引言
先浅说一下我当时学习ipsec的场景吧。我们老师把数据安全里面的各种协议(用于数据加密的ESP/AH,加密算法,哈希算法,数字签名等)先给我们打了一个铺垫后,接着讲着原理,后讲配置,虽然课后配是会配了,也大体上知道怎么个配置方法说得出来个阶段一,二。但各个知识体系如同散沙一般在我知识体系里面,没有逻辑框架把它门一个一个对应起来。现在有时间在网上查资料把它门拼接起来,并用通俗易懂的语言和理解方式介绍给大家听,我会以总分总的方式,先在整体上大致去理解,逻辑化去分析ipsec协议簇,再分开去细讲各个组成部分,最后配置,汇总起来,总结归纳,希望大家学习完后能掌握ipsec vpn,也能更好理解VPN(大学生易读版,放心)
IPSEC VPN简介
IPSEC(Internet Protocol Security)是一组基于网络层的,应用密码学的安全通信协议簇,注意⚠️⚠️它并不是单个协议,而是由多个协议共同构成的协议簇!!!
IPSEC VPN 是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网,通过封装头部的方式来保障数据传输的安全性。IPsec VPN就是利用IPsec隧道来建立起网络层VPN(三层vpn)
理解
抽象理解
如图,如果A人B人要邮寄包裹,那么要考虑哪些因素?
A.知道对方的正确地址,为后续邮寄做准备
B.选择用哪家邮寄公司会对包裹有最大的保护不受其他的恶意影响
C.是用空运还是海运,还是一般的普通邮寄
实际理解
IPSEC作为一个协议簇,其作用是对数据提供安全服务,IPSEC VPN则是在其安全服务的基础上实现VPN,IPSEC VPN由多个协议按照不同的逻辑方式共同组建起来,主要是密钥管理(IKE),其工作过程又分为第一阶段和第二阶段,工作模式,加密算法(ESP/AH)三者,我们先不管其实际知识,先理解性把三者逻辑化的组成起来。
1.IKE工作第一阶段,去与对端认证建立连接,为后续做铺垫(与A对应)
2.IKE工作第二阶段,产生真正密钥,与安全协议结合确认加密算法(与B对应)
注意:这里密钥和算法组合成为加密算法可以这样去理解
3.IKE建立的安全基础上选择传输的方式(与c对应)
注意,是这么去理解,而不是知识点!!!!!照这样依次去理解其中的联系并配置,容易上手的多。
知识细讲
理解归理解,IKE,工作模式,ESP/AH安全协议以及其他小知识点如何互相去关联,构成IPSEC VPN想必大家也有一定的思路,但作为该框架中最重要的几个知识点,我会依次讲解(超详细见链接),从而让大家更好的去理解IPSEC VPN。
看了此处大家可能会懵逼,循序渐进,都是从无到有的知识学习过程,慢慢掌握后再从详细链接里面去具体了解知识详细。加油!!!!!
IKE协商阶段
简介:IKE(Internet Key Exchange)进行安全联盟建立与密钥交换的过程,为安全协议的使用提供密钥,构成加密算法
理解:IKE为IPSec协商生成密钥,与AH/ESP结合使用,提供安全服务
目的:建立ipsec的基础,也是ipsec的精髓所在,SA(安全联盟)!!!通过使用安全联盟(SA) , IPSec能对的数据流提供的安全服务。(这里把安全联盟看作安全关联更好理解一点)
工作流程:
阶段一:a.互相告知安全参数(哈希算法,完整性算法),为阶段二使用做准备。
b.为IPSec协商生成密钥,互相告知密钥,为步骤c相互认证的使用做准备。
c.验证对等体,建立ISAKMP SA
阶段二:ISAKMP SA通过协商安全服务(阶段一的安全参数以及ESP/AH安全协议)升级,建立IPSec SA,产生真正可以用来加密数据流的密钥
以上为IKE具体实现略讲,阶段一采用主模式,阶段二采用快输模式
详细解析链接:
IPSEC VPN——IKE详解(大学生易读版)
https://mp.csdn.net/mp_blog/creation/editor/134079567
安全协议
简介:通过安全协议来保护数据传输的安全性
理解安全协议和IKE的关系:IKE协议用于自动协商AH和ESP所使用的密码算法,AH/ESP的实现需要IKE提供密钥支持
具体:
以上为安全协议略讲
详细解析链接
IPSEC VPN——AH/ESP详解(大学生易读版)https://mp.csdn.net/mp_blog/creation/editor/134104226
工作模式
简介:工作模式分为传输模式和隧道模式,通过封装的方式实现报文能在公网传输
理解:在IKE和通信协议共同实现安全服务的基础上,要考虑怎么实现VPN呗,工作模式在这里发挥通过封装实现VPN的作用
传输模式(不常用)
封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,只封装数据部分。
运用场景:加密点就是通信点的时候(在俩终端建立VPN,之前我也很疑惑ipsec的传输模式都不封装公网ip,原本的私网IP也动都不动,那如果通信点等于加密点,也实现不了vpn嘞,被老师说转不过弯,万一ipsec是建立在内网环境了??!!)
隧道模式(常用)
封装方式:封装上公网头部,并封装上ipsec的报头,除此之外,将原数据包的数据和ip报头进行封装并且加密,并加密原ip包头。
运用场景:加密点不是通信点的时候,如图,标准的VPN场景。
知识细讲小结:
在IPSEC VPN中,IKE工作一二阶段后提供密钥,为安全协议共同构成加密算法,在此基础上通过不同的工作模式实现有安全保障的VPN。
配置:
配置思路:从上述的实际理解就可知,先配置出
1.阶段一(为阶段二做准备的算法,密钥,验证对等题)
2.阶段二(在阶段一基础上配置上安全协议)毕竟IKE的阶段一二就是为了建立SA,为安全协议构成加密算法嘛
3.确认工作模式
4.整合以上的资源以及匹配对象(vpn是在俩路由器上配置,业务数据传输是俩通信点上)以及要进行传输的VPN对端和本端。
5.在接口上调用步骤4上整合的所有资源。
实现原理:
拿这张图作为示范,R4向R5发送信息,在VPN的左端R1上发出时在e0/1接口上匹配上资源,在已经建立安全联盟间封装上安全协议(ESP/AH)有关报头实现安全保障,封装上不同工作模式来实现VPN。从而达成ipsec vpn的目的
具体配置:
尾言
IPSEC VPN是VPN里面最常见的一类,也是必须掌握的,在VPN的学习道路上有承上启下的作用,在后续的讲解中隧道嵌套,DMVPN都与之有所关系,望初学者一定要牢牢掌握。在上述讲解中,我以总分总的方式进行解析和讲解,想必大家已经在理解的基础上去完成IPSEC VPN知识的掌握,如还有问题可在评论区留言,我会尽力解答大家疑惑,文章大多来源于上课学习笔记记录,教科书记录,以及自我搭建拓扑分析。本人网络小白一枚,如有问题望大佬指出,感谢万分!!!
最后,希望大家在网络学习道路上天天向上,加油!!!!!!
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
