《CCNP ROUTE 300-101认证考试指南》——2.8节IPSec

2.8 IPSec
CCNP ROUTE 300-101认证考试指南
DMVPN中的安全性由IPSec提供。IPSec提供以下4个安全特性。

关键

保密性:数据的保密性通过加密数据来实现。就算第三方截取了加密的数据也不能对数据进行解释。
完整性:数据完整性负责保证数据在传输的过程中不被修改。例如隧道两端的路由器可以计算数据的校验和或哈希值。如果两台路由器计算的结构相同,就表示在传输中数据没有被修改。
认证:数据认证要求参与会话的双方认证另一方符合其所申明的身份。
反重放:IPSec使用反重放保护来确保发送出去的数据包不是复制的数据包。例如,攻击者可以截取已合法登录主机的数据包并尝试重发这些数据包,这样就能获取主机的访问权限。然而IPSec使用序列号来确定哪一个数据包是重复的,且任何重复包都不会被传输。
在以上IPSec服务中,加密和认证在DMVPN网络中尤其有用。例如,加密可以保护站点之间的流量(不论是通过Internet传输,还是通过服务提供商网络传输)。认证能保证不与不期望的分支动态建立GER隧道。

IPSec使用一些协议来提供相应特性。IPSec使用的一个主要协议是Internet密钥交换(IKE)协议。具体地说,IPSec可以使用加密密钥为通过认证的对等体提供加密,加密密钥周期性改变。不过IKE也允许管理员手动配置密钥。

建立IPSec隧道有两个阶段。在IKE阶段1,建立ISAKMP(Internet安全关联和密钥管理协议)会话。作为此阶段的一部分,IPSec端点建立转换集(一个加密和认证协议的集合)、哈希算法和其他建立安全ISAKMP会话(有时也叫做ISAKMP隧道或IKE阶段1隧道)所需的参数。这些参数的集合被称为一个SA(安全关联)。在IKE阶段1,SA是双向的,意味着数据流在隧道两个方向传输都使用相同的密钥交换。

IKE阶段2在IKE阶段1所建立的隧道的保护下进行交互。IKE阶段2所建立的会话有时叫做IKE阶段2隧道,或简称为IPSec隧道。然而不像IKE阶段1,IKE阶段2只进行单向SA协商,意味着每个数据流使用独立的密钥交换。

除了建立IPSec隧道的IKE之外,IPSec也依靠AH(认证包头)协议(IP协议号51)或ESP(封装安全载荷)协议(IP协议号50)。AH和ESP都提供源点的认证和完整性服务,这保证IPSec对等体符合其所申明的身份,且数据在传输过程中不会被修改。

AH和ESP的主要区别是对加密的支持。ESP加密原始数据包,AH不提供加密。因此ESP在现在的网络中更流行。

AH和ESP都具有传输模式或隧道模式这两个工作模式。图2-10说明了ESP传输模式的数据包结构与ESP隧道模式的数据包结构。

以下是两种模式的具体描述。

关键

传输模式:传输模式使用数据包的原始IP头部,而不是增加额外的隧道头部。如果增加数据包的大小可能导致网络问题,那么在这种环境中这种方式可以很好地工作。传输模式经常被用在“客户到站点”VPN中,也就是运行VPN客户端软件的PC连接中心位置的VPN终端设备。
隧道模式:隧道模式与传输模式不同,它需要封装整个数据包。因而封装后的数据包就会有新的头部(即IPSec头部)。新头部的源和目的IP地址对应着不同站点的两个VPN终端设备。因此隧道模式常用在IPSec“站点到站点”VPN中。
建立、维护及断开IPSec站点到站点VPN由5个主要步骤构成,如图2-11所示,具体步骤如下所示。

步骤1 PC1向PC2发送流量。路由器1将流量分类为“感兴趣”流,然后开始初始化IPSec隧道的建立过程。

步骤2 路由器1和路由器2协商用来建立IKE阶段1隧道的SA(安全关联),这个隧道也被称为ISAKMP隧道。

步骤3 在IKE阶段1隧道的保护下,双方协商并建立IKE阶段2隧道。IKE阶段2隧道即为IPSec隧道。

步骤4 在IPSec隧道建立后,感兴趣流(比如通过ACL分类的流量)就会经过为流量提供保护的IPSec隧道。注意PC1和PC2之间仍可以发送非感兴趣流,只不过非感兴趣流不受IPSec隧道的保护。

步骤5 在一段特定的时间后没有感兴趣流或IPSec SA被删除后,IPSec隧道断开。

即使配置IPSec超过了ROUTE课程的范围,读者也应该熟悉show crypto ipsec sa命令的输出信息,这条命令可以查看IPSec对等体的SA协商信息。例2-4显示了这条命令的示例输出。

关键

在例2-4中,30.1.1.1和30.1.1.2之间建立了IPSec隧道,这条隧道存在于网络10.1.1.0/24和20.1.1.0/24之间。ACL指明(即允许)了应该使用IPSec隧道传输的流量。使用ESP(封装安全载荷)或3DES(三重数据加密标准)进行加密,使用MD5(消息摘要5)进行认证。

时间: 2024-11-02 04:11:53

《CCNP ROUTE 300-101认证考试指南》——2.8节IPSec的相关文章

《CCNP安全防火墙642-618认证考试指南》——2.6节配置文件

2.6 配置文件 CCNP安全防火墙642-618认证考试指南 关键ASA设备可以在其flash存储内保存一份"启动(startup)"配置文件,当设备重启或断电时,启动配置文件内的配置命令不会发生丢失.一旦ASA设备开始启动,它将把启动配置文件内的命令复制到RAM(易失性)内存中作为"运行(running)"配置文件.完成启动后,被输入或复制到运行配置文件的命令将立即执行并生效. 输入命令show startup-config可以查看启动配置文件的内容,如例2-9

