CCIE IPSec VPN学习笔记

Posted 2021-09-15 COCOgsta

学习视频来源：《CCIE IPSec VPN》

 

• 只针对数据增加头部，对于IP头部没有安全性措施
• 需要结合其他vpn使用，或者企业内网部署

 

• 对整个包头进行封装，同时添加新的IP包头
• 可以直接在公网上传输，增加安全性
• 缺点是传输效率问题

SitetoSiteVPN主要是固定网段或设备

 

• 加密算法，保证数据安全性
• 数据报文验证，保证数据没有被篡改

 

• 使用公钥加解密
• DES 64位加密长度，3DES位 3*64位，AES为256位

 

• 使用公钥加密，私钥解密
• 私钥始终没有在网络中传输

 

• 数据的加密：对称加密算法来解决
• 对称加密算法使用秘钥：非对称加密算法来解决

 

 

HASH算法是一个不可逆的过程

 

• 阶段一使用ISAKMP
• 阶段二使用ESP/AH协议
• IKE定义如何保证IPSEC VPN密钥交换的安全性，只是一个名称，类似IGP

• 前4个数据包，协商传输集
• 第5、6个加密预共享密钥，确认身份合法

• 被动建立VPN，需要流量触发
• 建立阶段一的管理连接，保证隧道安全性

 

 

• 定义安全的技术（加密算法、hash算法）
• 建立VPN对等体的设备要进行身份验证，预共享密钥的方式
• 两端的传输集定义内容需要一致
• 阶段一配置思路，要求配置的一些参数
  • 传输集：加密算法、hash算法
  • 预共享密钥认证方式
  • 指定和哪个对等体建立VPN

 

 

 

AH只支持认证，ESP同时支持认证和加密

 

• SA整合之前的安全组件
• 每个VPN有唯一的SPI标识

 AH只对数据做认证，对IP头部没有认证

ESP也没有对IP包头进行验证

 

 

 

• 阶段二建立数据连接
• SA去管理安全参数
• 阶段二配置思路
  • 定义ACL触发VPN的建立
  • 阶段二数据使用的安全策略（加密算法 认证算法）
  • 配置MAP关联前面的安全策略
  • 在接口上去调用