IPSEC VPN 基础知识讲解.ppt

* * * IPsec VPN应用 RRI IPsec VPN应用 IPsec VPN应用 VPN的访问控制列表 IPsec VPN应用 ISAKMP keepalive IPsec VPN应用 HA高可用性VPN（链路备份） IPsec VPN应用 Remote access VPN IPsec VPN应用 EZVPN IPsec VPN应用 DMVPN IPsec VPN应用 IPsec VPN应用 DMVPN IPsec-VPN简单Troubleshooting 没有Debug的情况 a) 理解VPN触发过程 1.包进入VPN设备，检查对方通讯点的路由，路由引导流量出适当接口 2.包在出接口过程中撞击上MAP 3.流量匹配上MAP的ACL（感兴趣流），触发加密 4.发起和PEER的IKE协商，VPN设备检查去往PEER的路由 IPsec-VPN简单Troubleshooting b) 可能的错误 1.no logging console 2.缺少去往对方通讯点的路由，或者没有引导对出接口 3.正确的接口下没有map 4.MAP配置的ACL错误，不能够匹配上感兴趣流。 5.缺少对方peer（加密点）的路由 6.由于NAT，感兴趣流改变，需要在NAT里排除感兴趣流。 注意：先NAT后加密 7.EZVPN有时会出现不发起的现象,需要重敲重运用应该是特定IOS bug IPsec-VPN简单Troubleshooting IPSEC SA建立但是无法正常通讯的情况 有关TCP MSS的应用 TCP MSS（最大分段长度） A----B之间进行3次握手，在A向B发起请求的时候会包含自己的TCP MSS值，B接收到后会进行比较，如果一样或大于A的值，则返回不进行调整；如果小于A的值，则会在ACK包里包含自己的TCP MSS值，A若收到的值比自己的小，则会将自己的值降低。 * 谢谢大家 * * 攻击原理: 有一个黑客抓到一个加密的包,然后反复把相同的包丢给目标解密,反复操作n次,目标主机就被攻击垮了 这个机制可防止黑客不能把相同加密的包反复丢给目的解密 * 原始数据： 2层 | IP | TCP/UDP/ICMP | Data IPsec 头部： 2层 | ESP/AH | IP | TCP | Data 有可能两种头部一起出现 * Transport mode： 其中有一部分不加密： 在IPsec Header中的IV(初始化向量) SPID transport mode的几种特例 1.PC 与 PC建立L-t-L VPN 2.GRE over IPsec DMVPN 3.L2TP over IPsec 在穿越的Internet中是可路由的，连通之前就可路由 Tunnel mode： 在穿越的Internet中不可路由，连通后可路由 * SA一共有3个 ISAKMP的SA IPsec SA out IPsec SA in * 理解成ACL，匹配策略用的 Cisco不支持丢弃 Cisco 只支持绕过(没匹配)和应用 * * * * * * * * * * * * IPsec VPN基本概念 通过增加一个新的头部,提供了网络层的安全性 提供的是IP的安全性 IP头部不加密,后面的数据全部加密，如果IP头部被加密路由器将无法查询路由 在IP头部和数据之间加入新的头部 在IPv6中IPsec是强制性的 两个概念(1) 两个概念(2) 两个概念(3) IPsec VPN基本概念 IPSEC的两种保护模式 1.Transport mode 不产生新的IP头部,要求原IP包可在INTERNET路由,要求通信点和加密点为同一IP 2.Tunnel mode 产生新的可路由IP头,可解决不同私有网络之间跨越 INTERNET数据包的加密传送 IPsec VPN基本概念 SA-安全联盟 “安全联盟”（IPSec术语，常常简称为SA）是构成IPSec的基础 SA是两个通信实体经协商建立起来的一种协定。它们决定了用来保护数据包安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等等 任何IPSec实施方案始终会构建一个SA数据库（SADB），它包含每个活动安全关联的参数。 SA是单向的 如果两个主机（比如A和B）正在通过ESP进行安全通信，那么主机A就需要有一个SA，即SA ( out )，用来处理外发的数据包；另外还需要有一个不同的SA，即SA ( in )，用来处理进入的数据包。主机A的SA ( out )和主机B的SA ( in )将共享相同的加密参数（比如密