IPSecVPN技术题库.pptVIP

IPSec流量处理 出站与入站 丢弃报文 绕过安全服务 应用安全服务 总部 分支机构 入站 入站 出站 出站 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 组网需求 组网需求 PC1与PC2之间进行安全通信，在FWA与FWB之间使用IKE自动协商建立安全通道。 在FWA和FWB上均配置序列号为10的IKE提议。 为使用pre-shared key验证方法的提议配置验证字。 FWA与FWB均为固定公网地址 USG A USG B Eth 0/0/0 202.39.160.1/16 Eth 0/0/0 202.39.169.1/16 Eth 0/0/1 192.168.0.1/24 Eth 0/0/1 192.168.1.1/24 Host 1 192.168.0.2/24 Host 2 192.168.1.2/24 IPSec VPN配置思路 配置IPSec策略 在接口上引用IPSec 放开相应域间的过滤规则 配置到对端内网网段的路由 结束 开始 配置IPSec提议 配置IKE提议 配置IKE对等体 基础配置（如配置接口IP地址等） 总结 IPSec技术的基本原理 AH和ESP技术 IKE协议的业务流程 IPSec VPN的应用场景及配置 思考题 IPSec VPN可提供哪些安全服务？每个安全服务的意义和实现方式是什么？ IPSec的2个主要安全协议是什么？它们之间有什么区别？ IPSec的2个主要封装模式是什么？它们之间应用场景有何区别？ IKE可提供哪4个安全机制？每个安全机制的作用各是什么？ 安全联盟SA在IPSec中有何重要作用？它是通过哪三元组进行唯一标识？ IKE第一阶段协商有哪2种模式？它们之间主要应用在什么场景下？ IKE第一阶段协商2种模式的配置选项有什么不同？ IPSec是采用什么技术触发IPSec隧道的建立？ 在隧道模式下，如何配置私有网络路由？ 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * Page * Page * Page * 目标 学完本课程后，您将能够: 理解IPSec技术的基本原理 理解AH和ESP技术 了解IKE协议的业务流程 掌握IPSec VPN的应用场景及配置 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 IPSec简介 总部 分支机构 IPSec VPN 防重放 Confidentiality Anti-replay Data authentication Data integrity 完整性 机密性 真实性 IPSec 安全隧道 IPSec安全防护特点 总部 分支机构 IPSec VPN TCP/ UDP IP APP Data TCP/ UDP IP APP Data 安全保护区域 安全保护区域 Internet业务 访问总部流量 访问Internet部流量 IPSec安全防护场景 总部 分支机构 IPSec VPN IPSec端到端应用场景 安全网关（如防火墙）之间； 主机与安全网关之间； 主机与主机之间； 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 IPSec VPN体系结构描述 策略 AH：验证头 IPSec VPN体系结构 ESP：封装安全载荷 加密算法 验证算法 密钥管理 IPSec安全协议 IPSec通过AH（Authentication Header）和ESP（Encapsulating Security Payload）这两个安全协议来实现数据报在网络上传输时的私有性、完整性、真实性和防重放。 AH AH（Authentication Header）报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重放功能；然而，AH并不加密所保护的数据报文. ESP ESP（Encapsulating Security Payload）ESP是封装安全载荷协议。它除提供AH协议的所