IPSec VPN笔记.docVIP

IPSec VPN笔记 第一天_1： 隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 1.加密：公钥加，私钥解。私钥加，公钥解。公钥加的公钥解不了，私钥加的私钥解不了，公钥推不了私钥，私钥也推不了公钥 2.对称密钥 ECC密钥 RSA密钥 攻破时间 机器 内存 56 112 420 少于5分钟 10000 少量 80 160 760 600个月 4300 4GB 96 192 1020 3百万年 114 170GB 128 256 1620 10E16年 0.16 120TB 3.对称加密 优点：速度快、密文紧凑、 缺点：密钥分发和管理不方便，密钥是指数增长 4.非对称加密 优点：公钥丢出去，谁都可以看，分发方便。来一个人，多一个密钥，线性增长，管理方便。支持数字签名。 缺点：速度非常慢、加密后数据特别大 5.加密原理 发送： 数据+对称加密 | 加密后的数据---对称密钥+接收者公钥(非对称加密) | | | 非对称密钥 | | 将加密后的数据和非对称密钥发送给对方 接收： 加密后的数据---非对称密钥+接收者私钥 | 对称密钥+加密后的数据 | 数据 6.https加密原理：IE中输入一个https的地址后，会弹出一个数字证书验证的窗口，让你选择是，还是否。如选择是，IE会从数字证书中取出对方的公钥。IE随机产生一个密钥，使用对方公钥对该密钥进行加密，然后将加密后的密钥发送给服务器，双方都有密钥了，就可以加解密了。https的算法不是des，而是RC4。该算法主要便于软件实现。des和3des比较耗资源，适合于硬件加密。 7.散列函数： MD5(128) SHA(160) (1):MD5是验证，而不是加密，要加密就需要解密，而MD5绝无可能逆推 什么是MD5：把一个任意大的数据，经过MD5计算，得到128Bit。可以唯一的标示一个数据，很难再找出另外一组数据计算出相同的MD5值。雪崩效应，2G的数据，就算更改一个Bit，计算出来的值，会完全不同。 (2):OSPF路由加密的本质：并不是使用MD5对路由进行加密，当启用OSPF路由加密功能后，我们需要配置一个Key，发送者会将路由条目和key使用MD5计算得出128位的散列函数，然后将这个明文的路由和这个128位的散列函数发送给对方，需要建立neighbor的路由器，在收到这个明文和散列函数后，就使用自己的明文路由和key计算，如果得出的值与接收到的值相同，那么就通过验证，可以建立邻居。 例如：/24+key----------------------------------/24+key hash 匹配 hash (3):数字签名：就是明文做Hash，得出值，再用发起者的私钥进行加密，加密后的东西，就是数字签名。 原理：将数据和数字签名发送给对方，对方把数字签名拿出来，用公钥解密，得出的Hash值，和自己收到的数据所计算的Hash值对比，来验证数据是否被篡改过和确定是那个人所发送的。 (4):数字证书：证书服