IPsec虚拟专用网络

最新推荐文章于 2024-05-09 20:47:01 发布
最新推荐文章于 2024-05-09 20:47:01 发布
阅读量2k 收藏 4
点赞数 1
文章标签: 网络 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43622525/article/details/122259599
版权

简介

互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议簇,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。

导入协议原因

导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。

另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。

IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通

IPsec VPN

指采用IPsec来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务

IPsec vpn 技术的特性:

在使用公网传送内部专网的内容时,ipsec vpn 在ip传输上通过加密隧道,保证在ip公网上传输的数据的安全性,从而实现总部到分支机构之间的语音,视频等数据的互通。如今,很多国际的企业已经把vpn作为总部到分支机构的主要连接手段,比如的国际大型的组织,商业机构,连锁门店已经采用vpn这种安全的技术。

1经济

企业不再承担实施昂贵的固定线路的租费,而且带宽的费用很高,相反采用把internet作为骨干传输是非常便宜的,而其基本不用花费资金来做后期的维护,并且vpn设备的造价相比之下相对低廉。

2 灵活性很强

连接internet的方式可以多种,一个ipsec vpn 网路可以连接任意地点的分支机构

3.多业务

可以同时支持语音和视频传递到远端的分支机构和移动用户,大大提高了现代化办公的以及其他的数据需求。

4 安全性

安全是ipsec vpn 的显著特点,保证数据的 安全是该技术的根本所在。在vpn设备上,支持通道协议,数据加密,过滤

通过实现授权的多种方式保证安全,同时提供内置防火墙的功能,可以在vpn 通道之外,对公网到私网之间的数据进行监测过滤。

5:冗余设计

vpn 设备提供冗余机制,保证链路和设备的可靠性。

6 通道分离

vpn设备的通道分离特性为 ipsec 提供 客户端同时访问公网私网的支持。访问本地网络可以设置用户的访问权限

该特性在安全的条件下实现看合理方便的使用网络资源。

7:支持动态静态的路由协议,rip 和ospf 路由协使得vpn设备冲路由器的功能。在扩大网路的规模的同时并实现看安全功能,

并且路由协议可以加密在隧道中进行安全传输。

IPsec组成

IPsec主要由以下协议组成:
一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
四、密钥协议(IKE),提供对称密码的钥匙的生存和交换。

安全协议

(1)AH(AuthenticationHeader) 协议。
它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。
在 IPv6 中协议采用 AH 后, 因为在主机端设置了一个基于算法独立交换的秘密钥匙, 非法潜入的现象可得到有效防止, 秘密钥匙由客户和服务商共同设置。在传送每个数据包时,IPv6 认证根据这个秘密钥匙和数据包产生一个检验项。在数据接收端重新运行该检验项并进行比较,从而保证了对数据包来源的确认以及数据包不被非法修改。
(2)ESP(EncapsulatedSecurityPayload) 协议。
它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。

传输模式

传输模式(Transport Mode)是IPSec的默认模式,又称端到端(End-to-End)模式,它适用于两台主机之间进行IPSec通信。

传输模式下只对IP负载进行保护,可能是TCP/UDP/ICMP协议,也可能是AH/ESP协议。传输模式只为上层协议提供安全保护,在此种模式下,参与通信的双方主机都必须安装IPSec协议,而且它不能隐藏主机的IP地址。启用IPSec传输模式后,IPSec会在传输层包的前面增加AH/ESP头部或同时增加两种头部,构成一个AH/ESP数据包,然后添加IP头部组成IP包。在接收方,首先处理的是IP,然后再做IPSec处理,最后再将载荷数据交给上层协议。

隧道模式

隧道模式(Tunnel Mode)使用在两台网关之间,站点到站点(Site-to-Site)的通信。参与通信的两个网关实际是为了两个以其为边界的网络中的计算机提供安全通信的服务。

使用 IPSec 隧道模式时,IPSec 对 IP 报头和有效负载进行加密,而传输模式只对 IP 有效负载进行加密。通过将其当作 AH 或 ESP 有效负载,隧道模式提供对整个 IP 数据包的保护。使用隧道模式时,会通过 AH 或 ESP 报头与其他 IP 报头来封装整个 IP 数据包。外部 IP 报头的 IP 地址是隧道终结点,封装的 IP 报头的 IP 地址是最终源地址与目标地址。

