H3C-VPN原理及配置-PPT.ppt-淘文阁

资源描述

《H3C-VPN原理及配置-PPT.ppt》由会员分享，可在线阅读，更多相关《H3C-VPN原理及配置-PPT.ppt（193页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第1章 VPN原理和配置ISSUE 1.1日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播n 随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来n 组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性引入n 理解VPN的体系结构n 掌握GRE VPN的工作原理和配置n 掌握L2TP VPN的工作原理和配置n 掌握IPSec VPN的工作原理和配置n 能够执行基本的VPN设计课程目标学习完本课程，您应该能够：n VPN概述n GRE VPNn L2TPn IPSec VPNn VPN设计规划目录VPN概述VPN

2、概念VPN 的分类主要VPN 技术VPN（Virtual Private Network）合作伙伴出差员工隧道专线办事处总部分支机构异地办事处Internet什么是VPN VPN（Virtual Private Network，虚拟私有网）以共享的公共网络为基础，构建私有的专用网络以虚拟的连接，而非以物理连接贯通网络处于私有的管理策略之下，具有独立的地址和路由规划 RFC 2764描述了基于IP的VPN体系结构VPN的优势可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性可利用Internet，无处不连通，处处可接入简化用户侧的配置和维护工作提高基础资源

3、利用率于客户可节约使用开销于运营商可以有效利用基础设施，提供大量、多种业务VPN的关键概念术语隧道（Tunnel）封装（Encapsulation）验证（Authentication）授权（Authorization）加密（Encryption）解密（Decryption）VPN的分类方法按照业务用途分类：Access VPN，Intranet VPN，Extranet VPN 按照运营模式：CPE-Based VPN，Network-Based VPN 按照组网模型：VPDN，VPRN，VLL，VPLS 按照网络层次：Layer 1 VPN，Layer 2 VPN，Layer 3 V

4、PN，传输层VPN，应用层VPNAccess VPNPOPPOP用户直接发起连接POPISP 发起连接总部隧道Intranet VPN总部研究所办事处分支机构Internet/ISP IPATM/FRExtranet VPN总部合作伙伴异地办事处分支机构Internet/ISP IPATM/FRCPE-Based VPN隧道总部研究所办事处分支机构Internet/ISP 网络Network-Based VPN隧道总部Internet/ISP 网络研究所办事处分支机构VLL，虚拟专线总部研究所办事处分支机构DLCI 500DLCI 600DLCI 700DLCI 600/601/602Int

5、ernet/ISP 网络VPRN隧道研究所办事处分支机构网络层报文Internet/ISP 网络总部VPDN，虚拟私有拨号网络适用范围：出差员工异地小型办公机构POPPOP用户直接发起连接POPISP 发起连接总部隧道VPLS，虚拟私有LAN服务ISP 网络虚拟的LAN 连接研究所办事处分支机构LAN 帧不同网络层次的VPN 一层 VPN 二层 VPN 三层 VPN 传输层VPN 应用层VPN主要VPN技术主要的二层VPN技术L2TP：二层隧道协议 PPTP：点到点隧道协议MPLS L2 VPN 主要的三层VPN技术GREIPSec VPNBGP/MPLS VPN其它VPN技术老式V

6、PN技术包括ATM，Frame Relay，X.25 等分组交换技术 SSL（Secure Sockets Layer）L2F（Layer 2 Forwarding）DVPN（Dynamic Virtual Private Network，动态VPN）基于VLAN的VPN 802.1QinQ XOT（X.25 over TCP Protocol）n VPN概述n GRE VPNn L2TPn IPSec VPNn VPN设计规划目录GRE VPN 概述GRE封装GRE VPN 工作原理GRE VPN 配置GRE VPN 典型应用小结GRE VPN GRE(Generic Routing E

7、ncapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784 可以用于任意的VPN 实现 GRE VPN 直接使用GRE 封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口GRE协议栈协议BGRE协议A链路层协议载荷协议封装协议承载协议协议B 载荷GRE 封装包格式链路层GRE 协议B 协议A载荷RFC 1701 GRE头格式C R K S sRecur Flags Ver Protocol TypeChecksum(optional)Offset(optional)Key(optional)Sequence Number(optional)R

