《现代骨干网与高速互联网技术》第5部分PN和隧道技术综合版.pptVIP

AH协议简介 AH（Authentication Header）协议为IP通信提供数据源认证、数据完整性和反复重播保证，AH能保护通信免受篡改，但不能防止窃听，适合于传输非机密数据。AH的工作原理就是在每一个数据包上添加一个身份验证报头。[b]AH协议结构[/b]AH的报头位于IP和传输层协议之间,如下图：[attach]7869[/attach]AH协议结构字段详解：?下一个报头：用以识别一个使用IP协议号的报头，如值为6则表不后面的为tcp报头，为17则表示UDP报头；?长度：AH报头长度；?安全参数索引：为数据报识别安全关联的随机值，值为1则表示没有安全关联存在；?序列号：从1开始，不允许重复，唯一的标识了每一个发送数据包，为安全关联提供反复重播保护；?认证数据：包含完整性检查和。[b]AH协议解码[/b]下面我们通过解码来学习AH协议[attach]7870[/attach]AH协议解码字段详解：?下一个协议头：11；?长度：155?保留：5001；?安全参数索引?顺序号：867625753。 AH协议简介 AH（Authentication Header）协议为IP通信提供数据源认证、数据完整性和反复重播保证，AH能保护通信免受篡改，但不能防止窃听，适合于传输非机密数据。AH的工作原理就是在每一个数据包上添加一个身份验证报头。[b]AH协议结构[/b]AH的报头位于IP和传输层协议之间,如下图：[attach]7869[/attach]AH协议结构字段详解：?下一个报头：用以识别一个使用IP协议号的报头，如值为6则表不后面的为tcp报头，为17则表示UDP报头；?长度：AH报头长度；?安全参数索引：为数据报识别安全关联的随机值，值为1则表示没有安全关联存在；?序列号：从1开始，不允许重复，唯一的标识了每一个发送数据包，为安全关联提供反复重播保护；?认证数据：包含完整性检查和。[b]AH协议解码[/b]下面我们通过解码来学习AH协议[attach]7870[/attach]AH协议解码字段详解：?下一个协议头：11；?长度：155?保留：5001；?安全参数索引?顺序号：867625753。 * * * * * * 6) 几种隧道技术的比较 应用范围： PPTP、L2TP：主要用在远程客户机访问局域网方案中； IPSec主要用在网关到网关或主机方案中，不支持远程拨号访问。 安全性： PPTP提供认证和加密功能，但安全强度低 L2TP提供认证和对控制报文的加密，但不能对传输中的数据加密。 IPSec提供了完整的安全解决方案。 QoS保证：都未提供 对多协议的支持：IPSec不支持 5.3 基于IPSec的VPN的体系结构 1、IPSec体系结构 2、IPSec协议框架 3、AH协议 4、ESP协议（封装安全载荷协议） 5、IPSec传输模式 6、IPSec隧道模式 7、安全策略数据库(SPD) 8、安全联盟数据库(SADB) 9、数据包输出处理 10、数据包输入处理 11、包处理组件实现模型 1) IPSec体系结构 2) IPSec协议框架（1） 综合了密码技术和协议安全机制，IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。IPSec协议主要内容包括： ●协议框架－RFC2401； ●安全协议：AH协议－RFC2402、ESP协议－RFC2406； ●密钥管理协议：IKE － RFC2409 、ISAKMP－RFC2408、OAKLEY协议－RFC2412。 ●密码算法：HMAC－RFC2104/2404、CAST－RFC2144、ESP加密算法－RFC2405/2451等。 ●其他：解释域DOI－RFC2407、IPComp－RFC2393、Roadmap－RFC2411。 2) IPSec协议框架（2） IPSec架构 密钥管理 ESP协议 AH协议 解释域（DOI） 加密算法 鉴别算法 IPSec协议文件框架图 2) IPSec协议框架（3） ike定义了安全参数如何协商，以及共享密钥如何建立,但它没有定义的是协商内容。这方面的定义是由解释域(doi)文档来进行的 3) AH协议 4) ESP协议 5) IPSec传输模式 6) IPSec隧道模式 5.4 MPLS/VPN体系结构概述 案例研究 VPN路由和转发表 MPLS VPN有三种类型的路由器 CE路由器:是客户端路由器，为用户提供到PE路由器的连接； PE路由器是运营商边缘路由