AH 隧道模式使用 AH 与 IP 报头来封装 IP 数据包并对整个数据包进行签名以获得完整性并进行身份验证。

ESP 隧道模式采用 ESP 与 IP 报头以及 ESP 身份验证尾端来封装 IP 数据包。
 

√远方
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业级无固定IPSEC配置实战
悦分享
10-09 431
早期主模式不能使用在非固定IP场景下 , 进行身份验证密钥查找时,只能根据IP地址进行查找 , 不能根据域名方式进行查找预共享密钥-无法进行身份验证。早期解决方案使用野蛮模式。目前新款网络设备中,大部分设备已经完成主模式功能更新,可以支持通过域名方式完成身份验证。大部分场景下可以不再考虑使用野蛮模式,安全系数低于主模式。
H3C 830ipsec配置实例无固定IP
江湖小飞将的博客
11-20 5371
acl advanced 3600 rule 0 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.10.0 0.0.0.255 rule 10 permit ip source 172.2.2.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 1
【思科】IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-17 2138
本篇文章是关于思科的IPsec VPN里面的,但它的情况是两端的IP地址都是固定的,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
如何本地部署pritunl-openvpn结合内网穿透实现无公网IP远程访问
最新发布
邓富民的博客
05-09 837
Pritunl是一款免费开源的 VPN 平台软件(但使用的不是标准的开源许可证,用户受到很多限制)。这是一种简单有效的VPN方式,一方面能有一个相对简单的途径,易于初级用户迅速搭建 VPN 服务;另一方面有能抵御墙的干扰,提供稳定有效的代理服务。
H3C IPsec实验
呦菜呦爱玩的博客
07-22 3610
组网需求 1. 按照图示配置 IP 地址 2. 在 R1 和 R3 上配置默认路由连通公网 3. 在 R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问
【华为】IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-08 2638
本篇文章是关于IPsec VPN的 实验配置,场景是在一段IP地址是固定和另一端IP地址不固定的情况下的,那里面的配置思路会和两端地址固定的场景有一些不一样,文章里面都有注释,会更好去理解啦等等
H3C-IPSec方案部署
Galdys的专栏
11-23 2714
IPSec方案部署 通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。 一、              常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景: 1.       响应方无论在何种环境都是固定的公网地址; 2.       发起方也是固定的公网地址
CCIE理论-IPSec的主模式和野蛮模式的区别
weixin_48137911的博客
12-01 3411
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式。主模式一共有6个数据包的交互。
linux ip tunnel,ip tunnel模式的详细分析
weixin_39610964的博客
05-10 241
client端与RS端长连接建立后,后续报文的传输还是会到指定的RS,是因为LD会保留所有建立的连接到一张记录表内(为了效率,采用hash);cip:cport vip:port 目标ip:dportTCP 15:00 ESTABLISHED 172.16.70.6:54546 172.16.151.44:28000 172.16.151.1...
华为,思科 IPsec 虚拟专用网络 学习手册
11-06
路由交换技术,IPSec 虚拟专用网络 最全的学习手册,内容详细介绍了IPSEC 的原理,并有实验详细操作,让你一学就会!
十、虚拟专用网络基础之IP sec
12-30
IP sec不是一个单独的协议,IP sec体系结构主要用三个协议去创建安全架构: IP sec:IP security,一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。...
Windows Server 2003 的虚拟专用网络:互操作性
03-04
Windows Server 2003 虚拟专用网络的设计初衷是与 软件和支持安全远程访问行业标准的设备进行交互操作。本白皮书阐述了 Microsoft 如何致力于通过“基于 Internet 协议安全性的第二层隧道协议”(L2TP/IPSec) 和“点...
