IPSec隧道协议学习(一)

news2024/11/20 15:36:52

前情回顾

  • 前面介绍的GRE隧道协议,可以字LAN之间通过Internet建立隧道,实现网络间资源共享,但是GRE隧道协议不能实现加密功能,传输的数据不受加密保护,为了实现在隧道间传输数据包收到加密保护,需要使用IPSec隧道协议

什么是LAN

在这里插入图片描述

VPN提供的安全服务有哪些方面

  • 机密性
  • 完整性(即传输的数据不被修改)
  • 验证服务

VPN可以在哪些层上实现

  • 链路层,例如:点对点隧道协议(PPTP)
  • 二层转发,例如:二层转发协议(L2FP)、二层隧道协议(L2TP)
  • 网络层,例如:IP安全协议(IPSec)
  • 传输层,例如:安全套接字协议(SSL)

IPSec隧道协议

简介

  • 一种开放标准的安全框架结构
  • 基于AH、ESP等安全协议的基础上网络层隧道协议

在这里插入图片描述

使用特性

  • 在两台设备之间开始传递数据之前,他们之间通过协商,建立安全联盟(SA)搭建传递数据的安全通道,采用的协议方法可以是手工配置或者采用标准的IKE(Internet Key Exchange)协议方式

IPsec中的两个安全协议

  • 鉴别首部AH协议,提供源点身份鉴别和数据完整性检查,但是不提供保密
  • ESP除了提供AH那两种特性外海提供了保密功能

常用术语
对等体:参与Ipsece的设备亦或者其他设备,例如网关路由器、计算机
安全联盟
安全参数索引
安全联盟生命周期
交换集
加密映射条目

IPSec连接过程

IPSec启动

  • 一个对等体向两一个对等体发送需要保护的数据流量时,则IPSec进程自动启动,也可以通过手动启动

建立管理连接(IKE SA)

  • 启动IPSec进程后,首要做的事情就是建立IKE安全联盟,即建立管理连接,在这个阶段完成的主要任务如下:
策略协商
  • 确认采用什么样的加密方法(AES-256,AES-192等等),采用 什么样的完整性检查方法(SHA1、MD5),采用什么样的验证方法(KerberosV5、证书或预共享秘钥),采用什么样的创建秘钥方法(DH Group14、DH Group2等)
验证身份
交换参数并创建管理秘钥
  • IKE的一个主要特征就是不在网络上传递秘钥,只在网络传递创建秘钥需要的相关参数,然后由通信双方计算机依据交换的相关参数分别产生相同管理秘钥,管理秘钥主要用于对管理连接中交换的数据加密和解密。

建立数据连接(IPSec SA)

  • 完成IKE安全联盟建立之后,可以创建IPSec数据连接,在这个阶段主要任务:
策略协商
  • 去顶IpSec采用什么安全协议(AH、ESP等)、完整性与验证方法采用什么样的散列方法(MD5、SHA1等),采用什么样的加密方法(AES-256,AES-192等等)
创建会话秘钥
将SA、秘钥以及安全参数索引SPI应用于驱动程序
  • SPI是每对SA的标志符、每对SA有唯一的SPI值

传输数据

IPSec配置

  • IPSec配置是为了建立IPSec安全联盟

两种方式

  • 手工配置IPSec安全联盟,手工配置的不需要IKE介入,加密秘钥由管理员手工设置,但是需要指定更多的参数,安全性低
  • 通过IKE协商创建配置IPSec安全联盟,这里面的加密秘钥是由IKE产生,但是需要对IKE参数进行配置,加密秘钥可以定期自动协商更新,安全性较高

IPSec配置过程中主要有以下任务

  • 创建加密访问列表
  • 定义变换集
  • 创建加密映射条目
  • 将加密映射条目应用到接口上
  • 配置默认生命周期
  • 监视和维护IPSec

下次再记录配置的过程

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2165941.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

贷款并非只看利息低,还有很多你知不道的地方

贷款这事儿,听起来像是天上掉馅饼,只要付点利息钱就能轻松拿到钱花,但实际上,它可是个需要精打细算的大工程。咱们得明白,贷款不只是利息那么简单,本金加利息,一个子儿都不能少还。所以&#xf…

B-树(不是B减树)原理剖析(1)

目录 B树的主要特性: B树的操作: B树的优点: 为什么要发明出B-树? B树的概念和原理剖析 原理图讲解(部分讲解在图中) 初始化结点: 处理数据数量计算(了解) 底层代码实现(加深理解) 前些日子我们学了AVl树&…

等保测评新趋势:企业如何领跑网络安全赛道

在当今数字化转型浪潮中,信息安全等级保护(简称“等保”)测评作为衡量企业网络安全管理水平的重要标尺,正随着网络环境的复杂度提升和法律法规的不断完善而持续进化。本文旨在深入剖析等保测评的最新趋势,并为企业提供…

【论文阅读】StoryMaker | 更全面的人物一致性开源工作

文章目录 1 Motivation2 背景 相关工作 Related work3 Method 方法4 效果 1 Motivation 背景是 Tuning-free personalized image generation methods无微调的个性化图像生成方式在维持脸部一致性上取得了显著性的成功。这里我不是很了解 然而,在多个场景中缺乏整…

iptables和nftables

什么是 nftables ? 它与 iptables 的区别是什么? 几乎每个 Linux 管理员都使用过 iptables,它是一个 Linux 系统的防火墙。但是你可能还不太熟悉 nftables,这是一个新的防火墙,可为我们提供一些必需的升级,还有可能会…