8、outing(optional)0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2RFC 1701 SRE格式Address Family SRE Offset SRE LengthRouting Information 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2常见GRE载荷协议号协议名协议类型号Reserved 0000SNA 0004OSI network layer 00FEXNS 0600IP 0800DECnet(

9、Phase IV)6003Ethertalk(Appletalk)809BNovell IPX 8137Reserved FFFFRFC 2784 GRE标准头格式CReserved0 Ver Protocol TypeChecksum(optional)Reserved1(optional)0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2GRE扩展头格式C K SReserved0 Ver Protocol TypeChecksum(optional)Reserved1(optional)Key(optiona

10、l)Sequence Number(optional)0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2载荷协议包以IP作为承载协议的GRE封装 GRE被当作一种IP协议对待 IP用协议号47标识GRE链路层 GRE IPIP 协议号47以IP作为载荷协议的GRE封装 GRE使用以太类型标识载荷协议载荷协议类型值0 x0800说明载荷协议为IP载荷链路层 GRE承载协议头载荷协议0 x0800IPIP over IP的GRE封装载荷链路层 GRE IP载荷协议0 x0800IPIP 协议号47GRE隧道RTA

11、 RTBIPIPX IPXGRE Tunnel站点A站点BS0/0 S0/0E0/0E0/0Tunnel0 Tunnel0IPX 数据流IPX 包IPX 包GRE 封装包IP over IP GRE隧道RTARTBIP 公网IP 私网 IP 私网GRE Tunnel站点A 站点BS0/0 S0/0 E0/0E0/0Tunnel0 Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24 203.1.1.2/24 202.1.1.1/24IP 私网之间的数据流私网IP 包GRE 封装包私网IP 包GRE隧道处理流程隧道起点路由查找加封装承载协议

12、路由转发中途转发解封装隧道终点载荷协议路由查找GRE隧道处理隧道起点路由查找RTA RTBIP 公网IP 私网 IP 私网站点A 站点BS0/0 S0/0 E0/0E0/0Tunnel0 Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24 203.1.1.2/24 202.1.1.1/24Destination/Mask Protocol Cost Next Hop Interface10.1.1.0/24 DERECT 0-LOOP010.1.2.0/24 DERECT 0-LOOP010.1.3.0/24 OSPF 2100 10.

13、1.2.2 Tunnel0202.1.1.0/24 DERECT 0-LOOP0203.1.1.0/24 STATIC 0 202.1.1.2 S0/0GRE隧道处理加封装RTA RTBIP 公网IP 私网 IP 私网站点A 站点BTunnel0 Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24 203.1.1.2/24 202.1.1.1/24RTA Tunnel0接口参数：GRE封装源接口S0/0，地址202.1.1.1 目标地址203.1.1.2D S私网IP包 GRE头公网IP头目的地址：203.1.1.2源地址：202.1.1

14、.1S0/0 S0/0 E0/0E0/0GRE隧道处理承载协议路由转发RTA RTBIP 公网IP 私网 IP 私网站点A 站点BTunnel0 Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24 203.1.1.2/24 202.1.1.1/24Destination/Mask Protocol Cost Next Hop Interface10.1.1.0/24 DERECT 0-LOOP010.1.2.0/24 DERECT 0-LOOP010.1.3.0/24 OSPF 2100 10.1.2.2 Tunnel0202.1.1.0/2

15、4 DERECT 0-LOOP0203.1.1.0/24 STATIC 0 202.1.1.2 S0/0S0/0 S0/0 E0/0E0/0GRE隧道处理中途转发RTARTBIP 公网IP 私网IP 私网站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24 203.1.1.2/24202.1.1.1/24GRE隧道处理解封装RTA RTBIP 公网IP 私网 IP 私网站点A 站点BTunnel0 Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.

