IPSec培训IPSec培训 IPSec培训 VPN概述 有关网络安全的知识 IPSec介绍 IPSec配置 VPN的概念 虚拟私有网络(VPN)是利用公共网络来构建的私人 用网络 能够用于构建VPN的公共网络包括Internet和服务 提供商所提供的帧中继,ATM等 构建在公共网络上的VPN将象企业的私有网络一样 提供安全性,可靠性,可管理性和服务质量 根据估计到2003年几乎100%的企业需要通过WAN 实现VPN 提供必要的安全特性 在公共网上安全的传输数据，必须提供 隧道、加密以及报文的验证，另外用户 的验证和访问的控制也是必须具有的特 性。 一般网络的安全是由防火墙和IPSEC来 保证。 隧道连接 10.110.2.10.110.3. 00 10.110.0.110.110.0.2 Internet RouterRouter RouterRouter 通过隧道虚接口,为用户屏蔽了公网上复杂的网 络拓扑结构,用户看到的只是私有网直联的结构 即使在Internet上,任意两台具有隧道虚接口的路 由器仍然像是接口之间直接相连的一样,对用户使 用被承载层的应用提供了透明的服务 隧道技术 隧道技术是在IP无连接的 网络中提供虚拟的点到点 的连接InternetPrivateWorkstation Cloud 隧道技术涉及三种协议Packet Tunnelling 传输协议IP等Protocol e.g.L2TP 封装协议L2TPGRE等 乘客协议PPPIPIPX等 Private IPPrivatePacket 有两类隧道协议Packet 二层隧道协议L2TP RemoteEnd 三层隧道协议GREIPSEC 三层隧道协议 三层隧道协议用来封装并传输三层协议如IP,IPX等 三层隧道协议的主要应用于构建Intranet/ExtranetVPN Quidway路由器目前支持的三层协议有 用来封装和传输IP报文的GRE协议(GenericRouting Encapsulation) 用来封装和解密IP报文的IPSEC协议 用来封装和传输IP多播报文的DVMRP协议 IPSec的基本原理 IPSec将几种安全技术结合在一起形成一个完整的体系用来保证 IP数据包在Internet网上传输时的私有性,完整性和真实性 IPSec为IP协议栈提供在IP层实施的一系列安全服务,为IP及其上 层提供保护,这些安全服务包括:基于数据流的访问控制,面向 数据的验证,为保证数据保密性的加密等 IPSec提供了两个安全协议 AH(AuthenticationHeader) ESP(EncapsulationSecurityPayload) IPsec提供了端到端之间协商密钥的协议 IKE(InternetKeyExchange) IPSEC的基本概念1 安全联盟（SA）：一个安全联盟是一个单向的安全“连 接”，该“连接”上的数据流享有安全服务。安全联盟的内 容包括安全协议协议、算法（包括加密算法以及验证算 法）、算法使用的密钥、隧道对端的IP地址、安全参数索引 等。 安全策略（cryptomap）：定义了对IP报文提供的服务方式 及实现方法。由唯一的名称及安全策略顺序号标识。相同名 称不同的安全策略顺序号构成了安全策略组。 安全参数索引（SPI）：一个32比特（4个字节长度）的数 值。手工配置安全联盟时，需要手工配置安全参数索引；IKE 协商产生安全联盟时，使用随机数来生成安全参数索引。 IPSEC的基本概念2 安全联盟进行更新的周期。它包括两种方式：1、以时间为限 制，每隔定长的时间进行更新；2、以流量为限制，每传输一 定的报文（字节）进行更新。 数据流（data-flow）：数据流是一类流量（traffic）的划分。 数据流可以由报文源地址/通配位、报文目的地址/通配位、协 议号、源端口号、目的端口号来规定，通过ACL模块来实 现。数据流匹配的效率也有ACL模块来保证。 隧道（tunnel）：在本文中也称安全隧道，是点对点的安全 “连接”建立了安全联盟的两端，实现在本端对IP报文加 密，在对端解密。 IPSEC提供的安全服务 数据加密：IPSec在传输或转发报文之前可以对报文 进行加密。 数据完整性验证：IPSec在接收端可以验证IPSec发送 端发送的报文是否在传输的过程中被改动。 数据身份验证：IPSec在接收端可以验证发送IPSec报 文的发送端是否合法，这个功能是依靠数据完整性验 证来实现的。 防重放功能：IPSec接收端可以检测并丢弃重放的报 文。 IPSEC实现的具体功能 安全协议：AH协议、ESP协议。 算法：MD5、SHA1、DES、3DES、硬件加密等等。