必威体育精装版配置路由器站点到站点IPSec_VPN.ppt

配置路由器站点—站点IPSec VPN VPN产生背景 虚拟专用网 vs 专线网络 什么是 VPN? VPN 为用户带来的好处 IPSec 内容 SA (Security Association) SPD SAD AH(Authentication Header) AH两种模式示意图 IPSec Authentication Header AH处理过程 AH处理过程(续) ESP(Encapsulating Security Payload) ESP两种模式示意图 IPSec ESP格式 ESP处理过程 ESP处理过程(续) AH和ESP的典型组合 IPSec密钥管理 ISAKMP ISAKMP消息结构 各种payload 两阶段协商(Two phases of negotiation) 两阶段协商的好处 回顾： Diffie-Hellman密钥交换 IKE中几个概念 IKE中的密钥交换——Main Mode IKE中的密钥交换——Aggressive Mode IKE Phase 1中的认证方案 IKE中的密钥交换——Quick Mode IKE中的密钥交换——New Group Mode 实例:阶段一策略 阶段二策略 应用VPN配置 在ISAKMP中没有对应的交换类型I - R: SA; HASH(1)R - I: SA; HASH(2)以上消息都是加密传输 用于第一阶段之后 * bluefox Education Solution 合作伙伴/客户 公司总部 办事处/SOHO 公共网络 DDN ADSL 共性： 1）为用户单位所专用； 2）实现网络的统一规划和管理（象在LAN中）； 差异： 1）专线网络：存在物理上连同的实际链路； 2）VPN：利用公网（internet）实现可达，利用加密解决安全性，保证专用。 VPN (Virtual Private Network) 是通过 internet 公共网络在局域网络之间或单点之间安全地传递数据的技术 VPN 可以省去专线租用费用或者长距离电话费用，大大降低成本 VPN 可以充分利用 internet 公网资源，快速地建立起公司的广域连接 ISP Modems VPN Gateway VPN Gateway 总部 网络 远程局域 网络 总部 分支机构 单个 用户 Internet 节省资金 (降低 30-70% 的网络费用) 免去长途费用 降低建立私有专网的费用 用户不必设立自己的 Modem Pool Internet 对于用户来说，可以以任何技术任何地点访问 Internet 的容量完全可以随着需求的增张而增长 提供安全性 强大的用户认证机制 数据的私有性以及完整性得以保障 不必改变现有的应用程序、网络架构以及用户计算环境 网络现有的 Routers 不用作任何修改 现有的网络应用完全可以正常运行 对于最终用户来说完全感觉不到任何变化 协议部分，分为 AH: Authentication Header ESP: Encapsulating Security Payload 密钥管理(Key Management) SA(Security Association) ISAKMP定义了密钥管理框架 IKE是目前正式确定用于IPSec的密钥交换协议 基本概念 是发送者和接收者两个IPSec系统之间的一个简单的单向逻辑连接，是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合 因为SA是单个方向的，所以，对于一个双向通信，则需要两个SA SA与IPSec系统中实现的两个数据库有关 安全策略数据库(SPD) 安全关联数据库(SAD) 每个SA通过三个参数来标识 SPI(Security Parameters Index) 目标地址IP 安全协议标识 SPD 对于通过的流量的策略 三种选择：discard, bypass IPsec, apply Ipsec 管理界面 条目的粒度不必很细，因为作用在IP包上 SAD，通常用到以下一些域 Sequence Number Counter Sequence Counter Overflow Anti-Replay Window AH Authentication algorithm, keys, etc ESP Encryption algorithm, keys, IV mode, IV, etc ESP authentication algorithm, keys, etc Lifetime of this Security Association IPsec protocol mode Path MTU 为IP包提供数据完整性和认证功能 利用MAC码实现认证，双方必须共享一个密钥 认证算法由SA指定