16、3.1/24 203.1.1.2/24 202.1.1.1/24RTB Tunnel0 接口参数：GRE 封装源接口S0/0，地址202.1.1.1 目标地址203.1.1.2D S私网IP 包 GRE 头公网IP 头私网IP 包S0/0 S0/0 E0/0E0/0GRE隧道处理隧道终点载荷协议路由查找RTA RTBIP 公网IP 私网 IP 私网站点A 站点BTunnel0 Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24 203.1.1.2/24 202.1.1.1/24Destination/Mask Protocol Cost

17、 Next Hop Interface10.1.3.0/24 DERECT 0-LOOP010.1.2.0/24 DERECT 0-LOOP010.1.1.0/24 OSPF 2100 10.1.2.2 Tunnel0203.1.1.0/24 DERECT 0-LOOP0202.1.1.0/24 STATIC 0 202.1.1.2 S0/0S0/0 S0/0 E0/0E0/0GRE穿越NATRTA RTBIP 公网IP 私网 IP 私网E1/0S0/0 E0/0E0/0Tunnel0 Tunnel0IP_addr_BIP_addr_ANAT 网关S0/0IP_addr_R RTA配置：隧道源

18、IP_addr_A 隧道目的IP_addr_B RTB配置：隧道源IP_addr_B 隧道目的IP_addr_R NAT配置：地址映射：IP_addr_A IP_addr_RGRE VPN基本配置创建虚拟Tunnel 接口 H3C interface tunnel number 指定Tunnel 的源端 H3C-Tunnel0 source ip-addr|interface-type interface-num 指定Tunnel 的目的端 H3C-Tunnel0 destination ip-address 设置Tunnel 接口的网络地址 H3C-Tunnel0 ip address i

19、p-address mask 配置通过Tunnel 的路由GRE VPN路由配置RTA RTBIP 公网IP 私网 IP 私网站点A 站点BS1/0 S1/0 E0/0E0/0Tunnel0 Tunnel0载荷网路由AS承载网路由AS虚假的Tunnel接口状态RTARTB站点A站点BE1/0E1/0E0/0E0/0Tunnel0Tunnel0备份隧道空闲！服务器服务器RTCE1/0E0/0Tunnel0Tunnel1UPUPUPUPGRE VPN高级配置设置Tunnel 接口报文的封装模式 H3C-Tunnel0 tunnel-protocol gre 设置Tunnel 两端进行端到端校验

20、H3C-Tunnel0 gre checksum 设置Tunnel 接口的识别关键字 H3C-Tunnel0 gre key key-number 配置Tunnel 的keepalive 功能 H3C-Tunnel0 keepalive interval times GRE VPN配置实例（待续）RTA RTBIP 公网IP 私网 IP 私网站点A 站点BS1/0 S1/0 E0/0E0/0Tunnel0 Tunnel010.1.1.1/2410.1.2.1/24 10.1.2.2/2410.1.3.1/24 132.108.5.2/24192.13.2.1/24GRE VPN配置实例RTB-

21、Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0RTB interface tunnel 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.13.2.1 RTB ip route-static 10.1.1.0 255.255.255.0 tunnel0 RTA-Serial1/0 ip a

22、ddress 192.13.2.1 255.255.255.0RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 RTA interface tunnel 0RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0 RTA-Tunnel0 source 192.13.2.1 RTA-Tunnel0 destination 132.108.5.2RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0 GRE VPN的显示和调试显示Tunnel 接口的工作状态 disp

23、lay interface tunnel number 例如：H3C display interfaces tunnel 1 Tunnel1 is up,line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input,640 bytes 0 input errors,0 broadcast,0 drops 10 packets output,640 bytes 0 output errors,0 broadcast,0 no proto

24、col 打开Tunnel 调试信息 debugging tunnel 连接不连续的网络RTA RTBIPIPX IPXGRE Tunnel站点A 站点BTunnel0 Tunnel0S0/0 S0/0E0/0E0/0单一骨干承载多个上层协议RTA RTBIPIPXIPXGRE Tunnel站点A 站点BTunnel0 Tunnel0IP IPTeam1Team2Group1 Group2S0/0 S0/0E0/0E0/0扩大载荷协议的工作范围RTARTBIP 公网载荷协议载荷协议站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel0GRE VPN的优点可以当前最为普遍的IP

25、网络作为承载网络支持多种协议支持IP组播简单明了、容易布署 GRE VPN的缺点点对点隧道静态配置隧道参数布署复杂连接关系时代价巨大缺乏安全性不能分隔地址空间 n VPN概述n GRE VPNn L2TPn IPSec VPNn VPN设计规划目录L2TP 概述概念术语协议封装协议操作 L2TP 多实例配置和故障排除小结L2TP Layer Two Tunnel Protocol RFC 2661 隧道传送PPP 验证和动态地址分配无加密措施点对网络特性传统拨号接入PSTN/ISDNLAN LANLAN LAN分支机构总部NAS出差员工RADIUS使用L2TP构建

