网络笔记_IPSec工作流程

最新推荐文章于 2024-05-14 19:58:56 发布
最新推荐文章于 2024-05-14 19:58:56 发布
阅读量2.3k 收藏 15
点赞数 1
分类专栏: 网络笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45839854/article/details/107643192
版权

目录

IPSec工作流程中的专业术语

安全联盟SA

IKE协商阶段

主模式和野蛮模式的区别

IPSec SA 建立模式

IPSec VPN配置步骤

命令配置

配置两端命令对比

IPSec工作流程中的专业术语

 
术语
备注
Negotiate
协商,两个节点要开始安全发送数据之前,必须完成的事情
SA
Security Association
安全联盟
协商的结果,类似合约书
SPI
Security Parameter Index
安全参数索引
SA内包含,用于区分多个SA
IKE
Internet Key Exchange
因特网密钥交换
SA协商的方法和标准
 
 
 

安全联盟SA

  • 安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数
  • 安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA
 
 
 
 
安全联盟建立方式: 手工方式IKE自动协商方式。
二者的主要区别为:
  • 密钥生成方式不同
    • 手工方式下,建立SA所需的全部参数,包括加密、验证密钥,都需要用户手工配置,也只能手工刷新,在中大型网络中,这种方式的密钥管理成本很高
    • IKE方式下,建立SA需要的加密、验证密钥是通过DH算法生成的,可以动态刷新,因而密钥管理成本低,且安全性较高
  • 生存周期不足
    • 手工方式建立的SA,一经建立永久存在
    • IKE方式建立的SA,其生存周期由双方配置 的生存周期参数控制
  • 因此,手工方式适用于对等体设备数量较少时,或是在小型网络中。对于中大型网络,推荐使用IKE自动协商建立SA
 
 
 

IKE协商阶段

 
阶段
备注
阶段一
Phase 1
在网络上建立一个 IKE SA,为阶段二协商提供保护
主模式(Main Mode)和 野蛮模式(Aggressive Mode)
阶段二
Phase 2
在阶段一建立的IKE SA的保护下完成 IPSec SA的协商
快速模式(Quick Mode)
 

主模式和野蛮模式的区别

 
 

IPSec SA 建立模式

 
 
IKE SA是负责通道的建立
 
IPSec SA是负责对发送的数据进行加密
 
 

IPSec VPN配置步骤

 
 
 
 
 
 
 
 

命令配置

命令
备注
ipsec proposal shanghai
创建并配置IPSec提议
    encapsulation-mode tunnel
配置报文的封装模式
    transform esp
配置隧道采用的安全协议
    esp authentication-algorithm sha2-256
配置ESP协议使用的认证算法
    esp encryption-algorithm aes-128
配置ESP加密算法
display ipsec proposal 
验证IPSec提议配置
以上为IPSec安全提议
ipsec policy P1 10 manual
创建并配置IPSec策略(手动)
P1:名称
10:编号
    security acl 3000
配置引用的ACL
即选择哪些流量通过隧道
    proposal shanghai
配置引用的提议
    tunnel local 12.0.0.2
配置安全隧道的本端地址
    tunnel remote 13.0.0.3
配置安全隧道的对端地址
    sa spi inbound / outbound esp 12345
配置SA的SPI
入方向和出方向都必须设置,并且对方的必须相互对应
    sa string-key
    inbound / outbound esp ccipher wakin 
配置SA的认证密钥
入方向和出方向都必须设置,并且对方的必须相互对应
display ipsec policy 
验证IPSec收到配置策略
以上为手动配置安全策略命令
ike proposal 10创建并配置IKE提议
    authentication-method pre-share
配置身份认证方式
    authentication-algorithm sha2-256
配置数据认证算法
    encryption-algorithm aes-cbc-256
配置加密算法
    dh grooup 14
配置密钥交换算法
display ike proposal
验证IKE提议
IKE安全提议
ike peer shanghai v1
创建并配置IKE对等体
    exchange-mode main / aggressive
配置模式
    pre-shared-key cipher huawei
配置PSK
    ike-proposal 10
配置引用的IKE提议
    local-address 12.0.0.1
配置本地IP地址
    remote-address 23.0.0.3
配置对端IP地址
IKE对等体
ipsec policy P2 10 isakmp
创建并配置IPSec策略(自动)
    security acl 3000
配置引用的ACL
    proposal 10
配置引用的IPSec提议
    ike-peer shanghai
配置引用的IKE对等体
自动安全策略
ipsec policy P1 / P2
在接口上应用指定的安全策略组
display ike / ipsec sa
验证安全联盟
调用安全策略
 
 