《CCNP安全防火墙642-618认证考试指南》——2.3节使用CLI

2.3 使用CLICCNP安全防火墙642-618认证考试指南网络安全工程师经常需要对防火墙的安全策略和配置进行修改.另外,在日常维护工作中,防火墙的行为需要被监控,防火墙处理穿越其自身的流量的行为也需要执行故障排除.为了更好地完成以上任务,ASA设备为管理用户提供了以下与之交互的连接方式. 通过异步Console线缆连接到CLI.通过Telnet会话连接到CLI.通过安全壳(SSH)版本1.x或版本2连接到CLI.通过Web浏览器连接到自适应安全设备管理器(ASDM).除了以上所介绍的,管理员

《CCNP安全VPN 642-648认证考试指南(第2版)》——1.1节“我已经知道了吗?”测试题

1.1 "我已经知道了吗?"测试题CCNP安全VPN 642-648认证考试指南(第2版)在开始学习本章的内容之前,读者可以通过"我已经知道了吗?"测试题来确定自己对本章主题的掌握程度.表1-1详细列出了本章讨论的主题以及对应的测试题. Which of the following are available VPN connection methods on the ASA? (Choose all that apply.)下面哪些是ASA上可用的VPN连接方法?

《CCNP安全Secure 642-637认证考试指南》——2.8节填空

2.8 填空 CCNP安全Secure 642-637认证考试指南 1.Politics within an organization can cause a lack of within the security policies.企业或组织内部的争斗倾轧可能导致安全策略缺乏 . 2.A good disaster recovery plan must include contingencies for both and security breaches.一份完备的灾难恢复计划必须同时考虑

《CCNP安全Secure 642-637认证考试指南》——6.10节填空

6.10 填空 CCNP安全Secure 642-637认证考试指南 1. is an IEEE standard that provides a framework for authenticating and authorizingnetwork devices connected to LAN ports and for preventing access in theevent that the authentication fails. 标准是一种基于端口的访问控制架构,它对连接到局域

《CCNP安全Secure 642-637认证考试指南》——8.3节路由式数据面安全技术

8.3 路由式数据面安全技术 CCNP安全Secure 642-637认证考试指南 接下来,我们将讨论各种安全技术的原理及其实施方法. 8.3.1 访问控制列表 访问控制列表(Access Control List,ACL)是一种指令列表,一般由若干个ACL条目(ACL entry)组成,用于控制进出路由器接口的数据包.当数据包到达接口时,路由器自上而下搜索ACL中是否存在匹配的条目,以决定允许还是拒绝数据包通过. ACL可以防御多种攻击,与其他安全措施配合使用能进一步提高网络的安全性.无论是中

《CCNP安全Secure 642-637认证考试指南》——6.1节摸底测验

6.1 摸底测验 CCNP安全Secure 642-637认证考试指南 摸底测验有助于读者了解自己目前的知识水平并制订相应的学习计划.如果需要从头至尾阅读本章内容,则可以暂时跳过摸底测验. 摸底测验包括10道题,均取自本章"基础知识点"中的内容.读者可以将该测验作为分配学习时间的辅助手段. 表6-1列出了本章的主要知识点以及相应的摸底测验题号. 注意: 摸底测验旨在评估读者对本章内容的掌握程度.如果答错了某道题目或对某道题目有疑问,请将其标记为错误.不要将没有把握的题目一笔带过,这样会

《CCNP安全VPN 642-648认证考试指南(第2版)》——5.10节配置无客户端的SSL VPN的单点登录

5.10配置无客户端的SSL VPN的单点登录 CCNP安全VPN 642-648认证考试指南(第2版) 单点登录(SSO)可以解决用户在第一次成功地登录到SSL VPN后,当访问内部资源时不得不重新输入他们的登录凭证的问题.ASA在远程用户和服务器之间承当验证代理的角色以实现SSO的功能.当用户在SSL VPN的登录页面上提交他们的凭证后,ASA将账户信息发送给验证/应用程序服务器,如果验证成功的话,服务器返回一个cookie.接着ASA使用这个cookie作为用户访问被SSO服务器保护的域资

《CCNP安全VPN 642-648认证考试指南(第2版)》——1.3节支持VPN的协议

1.3 支持VPN的协议 CCNP安全VPN 642-648认证考试指南(第2版) 正如本小节的标题所点明的,下面将介绍不同的协议,这些协议可以独立工作,也可以一起工作,它们为远程用户和远程站点访问公司的内部资源提供了一个安全的隧道和数据传输的方法.不过,这种访问方法是以一种无需危害内部安全策略的方式实现的.当你学习本书的其余的章节和配置示例时,请注意每种协议的角色和它们是如何工作的,从而提供了VPN连接的整体方法. 1.3.1 对称和非对称密钥算法 下面的小节将讨论IPSec.SSL/TLS和

《CCNP安全VPN 642-648认证考试指南(第2版)》——8.4节配置第一个全隧道的AnyConnect SSL VPN解决方案

8.4配置第一个全隧道的AnyConnect SSL VPN解决方案 CCNP安全VPN 642-648认证考试指南(第2版) 关键在ASA设备上配置第一个全隧道的AnyConnect SSL VPN时,在远程用户连接到设备并且开始使用连接访问内部资源之前,你必须先完成一些步骤. IP地址:ASA设备的外部接口和内部接口需要一个IP地址(堡垒区域[DMZ]或者其他内部网络的接口可能也需要一个IP地址).因此,你必须对公司的IP地址策略有适当的了解,以完成本步骤并且给设备接口分配所需的地址. 启动