CCIE IPSec VPN学习笔记
Posted COCOgsta
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CCIE IPSec VPN学习笔记相关的知识,希望对你有一定的参考价值。
学习视频来源:《CCIE IPSec VPN》
- 只针对数据增加头部,对于IP头部没有安全性措施
- 需要结合其他vpn使用,或者企业内网部署
- 对整个包头进行封装,同时添加新的IP包头
- 可以直接在公网上传输,增加安全性
- 缺点是传输效率问题
SitetoSiteVPN主要是固定网段或设备
- 加密算法,保证数据安全性
- 数据报文验证,保证数据没有被篡改
- 使用公钥加解密
- DES 64位加密长度,3DES位 3*64位,AES为256位
- 使用公钥加密,私钥解密
- 私钥始终没有在网络中传输
- 数据的加密:对称加密算法来解决
- 对称加密算法使用秘钥:非对称加密算法来解决
HASH算法是一个不可逆的过程
- 阶段一使用ISAKMP
- 阶段二使用ESP/AH协议
- IKE定义如何保证IPSEC VPN密钥交换的安全性,只是一个名称,类似IGP
- 前4个数据包,协商传输集
- 第5、6个加密预共享密钥,确认身份合法
- 被动建立VPN,需要流量触发
- 建立阶段一的管理连接,保证隧道安全性
- 定义安全的技术(加密算法、hash算法)
- 建立VPN对等体的设备要进行身份验证,预共享密钥的方式
- 两端的传输集定义内容需要一致
- 阶段一配置思路,要求配置的一些参数
- 传输集:加密算法、hash算法
- 预共享密钥认证方式
- 指定和哪个对等体建立VPN
AH只支持认证,ESP同时支持认证和加密
- SA整合之前的安全组件
- 每个VPN有唯一的SPI标识
AH只对数据做认证,对IP头部没有认证
ESP也没有对IP包头进行验证
- 阶段二建立数据连接
- SA去管理安全参数
- 阶段二配置思路
- 定义ACL触发VPN的建立
- 阶段二数据使用的安全策略(加密算法 认证算法)
- 配置MAP关联前面的安全策略
- 在接口上去调用
以上是关于CCIE IPSec VPN学习笔记的主要内容,如果未能解决你的问题,请参考以下文章
CCIE学习笔记 3---BGP 团体属性 community