返回
ipsecvpn配置总结

ipsecvpn配置总结

ID:22583148

大小:667.58 KB

页数:29页

时间:2018-10-30

ipsecvpn配置总结_第1页
ipsecvpn配置总结_第2页
ipsecvpn配置总结_第3页
ipsecvpn配置总结_第4页
ipsecvpn配置总结_第5页
资源描述:

《ipsecvpn配置总结》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IPSecVPN配置总结近段时问,笔者完成了一些IPSecVPN的配置,有站点到站点固定公网IP地址的IPSecVPN,冇站点到站点使用固定公网IP地址的EZVPN,冇网络屮心点是固定公网IP地址,而分支机构是动态地址的DMVPN,宥路由器和防火墙之间互联的IPSecVPN,也冇不同厂商的设备之间互联的IPSecVPN。通过这些项口的锻烁,笔者感到对IPSecVPN的Y解又增进丫~步,以前一些模糊的地方,经过这次项目的实践之后也越来越清晰,以下就是笔者对IPSecVPN配置的总结和配置实例。-、理解IPSecVPNVPN是利用公井网络建立一条专

2、用的通道来实现私有网络的连接,IPSecVPN就是利用IPSec协议框架实现对VPN通道的加密保护。IPSec工作在M络它能在IP足上对数裾提供加密、数裾完整性、起源认证和反重放保护等功能。加密的作用就是通过将数据包加密,保证数据的安全,即使数据包被人监听获取到,也无法阅读数据内容。IPSec使用的数据加密算法是对称密钥加密系统。支持的加密算法主要冇:DES、3DES、MD5和SHA加密算法,这种加密算法需要一个共享的密钥执行加密和解密,共享的密钥是通过通信两端交换公钥,然后用公钥和各自的私钥进行运算,就得到了共享的密钥,这样就需要一个公钥交换

3、的算法。DH密钥协议就是一种公钥交换方法。DH密钥交换协议有组1到组7的儿种不同的算法。DES和3DES支持组1和2,AES支持组2和5,因此如果选用了不同的加密算法,就需耍选择相皮的DH密钥交换算法。数据完整性的作用就是保证数据包在传输的过程当中没冇被篡改。为Y保证数据的完整性,给每个消息附加一个散列数,通过验证发送的散列数和接收的散列数是否匹配来判断消息是否被修改。散列消息验证代码(HMAC)主耍有两种算法:HMAC-MD5和HMAC-SHA-1,MD5使用128位的共享密钥,而SHA使用160位密钥,因此HMAC-SHA-1t匕HMAC-

4、MD5的加密强度要更高一些。起源认证的作用就是保证发送数据包的源站点是npf言的。起源认证用来在建立隧道吋验证隧道两端的对等体是否是可信的。主要奋预共享密钥,RSA签名、RSA-加密nonces三种方法。其巾预共享密钥配置起来最简单,但安全性和扩展性也相对来说要差一些。预共享密钥就是在每个对等体上都预先配置好相同的密钥,经过运算之G发送到远端的对等体,由于每个对等体的密钥相同,凶此就能够通过起源认证。另外两种认证方法配置较为复杂,需要和证书服务器配合起来使用,笔者没有这方面的实践,冈此后面的配置实例屮都是采用的预共享密钥的配置。反重放保护的作用

5、就是保证数据包的唯一性,确定数据包在传输过程屮没冇被复制。在IPSec的数据包中含冇一个32位的序列数,并且是不能重复的,接收方通过检查序列数是否是唯一的来执行反重放保护功能。IPSec协议簇主要包括两种协议:AH(认证头)和ESP(封装安全冇效载荷)。其中AH不提供加密功能,而ESP两者都提供。当使用ESP进行加密和认证的吋候,执行顺序是先加密再认证。将这两种协议应用到IP数据包吋冇两种模式,分别是隧道模式和传输模式。隧道模式将一个新的IP头附加在已加密的数据包之前,为整个数据提供安全性;而传输模式下原数据的IP头不变,保持明文,只对数据包的

6、内容提供安全性。IPSec的建立宥两个阶段,第一个阶段主要是认证对等体,并协商策略。如确定建立IPSec隧道所需用到的安全参数,主要有加密的算法、对等体的认证、保证消息完整性的散列算法和密钥交换的算法,在协商成功后建立一条安全通道。第二个阶段主耍是协商IPSec的参数和IPSec变换集,如确定使用AH还是ESP协议,使用传输模式还是隧道模式。协商成功盾建立IPSecSA(安全关联),保护IPSec隧道的安全。在笔者所配置的IPSecVPN屮,都统一采用下列参数:阶段一:加密算法采用3DES;保证数据完整性的算法采用HMAC-SHA-1;起源认证

7、采用预共享密钥;密钥交换采用DH组2;阶段二:采用ESP协议提供对整个数据包的保护,并同时使用加密和认证,加密算法采用3DES,认证算法采用HMAC-SHA-1使用模式采用隧道模式。配置实例及说明1.用路由器实现站点到站点的IPSecVPN以笔者单位的网络拓扑结构为例来说明使用路由器实现站点到站点的IPSecVPN的配置。本例中总部和三个分公司都具宥固定的公网IP地址,路由器型号为Cisco3845,拓扑如图—•所示:武汉总部59.175.234.100/27常州分公司58.216.222.106/29Internet图1株州分公司218.75

8、.208.74/29//建立一个总部路由器阶段一的配置:ZB(config)#cryptoisakmppolicy10新的密钥交换策略,优先级为10,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。