和隧道的IP数据包
不可否认性:由身份验证来完成
重传攻击保护:ah报头中的序列号来保证
数据源鉴别:由共享密匙保证
完整性:由哈希的校验来实现
机密性:由密码算法加密ip数据包来实现
ipsec协议簇
两种工作模式:传输模式,只传输无加密,一般用于主机和主机之间不改变原有的ip报头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据
隧道模式,一般用于私网和私网之间,有加密,增加新的IP头(隧道头),其后是ipsec包头,之后再将原来的整个数据包封装。
两个通讯保护协议:ah,提供安全服务,不提供保密性服务服务号51
Esp:封装安全有效载荷,包含ah所有功能,增加了数据保密,服务号50
秘钥交换管理协议(ike):两个阶段,第一阶段通信各方彼此间建立了一个已通过身份验证和安全保护的通道,分为主模式(默认)和野蛮模式,第二阶段为快速模式,产生真正可以用来加密数据流的密钥,它定义了受保护数据连接是如何在两个IPSEC对等体之间构成的。
两个数据库:安全策略数据库
安全关联数据库
解释域
ike阶段–主模式协商
先进行sa交换(2次交互):发送本端的ike策略信息,对方确认使用的算法
密钥交换dh(2次交互):发送本端密钥产生的信息,对方生成密钥并发送本端的密钥生成信息
id交换及验证(2次交互):发送本端的身份和验证信息,对端确认,并发自己的
—野蛮模式(3次交互)
发送sa并发起dh交互(携带自己的id)
对端接受sa,应答dh
本端认证对端(前两个数据为明文传输,仅消息3为加密传输。)
vpn隧道黑洞:当对方出现问题,本端无法得知,产生黑洞,而dpd(死亡对等体检测)解决了这一问题,但只对第一阶段生效,如果第一阶段本身已经超时断开,便不会再发
nat-t协议运用在IPSec VPN中,在IKE协商和VPN连接时,允许源端口为非UDP 500端口
NAT-T协议为ESP增加了UDP头部,从而解决了数据传输过程经过防火墙后无法进行端口复用的问题
证书
野蛮模式可以用于跨厂商
扫一扫
6330
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
