VPN理论很实用讲稿.docx

VPN（隧道+安全）隧道技术：（tunnel）-在目标IP为私有IP的数据包外面封装公网IP,实现远程网络之间私有IP通信的技术--：在隧道中传递的数据至少有两个IP包头隧道协议：GRE;IPsec;SSL/TLS;PPTP;L2TP;协议分类：PPTP VPN; L2TP VPN;IPsec VPN;应用分类；远程访问VPN; Site To Site VPN;实现方式：VPN服务器；硬件VPN; 集成VPN;GRE-:Generic Routing Encapsulation通用路由封装 ---：在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果原始IP数据包包头的IP地址为私有IP地址将原始IP数据包封装进GRE协议，封装的包头IP地址为虚拟直连链路两端的IP地址将整个GRE数据包当做数据，在外层封装IP包头私有IP地址包头：SA:10.1.1.2 DA:192.168.1.4GRE包头： SA:1.1.1.1 DA:1.1.1.2真实的IP包头：SA:100.1.1.1 DA:200.1.1.1GRE Tunnel :要求至少一端有固定IP地址；只支持路由器，不支持ASA和PIX;分三步；创建虚拟链路（隧道）接口，号码任意；配置GRE包头地址；定义隧道的源和目标，就是在公网中指导路由器转发数据包的公网IP地址GRE Keepalive使得双方隧道接口状态保存一致：-隧道之间定期向对端发送Keepalive默认10S发送一个，一次发送三次Int tunnel 1Keepalive 5 3(每隔5秒发一次，连续发送3个包)一，加密--:DES 密钥长度：64位 3DES 密钥长度：168位AES 1.对称加密加密和解密都使用一个密钥如果密钥被盗取，则数据不安全 A---B B把公钥给A，A用公钥加密=G--B再用公钥解密2.非对称加密--: DH(Diffie-Hellman) RSA DSA对公钥进行加密，用私钥进行解密；公钥对外公开私钥仅自己拥有公钥和私钥成对使用 A--B B把公钥给A，A用公钥加密=G--B再用私有解密公钥速度快，但不安全，私钥安全，但是速度慢----解决办法：用对称加密数据，用非对称加密密钥！！！二，HMAC--:数据完整性，实现数据报文（身份）验证 Hash-Base Message Authentication Codes散列消息验证码——Hash的一个子集！！ A—B A在发送加密的数据G之前进行Hash得到一个数字签名--一起发送给B B也是一样进行Hash也得到一个数字签名与A的进行比较（一致的华就可以）特点；固定大小：MD5-- 128bitSHA-1--160bit雪崩效应：数据微小改动，结果巨大变化单向计算：无法逆向运算冲突避免：几乎找不到一个数据与当期数据计算的数字签名相同三，Ipsec(IPSecurity):保证数据安全，让数据加密传输--定义了一些方法和策略，不是一个协议作用：数据源认证-保证数据是真正的发送者发过来的，不会被伪造保护数据完整性-不被攻击者改动保证数据私密性别人得到了看不懂，只有接受者才能看懂；防止中间人攻击-被第三放修改，截获防止数据被重放;为IPSec服务的协议IKE(Internet Key Exchange)-互联网密钥交换协议主要是对密钥进行保护，并不保护实际的数据 IKE会在VPN对等体之间采用认证机制认证方式：预共享密钥（Pre-Share-Keys） PKI证书(Public Key Infrastructure) RSA encrypted nonceESP（Encapsulating Security Protocol）-封装安全协议--数据 AH(Authentication Header)-认证头-数据密钥算法：使用DH算法在VPN对等体之间建立安全的密钥用来加密数据 Group 1:--密钥的长度：768bit Group 2:-密钥长度为：1024bit Group 5:-密钥长度为：1536bit四，SA(安全会话)-Security AssociationIPsec的所有会话都是在SA通道中传输的，包括协商密钥，传递用户数据 SA是一组规则，是需要会话的对等体之间必须遵守的一份合同 SA中的规则能够保证所