26、VPDNLAN LANLAN LAN分支机构总部LACLNSNAS Router出差员工LAC RADIUS LNS RADIUSPSTN/ISDNL2TP功能组件远程系统（Remote System）LAC（L2TP Access Concentrator）LNS（L2TP Network Server）NAS（Network Access Server）L2TP功能组件LAN LANLAC LNSNAS远程系统LAC RADIUS LNS RADIUS隧道PSTN/ISDNL2TP术语呼叫（Call）隧道（Tunnel）控制连接（Control Connection）会话（Sessio

27、n）AVP（Attribute Value Pair）呼叫PSTN/ISDN LAN LANLAC LNS呼叫LAC RADIUS LNS RADIUS隧道和控制连接PSTN/ISDN控制连接隧道LAN LANLAC LNS呼叫LAC RADIUS LNS RADIUS会话PSTN/ISDN控制连接隧道LAN LANLAC LNS呼叫LAC RADIUS LNS RADIUS会话L2TP拓扑结构（1）独立LAC方式PSTN/ISDN LAN LANLAC LNSL2TP拓扑结构（2）客户LAC方式LAN LANLNSL2TP头格式0 1 2 3 4 5 6 7 8 9 0 1 2 3 4

28、5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1T L S O PVerTunnel ID Session IDNs(opt)Nr(opt)Offset Size(opt)Offset pad.(opt)Length(opt)L2TP协议栈和封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP 包(公有IP)UDP L2TP PPP IP 包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层Client LAC LNS ServerLAC 侧封装过程LNS 侧解封装过程L2TP 协议栈结构L2TP协

29、议操作建立控制连接建立会话转发PPP帧 Keepalive 关闭会话关闭控制连接建立控制连接LACLNSSCCRQSCCRPSCCCNZLB 控制连接的建立由PPP触发任意源端口1701 重定位为任意源端口任意目标端口建立会话LACLNSICRQICRPICCNZLB 会话的建立以控制连接的建立为前提会话与呼叫有一一对应关系同一个隧道中可以建立多个会话转发PPP帧会话建立后，即可转发PPP帧 Tunnel ID和Session ID用于区分不同隧道和不同会话的数据KeepaliveLACLNSHelloHello L2TP用Hello控制消息维护隧道的状态关闭会话LACLNSC

30、DNZLB关闭控制连接LACLNSStopCCNZLBL2TP的验证过程呼叫建立PPP LCP 协商通过LAC CHAP Challenge用户 CHAP Response隧道验证(可选)SCCRP(LNS CHAP Response&LNS CHAP Challenge)SCCRQ(LAC CHAP Challenge)SCCCN(LAC CHAP Response)ICCN（用户 CHAP Response&PPP 已经协商好的参数）LNS CHAP Challenge可选的第二次验证用户 CHAP Response验证通过LAC LAC LNS LNSPSTN/ISDNL2TP多实例 L

31、2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。VPN 1 总部ClientLNSHOSTInternetL2TP TUNNELClientVPN 2 总部VPN 1HOSTVPN 210.1.1.*10.1.1.*10.1.2.*10.1.2.*L2TP基本配置任务 LAC侧设置用户名、密码及配置用户验证启用L2TP 创建L2TP 组设置发起L2TP 连接请求及LNS 地址 LNS侧设置用户名、密码及配置用户验证启用L2TP 创建L2TP

32、组创建虚接口模板设置本端地址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名L2TP基本配置命令（未完）LAC 侧的配置设置用户名、密码及配置用户验证启用L2TPH3C l2tp enable 创建L2TP组 H3C l2tp-group group-number 设置发起L2TP连接请求及LNS地址H3C-l2tp1start l2tp ip ip-address ip ip-address domain domain-name|fullusername user-name L2TP 的基本配置命令（未完）LNS 侧的配置设置用户名、密码及配置用户验证启用L2TP H3C l

33、2tp enable创建L2TP组 H3C l2tp-group group-number创建虚接口模板H3C interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池 H3C-Virtual-Template1 ip address X.X.X.X netmask H3C-Virtual-Template1 remote address pool pool-number L2TP 的基本配置命令 LNS 侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1：H3C-l2tp1 allow l2t

