E1000E VPN培训胶片.pptVIP

Host A (vpn client) Host C IKEv1典型应用场景3—l2tp over IPSec （远程接入） Internet 远程接入 Host B (vpn client) 远程接入 … IKEv1典型应用场景4—手机传输模式远程接入 IPHONE/IPAD通过3G或者WIFI连接网络，在IPHONE/IPAD上面设置连接的服务器地址为218.17.167.133. 1、当用户以用户名111@huawei1，密码为111接入时，只能访问Server1，通过Safari浏览器只能访问192.168.1.2的页面内容，内容为@huawei1. 2、当用户以用户名222@huawei2，密码为222接入时，只能访问Server2，通过Safari浏览器只能访问192.168.2.2的页面内容，内容为@huawei2 IKEv2-工作流程 IPSEC IKE SA建立阶段:使用IKE_SA_INIT交换实现 IPSEC SA建立阶段:使用IKE_AUTH交换实现 数据传输阶段:提供AH,ESP保护 IKE SA建立阶段 验证对方的合法性，并生成业务数据密码产生时使用的保护信息（保护IPSEC SA建立） IPSEC SA建立阶段 生成业务加密信息（保护数据传输的安全） 数据传输阶段 使用IPSEC SA对数据进行保护，有两种保护方法：AH，ESP IKE SA建立阶段－ IKE_SA_INIT交换 IPSEC 发送本地IKE策略，密钥生成信息（DH交换） 查找匹配的策略，选出要使用的策略，发送密钥生成信息（DH交换） 确认IKE SA双方要使用的算法，并生成IKE SA加密密钥 IPSEC SA建立阶段:使用IKE_AUTH交换实现 数据传输阶段:提供AH,ESP保护实现 使用两条消息完成IKE SA建立 Host A Host B 发起方 向Host B发送建议安全关联、交换公开值、选择nonce等 响应方 此时双方可以根据上述交换的nonce and Diffie-Hellman公开值等信息各自生成一对密钥，分别用于保护两个方向上的通信 SAi … ga ISAKMP头部 UDP头部 IP头部 Ni SAr … gb ISAKMP头部 UDP头部 IP头部 Nr 向Host A发送选择的建议安全关联、交换公开值、选择nonce等 IKEv2 SA－工作原理 Host A Host B 发起方 向Host B发送AUTH载荷、身份载荷、建议安全关联、流量选择符 响应方 交换报文中还包含了自己的ID载荷、认证载荷，说明该交换用于身份认证。另外除了身份认证信息外，该交换报文中还包含了SA载荷，流量选择符载荷，这些信息可以用于协商IPsec SA。也就是在IKE_AUTH两个报文的交互中完成了身份认证以及一个IPsec SA的创建过程。在IKEv2中认证方式只支持公钥签名认证和预共享密钥认证。 TSr AUTH TSi IDi ISAKMP头部 UDP头部 IP头部 SAi TSr AUTH TSi IDr ISAKMP头部 UDP头部 IP头部 SAr 向Host A发送AUTH载荷、选择的建议安全关联、流量选择符 IPSec SA－工作原理 Host A Host B 发起方 发送IKE_SA_INIT报文 响应方 Host B回应IKE_SA_INIT报文 完成IKE SA的建立 Host A Host B 发起方 发送IKE_AUTH载荷，如果没有AUTH载荷内容，则代表需要进行EAP认证 响应方 Host A Host B 发起方 Host A向Host B发送EAP认证信息 响应方 EAP (success) ISAKMP头部 UDP头部 IP头部 EAP ISAKMP头部 UDP头部 IP头部 发送EAP认证请求消息 Host B向Host A发送认证成功消息 消息1 消息2 消息3 消息4 消息5 消息6 EAP工作原理 SAi … ga ISAKMP头部 UDP头部 IP头部 Ni SAr … gb ISAKMP头部 UDP头部 IP头部 Nr TSr CP TSi IDi ISAKMP头部 UDP头部 IP头部 SAi AUTH IDr ISAKMP头部 UDP头部 IP头部 EAP Host A Host B 发起方 再次发送IKE_AUTH报文 响应方 Host B进行回应，分配IP，并发送匹配的IPSec提议和流量选择符 消息7 消息8 AUTH ISAKMP头部 UDP头部 IP头部 TSr AUTH TSi CP ISAKMP头部 UDP头部 IP头部 SAr Host A Host B IKEv2典型应用场景1—site to site Internet IKEv2应用场景