1.ikev1理論
ike負責建立和維護ike sas 和 ipsec sas
功能主要體現在如下幾個方面:
對雙方進行認證
交換公共金鑰,產生金鑰資源,管理金鑰
協商協議引數(封裝,加密,驗證。。。)ike三個組成部分
skeme:定義如何通過公共金鑰技術(dh演算法)實現金鑰交換
oakley:提供了ipsec對各種技術的支援,例如對新的加密與雜湊技術。並沒有具體的定義使用什麼樣的技術
isakmp:定義了訊息交換的體系結構,包括兩個ipsec對等體間分組形式和狀態轉變(定義封裝格式和協商包交換的方式)ipsec框架
加密:des3desaes......
驗證:md5sha-a....
封裝協議:espah...
模式:transporttunnel...
金鑰有效期:36001800....ike 的三個模式
第一階段(isakmpsa)
主模式(6個包)主動模式(3個包)
第二階段(ipsecsa)
快速模式主工作模式(第一階段)
msg1:發起方提供加密和驗證演算法
msg2:響應方回應接受的提案
msg3:發起方的dh公共值和隨機數
msg4:響應方的dh公共值和隨機數
msg5:發起方的簽名,個人資訊和金鑰
msg6:響應方的簽名,個人資訊和金鑰isakmp 策略介紹
1.第一二個包協商的是ike操作策略,並不會處理具體流浪,具體流量處理策略需要在快速模式協商
2.加密策略(des):加密mm(5-6),qm(1-3)
3.雜湊策略(md5):驗證mm(5-6),qm(1-3)
4.認證策略(pre-share):決定了5-6個包通過何種方式實現雙方認證。
5.dh組(1):決定了3-4個包dh交換的強度
6.建議強的策略應該放在前面ike 第一階段摘要
1.相互認證
a.1-2個包協商的認證,加密和驗證方式都是為5-6包認證服務的
b.3-4個包dh交換計算出來的金鑰也是為加密和驗證(hmac)5-6包而提前準備的
2.建立ike/isakmpsa(雙向)快速模式(第二階段)
階段二協商sa和金鑰,使用者保護使用者資料,預設1個小時一次
階段一的資訊一天一次
msg1:hash值,sa提案,ipsec轉換集,金鑰材料,感興趣流
msg2:響應方的hash值,接受的sa提案,響應方的spi,金鑰
msg3:hash用於確認隧道建立ipsec 策略介紹
qm模式協商策略決定了ipsecvpn對具體流量的處理
感興趣流是策略的綱要(策略的因,spd關聯sa)
加密策略(aes):加密a到b流量的策略
雜湊策略(sha):驗證(hmac)a到b流量的策略
封裝(esp):封裝a到b流量的協議
注意金鑰有效期比isakmp策略短,因為這是sessionkeyike第二階段摘要
1.協商ipsec策略(處理感興趣流)
2.建立ipsecsa(1.單向2.協議相關)
學習第二天筆記
所有識別符號都應該以字母 a z或者a z 美元符號 或者下劃線 開始。首字元之後可以是字母 a z或者a z 美元符號 或者下劃線 或數字的任何字元組合。不能使用關鍵字作為變數名或者方法名。識別符號是大小寫敏感的。合法識別符號舉例 age salary value 1 value 非法識別符號舉例...
學習第二天
linux系統的檔案型別及許可權的相關知識 1.普通檔案 l 連線檔案 d 資料夾 表示不同的檔案型別 2.檔案許可權 r 可讀 w 可寫 x 可執行 3.chmod 修改檔案許可權,修符號或者使用八進位制 linux的基礎命令 cd 切換目錄 ls 檢視內容 表示當前目錄 上一級目錄等 touch...
第二天學習
快捷鍵 功能ctrl alt t 啟動終端 print 全屏截圖 ctrl alt a 截圖alt tab 切換視窗 shift alt tab 反向切換視窗 super d 顯示桌面 super e 檔案管理器 super l 屏鎖介面 super up 最大化視窗 super down 恢復視窗...