IPSEC 虚拟私有网

最新推荐文章于 2025-06-27 20:01:45 发布
原创 最新推荐文章于 2025-06-27 20:01:45 发布 · 667 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#p2p #网络 #服务器

IPSEC协议簇安全框架

需求背景

IPSec VPN简介

IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。

IPSec协议的设计目标:是在IPV4IPV6环境中为网络层流量提供灵活的安全服务。

IPSec VPN是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

IPSec提供的安全服务

IPSec协议族安全体系框架

IPSec协议族

IPSEC工作模式

传输模式(Transport mode)

主要应用场景:经常用于主机和主机之间端到端通信的数据保护。

封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据。

隧道模式(Tunnel mode)

主要应用场景:经常用于私网与私网之间通过公网进行通信,建立安全VPN通道。

隧道模式(Tunnel mode)

封装方式:增加新的IP(外网IP)头,其后是ipsec包头,之后再将原来的整个数据包封装。

IPSEC通信协议

通信保护协议AH

AH(Authentication Header,认证报头):

AH提供的安全服务:

AH不提供任何保密性服务:它不加密所保护的数据包。

不论是传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTLTOS字段)。

AH

AH在传输模式下封装

 

AH在隧道模式下封装

ESP

ESP(Encapsulating Security Payload,封装安全有效载荷):

保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。

数据流保密由隧道模式下的保密服务提供。

ESP通常使用DES3DESAES等加密算法实现数据加密,使用MD5SHA1来实现数据完整性认证。

ESP

ESP在传输模式下封装

ESP在隧道模式下封装

AHESP对比

安全特性

AH

ESP

协议号

51

50

数据完整性校验

支持

支持(不验证IP头)

数据源验证

支持

支持

数据加解密

不支持

支持

抗重放服务

支持

支持

NAT-TNAT穿越)

不支持

支持

 IPSEC建立阶段

 •IKE协商阶段

安全联盟SA

定义:

SASecurity Association)是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA

SA由三元组来唯一标识 ,包括:

IKE的产生背景

IPSec保护一个IP包之前,必须先建立安全联盟(SA

IPSec的安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时,手工配置将非常困难,而且难以保证安全性。这时就可以使用IKEInternet Key Exchange)自动进行安全联盟建立与密钥交换的过程。Internet密钥交换(IKE)就用于动态建立SA,代表IPSecSA进行协商。

IKE的用途

IKEIPSec协商生成密钥,供AH/ESP加解密和验证使用。

在IPSec通信双方之间,动态地建立安全关联(SASecurity Association),对SA进行管理和维护。

IKEAH/ESP之间关系

IKE工作过程

IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟:

第一阶段交换:通信各方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,即ISAKMP SA(也可称为IKE SA)。第一阶段交换有两种协商模式:                                   

主模式协商   

野蛮模式协商

第二阶段交换:用已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA产生真正可以用来加密数据流的密钥IPSec SA用于最终的IP数据安全传送。

IKE阶段1

IKE阶段1协商过程

IKE阶段--主模式协商

IKE阶段1--主模式交互过程

主模式下IKEv1采用3个步骤6条ISAKMP消息建立IKE SA。下面是以10.0.1.223主动发起IKE协商为例的整个数据构成:

 