配置两端命令对比

 
 
xxaafwqrtjmuio12850
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPsec协议详解
weixin_43965325的博客
04-25 1019
关于IPsec协议详解
IPSEC VPN详解
weixin_57507186的博客
04-22 1万+
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现
IPsec VPN简介
最新发布
m0_66993332的博客
05-14 1067
IPsec工作流程,IKE的两个阶段
安全防御------IPSec VPN篇
m0_63292411的博客
08-08 1587
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
IPSec主模式和野蛮模式的区别
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式和野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
CCIE理论-IPSec的主模式和野蛮模式的区别
weixin_48137911的博客
12-01 3365
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式。主模式一共有6个数据包的交互。
IPSEC建立过程(简)
kuaizai__的博客
09-25 5824
IPSEC建立过程 文章目录IPSEC建立过程阶段一:阶段一支持两种协商模式:主模式:野蛮模式:阶段二快速模式共有3条消息完成双方IPSec SA的建立。主模式和野蛮模式的区别主模式包含三次双向交换,用到了六条信息。野蛮模式只用到三条信息 阶段一: 目的是建立IKE SA (ISAKMP SA) 建立后对等体间所有的IKE消息都将通过加密和验证 阶段一支持两种协商模式: 主模式: 三个交换步骤: 协商对等体之间使用IKE安全提议 1/2数据
学习笔记——IPSec
shinylife的博客
04-08 9590
IPSec
IPsec协议过程
City_of_skey的博客
01-23 1万+
版权声明:如有需要,可供转载,但请注明出处:https://blog.csdn.net/City_of_skey/article/details/86618784 1、ipsec协议简介 IPSec是在网络层构建的安全虚拟专有网络,通过在数据包中插入一些预定义的头部,实现对网络层以上的协议数据安全。不同于ssl应用层的加密。IPSec内核加密支持的库是xfrm。 ipsec安全体系 ...
计算机网络笔记_计算机网络课程笔记_计算机网络_源码
10-02
计算机网络课程笔记,计算机网络课程中的重点内容
笔记_笔记_
10-02
笔记_笔记_】是个人的学习记录,涵盖了Linux操作系统、PCB设计以及硬件相关的知识领域。下面将分别对这三个主题进行详细的阐述。 首先,我们来深入探讨Linux操作系统。Linux是一种自由和开放源代码的类UNIX操作...
IPSec加密流程学习笔记.pdf
11-30
个人学习ipsec加密过程中整理的学习笔记,供大家参考学习。里面主要说明了ipsec策略匹配、报文封装等核心处理流程,同时对加密中的部分知识点进行解释说明
笔记_笔记_leyou_
10-04
乐优商城学习笔记,通过学习乐优商城的代码,记录学习中的心得笔记
达内Java_笔记整理.rar_Java 达内笔记_Java笔记_java 笔记_笔记_达内
09-23
首先,Java的基础知识是必不可少的,这些笔记可能包括变量、数据类型、运算符、流程控制(如if语句、for循环、while循环)、数组等基本概念。理解这些基础知识是构建Java编程思维的关键。 其次,深入学习面向对象...
IPsec 原理和应用简介(一篇搞定~)
youzhangjing_的博客
02-06 1601
(Security Association 缩写SA,有些文章翻译为"安全联盟"),是建立ipsec通信所需的相关参数。比如加密密钥、认证密钥等,保存在SAD(SA Database)中。SP 描述了需要做什么;而 SA 描述了它应该如何实现。一对SA和SP负责一个方向的数据处理,双向都需要IPsec就需要两对SA和SP。建立SA,手工配置又复杂又不安全,生产上应该没人会用。
IPsec IKE第一阶段主模式和野蛮模式
ryanzzzzz的博客
05-02 1491
国密标准GMT 0022-2014 IPSec VPN 技术规范,IPsec IKE过程中交换类型的定义将主模式Main mode分配值为2,快速模式-quick mode分配值为32。标准中并没有提现分配值为4的交换类型。在实际应用中,IKE第一阶段经常会出现交换类型为4的情况,也就是所谓野蛮模式Agressive mode。
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6338
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
IPSec的三个协议和两种模式详解
热门推荐
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
主模式和主动模式(野蛮)区别
weixin_33941350的博客
07-12 981
主模式和主动模式(野蛮)区别 他们都是就×××得第一阶段IKE的协商而言。主模式中双方三层交换信息,总共六个包。简单说下1、2个包协商加密和认证算法。3、4个包DH交换。5、6个包提供身份和密钥的验证。主动模式(即你说的野蛮模式)双方进行两次交换,总共三个包。1个包发起方建议SA,发起DH交换。2包接收方接受SA。3个包发起方认证接受方。这是IKE协商方面的一些差别,另外,...
计算机软考网络规划设计师学习笔记汇总.docx
12-15
计算机软考网络规划设计师学习笔记汇总.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xxaafwqrtjmuio12850

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值