34、p virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为1：H3C-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP可选配置任务 LAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello 报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道 LNS侧可选配的参数强制本端CHAP 认证强制LC

35、P 重新协商L2TP的可选配置命令（未完）LAC 侧和LNS 侧可选配的参数设置本端名称 H3C-l2tp1 tunnel name name 启用隧道验证及设置密码 H3C-l2tp1 tunnel authentication H3C-l2tp1 tunnel password simple|cipher password 设置通道Hello报文发送时间间隔 H3C-l2tp1 tunnel timer hello hello-interval L2TP的可选配置命令（未完）LAC 侧和LNS 侧可选配的参数配置域名分隔符及查找顺序设置前缀分隔符 H3C-l2tp1 l2tp doma

36、in prefix-separator separator 设置后缀分隔符 H3C-l2tp1 l2tp domain suffix-separator separator 设置查找规则 H3C-l2tp1 l2tp match-order dnis-domain|dnis|domain-dnis|domain 强制挂断通道 reset l2tp tunnel remote-name|tunnel-id L2TP的可选配置命令 LNS 侧可选配的参数强制本端CHAP验证 H3C-l2tp1 mandatory-chap 强制LCP重新协商 H3C-l2tp1 mandatory-lcp L2T

37、P配置例子（未完）LAC LNSLAC local-user vpdnuserH3C.com LAC-luser-vpdnuserH3C.com password simple HelloLAC domain H3C.comLAC-isp-H3C.com scheme localLAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain H3C.com LAC-l2tp1 tunnel authenticationLAC-l2tp1 tunnel p

38、assword simple H3C PSTN/ISDNL2TP配置例子LNS local-user vpdnuserH3C.com LNS-luser-vpdnuserH3C.com password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0LNS-virtual-template1 ppp authentication-mode chap domain H3C.comLNS domain H3C.comLNS-isp-H3C.

39、com scheme localLNS-isp-H3C.com ip pool 1 192.168.0.2 192.168.0.100LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authenticationLNS-l2tp1 tunnel password simple H3CLACLNSPSTN/ISDNL2TP信息显示和调试显示当前的L2TP 通道的信息 H3C display l

41、l建立失败在LAC端，LNS的地址设置不正确 LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组 Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过 LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户 LNS端不能分配地址，比如地址池设置的较小，或没有进行设置密码验证类型不一致数据传输失败，在建立连接后数据不能传输，如Ping 不通对端用户设置的地址有误网络拥挤 L2TP特点方面远程漫游用户接入节约费用可以由ISP或组织自身提供接入和验证 L2TP不提供对数据本身的安全性保证n VPN概述n GRE VPNn L2TPn

42、 IPSec VPNn VPN设计规划目录IPSec VPN 概述概念和术语 IPSec IKE 配置IPSec VPN IPSec VPN 典型应用小结IPSec VPN IP无安全保障 RFC 2401IPSec体系安全协议AH和ESP 隧道模式（Tunnel Mode）和传输模式（Transport Mode）隧道模式适宜于建立安全VPN 隧道传输模式适用于两台主机之间的数据保护动态密钥交换IKE基本概念和术语（待续）机密性完整性身份验证对称和非对称加密算法密钥和密钥交换单向散列函数基本概念和术语完美前向保密加密的代价和DoS攻击重播式攻击加密的实现层次安全性

43、基本要求机密性防止数据被未获得授权的查看者理解通过加密算法实现完整性防止数据在存储和传输的过程中受到非法的篡改使用单向散列函数身份验证判断一份数据是否源于正确的创建者单向散列函数、数字签名和公开密钥加密加密算法对称加密算法块加密算法流加密算法非对称加密算法如RSA 算法对称加密算法双方共享一个密钥加密方解密方奉天承运皇帝诏曰共享密钥yHidYTVdkd;AOtyHidYTVdkd;AOt奉天承运皇帝诏曰加密解密共享密钥非对称加密算法加密方解密方奉天承运皇帝诏曰解密方的公开密钥yHidYTVdkd;AOtyHidYTVdkd;AOt奉天承运皇帝诏曰加密解密解