OJ在线评测系统 前端开发整合开源组件 Monaco Editor 并且开发创建题目页面

前端开发整合Monaco Editor 微软官方的 npm install monaco-editor 下载兼容版本 npm install monaco-editorlatest 代码编辑器 先把编辑器本身安装好monaco-editor 安装插件 npm install monaco-editor-webpack-plugin 这个插件的作用是把我们的代码编译器和webpack打包在…

Jenkins使用git和maven编写流水线

1、写git流水线 初识流水线。从git上拉取代码到虚拟机。 【第一步:创建一个新的流水线】 【第二步:定义名字】 点击下方ok! 【第三步:添加代码描述】 【第四步:编写流水线代码,如果忘记了,参…

前端框架对比与选择

🤖 作者简介:水煮白菜王 ,一位资深前端劝退师 👻 👀 文章专栏: 前端专栏 ,记录一下平时在博客写作中,总结出的一些开发技巧✍。 感谢支持💕💕💕 目…

功能测试详解

🍅 点击文末小卡片,免费获取软件测试全套资料,资料在手,涨薪更快 一、测试项目启动与研读需求文档 (一) 组建测试团队 1、测试团队中的角色 2、测试团队的基本责任 尽早地发现软件程序、系统或产品中所…

HarmonyOS鸿蒙开发实战(5.0)自定义路由栈管理

鸿蒙HarmonyOS NEXT开发实战往期文章必看(持续更新......) HarmonyOS NEXT应用开发性能实践总结 HarmonyOS NEXT应用开发案例实践总结合集 最新版!“非常详细的” 鸿蒙HarmonyOS Next应用开发学习路线!(从零基础入门…

中伟视界:AI算法如何精准识别井下与传送带上堆料,提升矿山安全生产效率,减少事故风险

传送带堆料分为两种情况,一种是传送带的井下堆料检测AI算法,一种是传送带上面的堆料检测AI算法,传送带井下堆料检测AI算法是在带式输送机的漏煤下方井下安装摄像仪,通过视频分析检测井下堆煤情况,当洒煤堆积到一定程度…

31214324

📢博客主页:https://blog.csdn.net/2301_779549673 📢欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正! 📢本文由 JohnKi 原创,首发于 CSDN🙉 📢未来很长&#…

T-Mobile AI客户服务:客户体验的新时代

目录 IntentCX的诞生利用AI的力量多方面的合作Nvidia的贡献客户服务的范式转变超越客户服务电信中AI的未来 T-Mobile宣布与著名的人工智能研究实验室OpenAI建立战略合作伙伴关系,这一开创性的举动旨在通过利用AI的力量来彻底改变公司的客户服务运营。 IntentCX的…

《解锁高效流程设计:深度剖析责任链模式与实战应用》

《解锁高效流程设计:深度剖析责任链模式与实战应用》 责任链模式 是一种行为设计模式,它允许多个对象来处理请求,而不预先指定具体的处理者。多个处理对象被连接成一条链,沿着这条链传递请求,直到某个处理对象决定处理…

【前端 25】

Ant Design框架使用教程:构建高效美观的React应用 引言 Ant Design 是一套企业级的 UI 设计语言和 React 组件库,主要用于开发和服务于企业级后台产品。它基于 React,并遵循 Ant Design 设计规范,提供了大量高质量、易用的 React…

Spring Boot集成Milvus快速入门demo

1.什么是Milvus? Milvus 是一种高性能、高扩展性的向量数据库,可在从笔记本电脑到大型分布式系统等各种环境中高效运行。它既可以开源软件的形式提供,也可以云服务的形式提供。 Milvus 是 LF AI & Data Foundation 下的一个开源项目&…

计算机的错误计算(一百零四)

摘要 计算机的错误计算(二十七)引入了错数概念。本节给出更为严格的证明。 本节主要讨论表达式计算结果中错误有效数字的数量,简称之为错数。因为0不含有有效数字,因此,除非特别说明,否则,本节…

【Go】-Websocket的使用

目录 为什么需要websocket 使用场景 在线教育 视频弹幕 Web端即时通信方式 什么是web端即时通讯技术? 轮询 长轮询 长连接 SSE websocket 通信方式总结 Websocket介绍 协议升级 连接确认 数据帧 socket和websocket 常见状态码 gorilla/websocket实…

10-pg内核之锁管理器(五)行锁

概念 数据库采用MVCC方式进行并发控制,读写并不会互相阻塞,但是写之间仍然存在冲突。如果还是采用常规锁那样加锁,则会耗费大量共享内存,进而影响性能。所以行锁通过元组级常规锁和xmax结合的方式实现。一般先通过xmax进行可见性…

Unity 新导航寻路演示(2)

对于静态场景来说,只需要3步 1.为场景Ground添加网格表面组件并烘焙 2.为player添加导航代理 using System.Collections; using System.Collections.Generic; using UnityEngine; using UnityEngine.AI;public class PlayerMove : MonoBehaviour {private NavMes…