IPSecSHELL命令配置手册.docVIP

第4章 IPSec配置任务 4－ PAGE 18  TOC \o 1-3 \h \z  HYPERLINK \l _Toc8807721 第4章 IPSec配置  PAGEREF _Toc8807721 \h 1  HYPERLINK \l _Toc8807722 4.1 VPN及IPSec概述  PAGEREF _Toc8807722 \h 1  HYPERLINK \l _Toc8807723 4.1.1 VPN简介  PAGEREF _Toc8807723 \h 1  HYPERLINK \l _Toc8807724 4.1.2 IPSec协议简介  PAGEREF _Toc8807724 \h 1  HYPERLINK \l _Toc8807725 4.2 术语列表  PAGEREF _Toc8807725 \h 3  HYPERLINK \l _Toc8807726 4.3 IPSec配置命令  PAGEREF _Toc8807726 \h 4  HYPERLINK \l _Toc8807727 4.3.1 Enable模式下的命令  PAGEREF _Toc8807727 \h 4  HYPERLINK \l _Toc8807728 4.3.2 IPSec模式下的配置命令  PAGEREF _Toc8807728 \h 4  HYPERLINK \l _Toc8807729 4.4 VPN的配置实例  PAGEREF _Toc8807729 \h 10  HYPERLINK \l _Toc8807730 4.4.1 总部到分支的配置实例  PAGEREF _Toc8807730 \h 10  HYPERLINK \l _Toc8807731 4.4.2 总部到移动用户的配置实例  PAGEREF _Toc8807731 \h 15  HYPERLINK \l _Toc8807732 附录A 词汇  PAGEREF _Toc8807732 \h 18 IPSec配置 VPN及IPSec概述 VPN简介 VPN在公网上常作为一个安全网关设备，支持IPSec协议。它的主要作用是采用加密、认证和网络技术在公共互连网上构建相互信任方之间的安全加密信息传输通道，以期达到专用网络的效果。VPN网关在其中将发挥非常重要的核心作用。 VPN网关工作在本地局域网及与其通信的远程局域网的网关位置，具有加密和认证功能。相互信任的局域网间进行通信时，仍然使用互联网作为中间信道。但是，通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。这样，即便信息被截取，也无法偷窥或篡改其内容。保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性等安全性能。 IPSec协议简介 IPSec为IP层提供安全服务的安??网络协议，保护一条或多条主机与主机间、安全网关与安全网关或安全网关与主机间的路径。它使系统能按需选择安全协议，决定服务所使用的算法及放置密钥到相应位置。它使系统具有良好的互操作性，对那些不支持IPSec的主机和网络不会产生任何负面影响。 IPSec为用户提供的服务有： 完整性――完整性可以确定信息在从发送方到接受方的过程中是否被篡改和破坏，可以通过MAC码和数字签名提供。IPSec对接受到的数据进行数据认证,以保证数据在传输过程中没有被修改。 机密性――机密性提供对敏感信息的保护，使未授权用户无法读取有关信息IPSec通过加密算法对数据包进行加密，以保证数据在网路中以密文传输。 可认证性――可认证性能够确认数据的来源，确定是传送者本人，不是被别人伪造的，包括认证发送者的身份和数据源。 不可否认性――不可否认性可以视为身份识别和验证的一种扩展，它可以用来防止信息发送者对所发送信息的抵赖。通过数字签名和时间戳，信息发送者无法对自己所发送过的信息进行抵赖。 抗重播服务――IPSec通过序列号可以检测和拒绝被重放的数据包，从而提供抗重播服务。 IPSec所使用的协议： AH――头部认证协议。提供无连接完整性，数据源认证和选择性抗重播服务。可以使用传输和通道两种模式。 ESP――封装安全负载。提供加密，有限传输流加密。它同时也提供无连接的完整性验证，数据源认证，选择性抗重播服务。可以使用传输和通道两种模式。 AH和ESP两种安全协议的区别除了所提供的安全服务不同以外，他们认证的范围也不一样。AH对整个IP报文包括IP头部进行认证。ESP则对报文的IP头部以后