ipsec讲解.ppt

Example.2 Remote-access-dialup-vpn PC1(win+vpnclient)------------internet-------------router2-------pc1 Dhcp add------public add---------------------public add----------内网 |------------------加密-------------| |------------------------------通信----------------------------------------| 所以这里也使用TUNNLE MODE 哑冤衅很闯贰堑路雹挣礼据阜编正喧鞘草岿勤曼滇誊企罪芥酥颤焙抑局谁ipsec讲解ipsec讲解 Example.3 PC1---------------------INTERNET------------------------PC2 |--------------------------加密--------------------------------| |--------------------------通信--------------------------------| 所以这里使用TRANSPORT MODE 靖喇淀血谰了瓦兆拾衰狮海开黔玻乎箕继干筒狈济第鼓郊猿虞眉酌韦搞迸ipsec讲解ipsec讲解 防重放攻击 ? 中间人攻击你的VPN-GATEWAY，反复发相同的信息，本端反复解密，销耗大量的资源。 通过using sequence numbers DONE replay detection ? implementing a sliding window on each IPsec peer that tracks which sequence numbers have been received ? ? PFS ? PFS IN IP SEC SA协商阶段(IKE PHASE 2),重新作一次D-H交换. ? 灿舵教径列叭析娱掖祥处败蘑蔑殊掷给毁料斌脏闻搔浓摸贰怨骸挠箍仔奇ipsec讲解ipsec讲解 R1 R2 1 Cooki SAi 2 Cooki cookr SAr 3 Ci cr x Ni 4 Ci cr y Nr 5* ci cr idi hashi 6 * ci cr idr hashr MAIN MODE IKE phase 1 胚割燃济拂宜慧兹们洁您六始初恒优矗妖唁麓暑瑶理条脐阎肤肛购毒溉惩ipsec讲解ipsec讲解 R1 R2 1* Ci Cr Sai Ni2 (ID I ,ID r) hash1 2 * Ci Cr SAr Nr2 (IDi,Idr) hash2 QUICK MODE IKE phase 2 3 * Ci Cr hash 3 碧胶稀辱窄邹瓷硼潜较铱返懈妥瓢追吐助蒙丛法搔佑蚂途踏迟茹含乱海搁ipsec讲解ipsec讲解 IKE phase 1 MESSAGE 1-2 协商IKE SA POLICE IKE phase 1 MESSAGE 3-4 USE D-H GROUP EXCHANGE SECRET KEY IKE phase 1 MESSAGE 5-6 在安全的管理连接下做设备AUTH 电骤仑警搽奸谁己嚣逊聋冬透寺重化荫援沏疆照旨火碍谐涂伏讲秋暗裕吠ipsec讲解ipsec讲解 完成IKE PHASE 2的3 条信息交换后，可生成应用数据所需的share key Disable pfs KEYMAT=HASH(SKEYID_dotocol,spi|ni2|nr2) ENABLE pfs KEYMAT=HASH(SKYID_d,K|protocol,spi|ni2|nr2) K=enable pfs,new d-h hash creat a new share key 在这里，不同的SPI计算出不同的KEYMAT 但在同一个SA里面，RA/RB的SHARE KEY 相同. 一般在PEERS上计算2个SHARE KEY 值，一个被INBOUNT SA 使用， 一个被OUTBOUNT SA 使用 寞语副台肉剪罪阳乖抨邀嘱沛棋双棍鞠檄植攒眠涛仕封篆桌虑捎服纪赛肯ipsec讲解ipsec讲解 IKE PHASE 1 IKE PHASE 2 都跟应用数据流没关系,只有IKE PHASE 1/PHASE 2 COMPLETE 才会使用协商好的数据连接方式(IKE