思科专家级认证cciers精品培训资料（33页）ipsec vpn.docVIP

CCIE RS v4.0 理论 IPSec VPN 　 ? 目录 隧道技术举例手动点对点GREIPSecVPN分类IPSec特征加密术语加密算法数字签名IPSec安全协议验证报头（AH）封装安全有效负载（ESP）密钥管理和安全关联IPSec分组的处理配置步骤总结各类IPSec范畴VPN普通LAN_to_LAN VPNDynamic LAN_to_LAN VPNDynamic Multipoint VPN (DMVPN)Easy VPN (EzVPN) 又名远程VPN或接入VPNSSL VPN  图1： 如上图所示，在普通情况下，穿越了公网的两个LAN的PC，是无法直接通过输入对方LAN的内网IP地址进行访问的，无法解决公司的某些办公问题和数据访问问题。 ? ? 图2： ? ? 如上图所示，如果两个LAN的路由器是直接相连，那么任何PC都可以直接输入对方LAN的内网IP地址进行访问，解决公司的办公和数据访问等任何问题。 ? ? 但是LAN和LAN之间，有时因为距离问题或成本问题，无法做到直接相连路由器，必须得穿越公网，这样就无法解决上述的访问需求，要解决此类问题，可通过隧道技术，对IP包头重新封装，保留内网地址同时对ISP隐藏，待穿越了ISP之后，到达目标LAN路由器，再还原IP包头，此时再查看最初的目的IP（即内网IP）。 如下图： 　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 ? 　 　 　 　　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 GRE 通过手动Tunnel来解决远程LAN之间使用内网地址互访： 　 ?　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 ? IPSec LAN需要直接使用内网地址访问对端PC时，可通过隧道技术来解决，而且隧道技术是当前解决此问题的唯一方法，隧道技术可在OSI二层的三层实施，隧道技术，正是VPN技术。 然而，由于LAN与LAN之间传输的数据带有私密性，有时必须考虑到数据的安全性，需要对数据进行加密后再传输。所以在隧道技术VPN的环境下，最好能够在隧道中集成加密技术。 而IPSec，正是在这种需求下诞生的，IPSec就同时集成了隧道技术和加密技术，称为IPSec VPN，而IPSec，是定义隧道如何实现，加密如何实施，是一系列框架的总结，IPSec并非一个单纯的协议。 ? 　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 VPN 二层VPN 递送报头在二层，如：ATM,帧中继 ? 三层VPN 递送报头在三层，如：GRE,MPLS,IPSec GRE(通用路由选择封装)由Cisco开发，并被标准化，但没有安全机制。 MPLS VPN，也是Cisco倡导的，也被IETF标准化。 ? IPSec VPN 用户关心数据安全性，IPSec是IETF开发的一组协议，支持身份验证，完整性，访问控制和机密性。 在普通情况下，两个LAN之间建立隧道的VPN，称为LAN_to_LAN VPN， VPN另一方预先不知道的，可使用远程接入VPN，称为easy VPN (EzVPN)。 　 　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 IPSec 安全协议：验证报头（AH），封装安全有效负载（ESP） 密钥管理：ISAKMP , IKE , SKEME 算法：用于加密和身份验证 　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 ? 以往的字母替换法。 ?　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 　? ? ? ? ? ? ?????? ? ? ? ? ? ? ? ? 返回目录 加密和解密的数学函数，数据安全是建立在密钥基础上的，知道算法没关系，没有密钥没用。 ? 加密算法分：对称加密算法和非对称加密算法。 ? 对称加密算法：发送方和接收方使用相同的密钥，使用什么加密，就使用什么解密，所以要有好的方法分发密钥，要不然被截取，依然不安全，常见算法有：DES,3DES,AES. DES 56位，不推荐,24小时内可枚举破解。 ? 非对称加密算法：也叫公钥算法，用两个密钥，加密的叫公钥，可以公开，解密的是私钥，在数学上是相关的，但无法推导。任何有公钥的人都可以加密，但只有有私钥的人才能解密，而私钥只有接受方才知道，可以不传出去。 ? 公钥算法没有完全取代对称算法，只是用作他们的密钥分发，因为自己慢，所以不会取代对称加密，只是他们的补充。 ?　? ? ? ? ? ? ?????? ? ? ? ?