近期學習了ipsec的一些基礎知識,在此作個簡短的總結。
ipsec是ip層的一套加密協議(包含ah、esp、ike協議以及一些加密演算法)。之所以會出現ipsec協議,是因為ip網路存在一些安全缺陷,比如ip層報文可以被明文看到、資料可能被篡改、源身份不好驗證、可以進行重放攻擊等。針對這些問題,ipsec提供了相應的安全服務,包括:機密性、完整性、身份認證、抗重放等服務,概括為兩大安全機制:認證和機密,具體方法就是通過安全協議(ah協議、esp協議)對報文進行認證或加密。安全協議使用基於密碼學的認證和加密演算法對原始ip報文提供高質量的保護,所以安全協議會使用很多認證和加密演算法,涉及演算法,必然需要金鑰,ike協議可以為ipsec提供金鑰協商及其他引數協商的安全通道,ike通過兩個階段的協商(ike sa、ipsec sa)為ipsec建立ipsec sa。ipsec sa是ipsec對等體對某些要素的約定,這些要素包括:封裝模式(傳輸模式、隧道模式)、安全協議(ah、esp)、認證或者加密演算法、spi(sa的索引)等,加密端根據sa對原始報文進行加密封裝,解密端根據spi在sadb(sa 資料庫)中查詢對應的sa,對報文進行解密,然後根據原始報文頭進行**。
在ipsec報文**的過程中,如果中間鏈路有nat業務,會修改ip頭,nat的pat轉換模式也會修改tcp或者udp的埠號,會造成安全協議的認證或者加解密出現問題。解決方法就是ipsec的nat穿越模式,通過在ike的第一階段協商過程中,對中間鏈路是否有nat業務進行探測,一旦發現有nat業務,就應用nat穿越模式,一般只應用於esp協議,因為ah協議的認證是對整個報文進行認證,所以一旦ip遭到修改,ah認證必然失敗。
一些細節,如ah協議的報文格式、認證範圍;esp協議的報文格式、加密和認證範圍;ike報文格式;ike兩個階段的協商過程,如第一階段的主模式和野蠻模式,第二階段的快速模式;ah和esp結合使用的報文格式;ipsec和gre結合使用的報文格式等,下次再總結吧。
實驗名稱 IPSec
system view 進系統檢視 enter system view,return user view with ctrl z.huawei sysname ar 1 修改主機名為ar 1 ar 1 int g0 0 0 進介面 ar 1 gigabitethernet0 0 0 ip addre...
IPSEC溫習小計
本文旨在加強對ipsec配置的熟練度和理解的深度,所以有欠缺地方還請指點一二,感激涕零。通過定義ipsec保護的資料流將重要的資料引入ipsec隧道,對流經隧道的資料通過安全協議進行加密,實現在網路上傳輸的安全性。拓撲圖如下所示 全域性網段為192.168.x.x 1 保證網路的可達。介面配置這裡就...
簡單ipsec實驗
簡單ipsec實驗 實驗拓撲 需求如上圖 第一步先配置好各裝置的ip位址,然後分別在r1 r3分別配置一條靜態路由使網路可達 第二步再配置acl,來選擇出需要進行ipsec處理的興趣流 r1 acl adv 3000 rule permit ip source 192.168.10.0 0.0.0....