IP-_
关注
数据传输安全(二)
Piwrim的博客
01-03 5466
IPSEC协议簇安全框架
关于IPSec VPN 的详细配置与讲解
weixin_74749868的博客
10-14 1万+
IPSec(Internet Protocol Security)是一套用于互联协议(IP)层的安全协议组合,旨在保护IP通信的安全性。它通过认证、加密和数据完整性验证来确保数据在传输过程中的机密性和完整性。IPSec可以在IPv4和IPv6网络中使用,广泛应用于虚拟专用网络(VPN)和安全站点间通信。
广域上的两个没有公IP的内机器之间可以运行strongswan吗? (by quqi99)
最新发布
技术并艺术着
06-27 223
strongswan是site-to-site类型的, 一般要求两端都有公IP, 要是没有公IP怎么办?例如: 机器beijing位于北京的一个内(如IP=192.168.2.2/24), 机器guangzhou位于广州的一个内(如IP=192.168.3.2/24)里. beijing与guangzhou两台机器都位于NAT后, 且这两个机器都没有公IP, 这种情况可以运行strongswan将192.168.2.0/24与192.168.3.0/24两个子连通吗?不必打开UDP端口50。
vpn定义
热门推荐
weixin_66781330的博客
06-09 1万+
vpn定义
RouterOS通过IPsec隧道实现互访
routeros专栏
06-18 9887
IPSec 的两种工作模式:隧道(ip tunnel)模式和传输(ip transport)模式。简单的来说,隧道模式用于关和关之间的点对点连接;传输模式用于关和电脑之间的点对点连接。具体的请自行百度。 本教程主要是RouterOS(以下简称ROS)通过IPsec隧道模式(IP tunnel)实现点对点互连。 一、网络拓扑 以下是一个使用 ROS实现IPsec点对点互连的案例。 ...
vowfi中IPSEC port 500、4500端口解释
qq_25467441的博客
08-22 1377
是 Internet Security Association and Key Management Protocol (ISAKMP)刚开始用500,后面对方监测到有NAT,马上就把端口改到4500,同时追加UDP封装到IKE和ESP上面。2.UDP PORT 4500是 UDP-encapsulated ESP and IKE端口号。关于IPSEC 500、4500端口的问题,经过查阅相关RFC,做以下澄清。标准IPSEC建立过程中,只有500,没有4500。
IPSec虚拟专用原理及基础配置实例
看清所以看轻
11-07 1696
一、虚拟专用相关概念。 1.vpn的定义 vpn:英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。vpn通常拿来做2个事情,一个是可以让世界上任意2台机器进入一个虚拟的局域中(当然这个局域的数据通讯是加密的,很安全,用起来和一个家庭局域没有区别),一个是可以用来翻墙。 2.vpn的作用 (1)通过使用加密技术防止数据被窃听 (2)通过数据完整性验...
在GNS3上模拟出虚拟私有网络(GRE与IPsec
Steward_的博客
10-14 779
#GRE ##实验背景: R1,R5为两间私有公司,R2,R4分别为该公司的边界路由器,R3为internet,现配置GRE协议,实现R1能够访问R5内 实验拓扑 ##实验步骤 1, 配置网络底层 R1,R5配置,以R1为例 R2,R4边界路由器的配置,以R2为例 配置默认路由 R3配置: 这时,R2是能ping通R4,实现公有能访问 R1是ping不通R5的 2, 配置隧道 进入...
网络安全技术虚拟私有IPSec Sangfor)详解及解决方案
HHH's Blogs
07-28 4356
VPN IPSec VPN sangfor VPN
HCIE-Security Day43:SSL 虚拟私有网络技术
小梁的博客
08-20 1246
管理员需要从CA中心获取CA证书和客户端证书,CA中心审核通过后,会把CA证书和客户端证书发放给管理员,FW管理员将获取到的CA证书导入到FW,该CA证书用来验证移动办公用户客户端证书的有效性。如果虚拟关没有指定认证域,则虚拟关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定的送往哪个认证域进行认证。FW将用户信息发送给服务器服务器从存放的用户信息中查找用户所属的组,并将用户所属组信息发回给FW,FW依据用户所属组对应的角色权限为该用户授权。
