CCIE IPSec VPN学习笔记

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CCIE IPSec VPN学习笔记相关的知识,希望对你有一定的参考价值。

学习视频来源:《CCIE IPSec VPN》

 

  • 只针对数据增加头部,对于IP头部没有安全性措施
  • 需要结合其他vpn使用,或者企业内网部署

 

  • 对整个包头进行封装,同时添加新的IP包头
  • 可以直接在公网上传输,增加安全性
  • 缺点是传输效率问题

SitetoSiteVPN主要是固定网段或设备

 

  • 加密算法,保证数据安全性
  • 数据报文验证,保证数据没有被篡改

 

  • 使用公钥加解密
  • DES 64位加密长度,3DES位 3*64位,AES为256位

 

  • 使用公钥加密,私钥解密
  • 私钥始终没有在网络中传输

 

  • 数据的加密:对称加密算法来解决
  • 对称加密算法使用秘钥:非对称加密算法来解决

 

 

HASH算法是一个不可逆的过程

 

  • 阶段一使用ISAKMP
  • 阶段二使用ESP/AH协议
  • IKE定义如何保证IPSEC VPN密钥交换的安全性,只是一个名称,类似IGP

  • 前4个数据包,协商传输集
  • 第5、6个加密预共享密钥,确认身份合法

  • 被动建立VPN,需要流量触发
  • 建立阶段一的管理连接,保证隧道安全性

 

 

  • 定义安全的技术(加密算法、hash算法)
  • 建立VPN对等体的设备要进行身份验证,预共享密钥的方式
  • 两端的传输集定义内容需要一致
  • 阶段一配置思路,要求配置的一些参数
    • 传输集:加密算法、hash算法
    • 预共享密钥认证方式
    • 指定和哪个对等体建立VPN

 

 

 

AH只支持认证,ESP同时支持认证和加密

 

  • SA整合之前的安全组件
  • 每个VPN有唯一的SPI标识

 AH只对数据做认证,对IP头部没有认证

ESP也没有对IP包头进行验证

 

 

 

  • 阶段二建立数据连接
  • SA去管理安全参数
  • 阶段二配置思路
    • 定义ACL触发VPN的建立
    • 阶段二数据使用的安全策略(加密算法 认证算法)
    • 配置MAP关联前面的安全策略
    • 在接口上去调用

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

以上是关于CCIE IPSec VPN学习笔记的主要内容,如果未能解决你的问题,请参考以下文章

CCIE学习笔记 5---IPV6

CCIE学习笔记 2---BGP选路(属性值)

CCIE学习笔记 3---BGP 团体属性 community

CCIE学习笔记 4---BGP 前缀列表;ORF;ASpath-list

鲲鹏云服务技术之网络类云服务(学习笔记一)

100集华为HCIE安全培训视频教材整理 | Hub Spoke IPSec VPN