44、密方的私有密钥加密和解密的密钥不同单向散列函数发送方接收方奉天承运皇帝诏曰共享密钥yYaIPyqZoyWItyYaIPyqZoyWIt单向散列函数共享密钥单向散列函数yYaIPyqZoyWIt奉天承运皇帝诏曰奉天承运皇帝诏曰yYaIPyqZoyWIt？Diffie-Hellman交换ac=gamod(p)peer2 peer2 peer1 peer1bd=gbmod(p)(g,p)(g,p)damod(p)cbmod(p)ddaamod(p)=cmod(p)=cbbmodp=gmodp=gababmodpmodp加密的实现层次应用层传输层网络层链路层应用层传输层网络层链路层网络层链路层网络

45、层链路层传输层加密盒加密盒安全网关安全网关SSH、S/MIMESSLIPSecIPSec VPN的体系结构安全协议负责保护数据AH/ESP 工作模式传输模式：实现端到端保护隧道模式：实现站点到站点保护密钥交换IKE：为安全协议执行协商IPSec传输模式RTA RTBIPIPX IPX站点A 站点B普通报文加密报文IPSec隧道模式RTA RTBIPIPX IPXIPSec Tunnel站点A 站点B普通报文加密报文IPSec SA SA（Security Association，安全联盟）由一个（SPI，IP目的地址，安全协议标识符）三元组唯一标识决定了对报文进行何种处理协议、

46、算法、密钥每个IPSec SA都是单向的手工建立或 IKE协商生成 IPSec对数据流提供的安全服务通过SA来实现IPSec处理流程查找SPD 策略数据包入站查找IPSec SA查找IKE SA创建IKE SA创建IPSec SA执行安全服务（AH/ESP/AH+ESP）转发丢弃旁路安全服务丢弃需要提供安全服务没有找到没有找到找到找到AH AH（Authentication Header）RFC 2402 数据的完整性校验和源验证有限的抗重播能力不能提供数据加密功能 AH头格式Next HeaderPayload LenRESERVEDSecurity Parameters Inde

47、x(SPI)Sequence Number FieldAuthentication Data(variable)0 8 16 31 AH用IP协议号51标识传输模式AH封装载荷数据 TCP 原始IP头载荷数据原始IP头 TCP AH头验证计算前，所有可变字段预先置0Authentication Data密钥 AH头单向散列函数载荷数据 TCP 原始IP头原始IP包AH处理后的包隧道模式AH封装载荷数据 TCP 原始IP头Authentication Data密钥 AH头单向散列函数新IP头载荷数据 TCP 原始IP头 AH头新IP头验证计算前，所有可变字段预先置0载荷数据 TCP 原始

48、IP头原始IP包AH处理后的包ESP ESP（Encapsulating Security Payload）RFC 2406 保证数据的机密性数据的完整性校验和源验证一定的抗重播能力ESP头格式 ESP用IP协议号50标识Padding(0-255 bytes）Sequence NumberSecurity Parameters Index(SPI)Authentication DataNext Header Pad lengthPayload Data(variable)24 16 8 0 31传输模式ESP封装Authentication Data加密密钥加密算法载荷数据 TCP原始I

49、P头 ESP 尾ESP Auth密文ESP 尾ESP 头密文验证密钥ESP 头密文载荷数据 TCP 原始IP头原始IP包验证算法隧道模式ESP封装Authentication Data加密密钥加密算法载荷数据 TCP 原始IP头新IP头 ESP 尾ESP Auth密文ESP 尾ESP 头密文验证密钥ESP 头密文载荷数据 TCP 原始IP头原始IP包验证算法IKE IKE（Internet Key Exchange）RFC 2409 使用Diffie-Hellman交换完善的前向安全性 UDP端口500IKE的作用在不安全的网络上安全地分发密钥，验证身份为IPSec提供了自动

50、协商交换密钥、建立SA的服务定时更新SA 定时更新密钥允许IPSec提供反重播服务IKE与IPSec的关系IKETCP UDPIPSecIKETCP UDPIPSec加密的加密的IPIP报文报文IP IPIKE IKE 的的SA SA 协商协商SA SASA SAIKE协商的两个阶段阶段一在网络上建立一个IKE SA，为阶段二协商提供保护主模式（Main Mode）和野蛮模式（Aggressive Mode）阶段二在阶段一建立的IKE SA 的保护下完成IPSec SA 的协商快速模式（Quick Mode）Cookie IKE交换开始时，双方的初始消息都包含一个Cookie

展开阅读全文