公司IPsec虚拟专用网络技术
qq_37369726的博客
02-05 747
VPN介绍 在公共网络设施上使用Tunneling、加密、解密等技术实现私有网络的连接,各个私有网络在公共网络上不可见。 满足两个条件: 使用共享的公共环境,也就是通过公服务实现各个私有网络的连接 不同的私有网络间不可见 使用场景:和帧中继一样,当公司业务拓展在了其他很远的地区,同时它们又需要访问私有的数据和资源,直接在以太上传输不太安全,用专线传输访问成本太高,帧中继也是要钱的,所以有了...
NGFW_源NAT
qq_27599713的博客
02-12 6414
源NAT是指将报文的源地址进行转换。如图所示,当私地址用户访问Internet时,FW将报文的源地址由私地址转换为公地址。当响应报文返回到FW时,FW再将报文的目的地址转换为私地址。根据原地址转换是否转换端口,源NAT分为仅源地址转换的NAT(NAT No-PAT),源地址和源端口同时转换的NAT(NAPT,Smart NAT,Easy IP,三元组NAT)。
最好的BGP路由黑洞解决方案----MPLS
暖风吹起云之博客
03-18 5475
如何解决BGP路由黑洞: 1.包交换和标签交换 2.当下MPLS存在的意义 3.MPLS的工作过程 4.MPLS的标签号和次末跳 5.MPLS的配置实验
RouterOS间的基情——IPsec×××
weixin_33857230的博客
04-05 494
前言: 很久不更新博客了,一直懒得写,最近无聊写写看,本文完全原创;无水印,无授权,欢迎转载,只是麻烦转载时注明下出处!据我所知,网络上应该没有如此详细的ROSIPSEC教程; 这几天一直在学习Juniper设备的IPsec×××,突发奇想,作为异常牛逼的职业路由器,伟大的RouterOS应该也可以实现;开始动手…… 实验环境 虚拟机:VMwareWor...
防火墙基础之华为防火墙分支与分支IPSec 对接
晚风挽着浮云的博客
09-19 3859
原理概述:指采用来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
ipsec 唯品会
小翟的博客
08-28 7957
ipsec 唯品会期待您的光临
ROS 7上实现私互通方案
yes_is_ok的博客
08-06 995
通过IPsec的粗暴模式,部署gre通信,完成ospf的动态路由搭建,实现单点固定公ip的两个私互通的能力
基于ensp的mpls的解决bgp域内黑洞及MPLS VPN的应用
Mr_LTR的博客
04-07 1098
这是我们本次实验的要求基于要求,我们设计的拓扑为:本次实验没有ip的具体要求:注意:在MPLS VPN中两个私域的ip可以是相同的,为了验证实验我们可以设置不一样,然后在测试的时候可以有区别,比如在R5上配置4.1环回,在R7配置4.2环回,然后我们使用R1ping4.1通,4.2不通。在各个路由器ip配置完成后。
[翻译]TCP穿透NAT技术
02-09 1511
原文:http://nutss.gforge.cis.cornell.edu/pub/imc05-tcpnat/ 译者:云中哈哈 翻译开始时间:2007.1.22 译文: Abst
IPSec 虚拟专用的机制原理
05-25
IPSec(Internet Protocol Security)是一种网络安全协议,用于在公共网络上实现虚拟专用网络(VPN)。它通过加密和身份验证来保护通信,防止敏感数据被窃听、篡改或伪造。 IPSec VPN的机制原理如下: 1. 认证:IPSec使用数字证书或预共享密钥来验证连接的两端身份。这可以确保连接的两端都是授权的用户或设备。 2. 加密:IPSec使用加密算法对传输的数据进行加密。这可以防止敏感数据在传输过程中被窃听或篡改。 3. 安全关联(SA):IPSec使用SA来定义加密和认证参数,如加密算法、密钥长度和身份验证方法等。SA由连接的两端协商后建立。 4. 隧道模式:IPSec使用隧道模式将整个IP数据包加密并传输,而不是只加密数据部分。这可以确保整个数据包都是安全的,而不是只有数据部分。 5. NAT穿透:IPSec可以穿透NAT(网络地址转换)设备,以便在不同的私有网络之间建立VPN连接。 总的来说,IPSec通过使用加密和身份验证来保护通信,同时使用SA和隧道模式来确保通信的安全性和完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值