基于IPSec的虚拟专用网技术及其在Linux上的实现.pdf
09-07
它主要应用于虚拟专用网络(Virtual Private Network,简称VPNs),使得在公共网络如Internet上,两个或多个网络节点之间可以建立安全的通信隧道,仿佛它们之间存在一个专用的物理连接。 VPNs允许远程用户、分支...
企业网络安全架构设计之IPSec应用配置举例
06-19
为了更好地解决该场景下的用户痛点,采用安全的IPSec技术,可以在现有情况下构建虚拟专用网络用来实现安全的数据资源互访且不增加成本。 同时为更好的保证总部的接入的可靠性,出口采用双防火墙以双机热备形式部署在...
linux中ip tunnel的实现及协议简介
tycoon的专栏
06-17 6749
一.实现 在Linux中,隧道的实现主要基于两个文件new_tunnel.c和ipip.c 同时Linux定义了一种新的协议类型--IPIP(IPPROTO_IPIP),与上面所说封包类型类似。 基本思路 在Linux中IP Tunnel的实现也分为两个部件:封装部件和解封部件,分别司职发送和接收。但这两个部分是在不同的层次以不同的方式实现的。封装部件是在数据链路层以虚
IPSec的搭建
qq_42235364的博客
08-16 6365
1.环境说明 本次安装基于CentOS 6.5(内核版本 2.6.32-431.el6.x86_64),其他linux版本命令有可能有出入。 StrongSwan 版本为5.8.0,本方案介绍基于预共享密钥的方式。 2.CentOS 端配置步骤 1)安装依赖的库: yum install pam-devel openssl-devel make gcc 2)下载strongswan: wget http://download.strongswan.org/strongswan.tar.gz.
保护网络安全的IPsec,怎么配置?配置步骤和参考命令奉上
热门推荐
12-15 1万+
网络中存在哪些安全隐患? IPsec如何解决这些安全隐患? IPsec的隧道模式和传输模式区别是什么? 华为设备如何配置IPsec? 如果你想IPsec相关概念和原理,可以看看我之前发过这篇:写文章-CSDN博客,本篇为IPsec配置实战~ 一、实验拓扑 当前已完成了深圳总部出口路由器和长沙分支出口路由器的连通性, 但是两边的私网数据不能通信,现在希望双方能建立安全的私网通信。 二、实验目的: 配置IPsec,实现深圳总部和长沙分支之间安全的数据通信 数据加密算法使用.
【隧道篇 / IPsec】(5.2) ❀ 02. IPsec - 固定IP宽带 to 固定IP宽带 (接口模式) ❀ FortiGate 防火墙
防火墙技术专栏
09-18 6806
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求,这里介绍两端都是固定IP的情况防火墙的配置。 IPsec的作用 作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来。   ......
GRE over IPSec解决OSPF跨公网问题
weixin_45457085的博客
03-29 1万+
拓扑背景 A公司由于业务扩展在某地区成立临时的市场部,现需要将市场部网络接入总部OSPF进行互访 知识回顾 1、OSPF为三层IGP协议,且OSPF的邻居建立通过交互HELLO包,HELLO包通过组播地址224.0.0.5传输。 2、ipsec VPN与GRE同为三层VPN,但是ipsec VPN只支持单播报文的传输,不支持组播;GRE虽然支持组播但是由于是公网环境,本身只是一个明文传输协议,安全性太低,所以我们为GRE打上ipsec安全框架保证数据的安全性。 注意:ISIS虽然也是常用的IG..
IPSec 虚拟专用网的机制原理
05-25
IPSec(Internet Protocol Security)是一种网络安全协议,用于在公共网络上实现虚拟专用网络(VPN)。它通过加密和身份验证来保护通信,防止敏感数据被窃听、篡改或伪造。 IPSec VPN的机制原理如下: 1. 认证:IPSec使用数字证书或预共享密钥来验证连接的两端身份。这可以确保连接的两端都是授权的用户或设备。 2. 加密:IPSec使用加密算法对传输的数据进行加密。这可以防止敏感数据在传输过程中被窃听或篡改。 3. 安全关联(SA):IPSec使用SA来定义加密和认证参数,如加密算法、密钥长度和身份验证方法等。SA由连接的两端协商后建立。 4. 隧道模式:IPSec使用隧道模式将整个IP数据包加密并传输,而不是只加密数据部分。这可以确保整个数据包都是安全的,而不是只有数据部分。 5. NAT穿透:IPSec可以穿透NAT(网络地址转换)设备,以便在不同的私有网络之间建立VPN连接。 总的来说,IPSec通过使用加密和身份验证来保护通信,同时使用SA和隧道模式来确保通信的安全性和完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值