ikev2 ikev1_AIX 6.1或更高版本与Windows 2012之间的IKEv1 IPsec隧道

最新推荐文章于 2025-07-08 11:54:50 发布
翻译 最新推荐文章于 2025-07-08 11:54:50 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.ibm.com/developerworks/aix/library/au-aix-ipsec-tunnel-config-2/index.html
文章标签:

#java #python #操作系统 #linux #安全

本文详细介绍了在IBM AIX与Microsoft Windows 2012系统间使用预共享密钥及证书建立IPsec隧道的过程。通过教程,读者可以了解到在不同操作系统间配置IPsec安全性以保护网络数据的具体步骤。

顾名思义,Internet协议安全性(IPsec)在Internet协议(IP)层提供安全性。 本教程需要基本了解什么是IPsec,以及如何将其用于保护网络上的数据。 您可以参考知识中心或其他资源(如Wiki)来了解IPsec。

本教程讨论了在IBM®AIX®(6.1 / 7.1 / 7.2)和Microsoft Windows 2012系统之间建立IPsec隧道的两种不同方法。 这些方法涉及在AIX和Windows系统之间使用IKEv1的预共享密钥和证书。 表1简要描述了本教程中涉及的主要主题及其含义。

表1.涵盖的主要主题
内容 描述
术语和假设 本节提供有关本教程中使用的重要术语的注释,以及一些配置设置的假设。
使用预共享密钥的IKEv1隧道 本部分说明了要在AIX上更新的必需的Internet密钥交换(IKE)XML文件。 它还详细说明了如何在Windows 2012上针对IKEv1使用GUI。
使用证书的IKEv1隧道 本节说明了在AIX上更新所需的IKE XML文件。 Windows 2012上几乎所有要执行的步骤都与“ 使用预共享密钥的IKEv1隧道 ”部分中提到的步骤相同。 这两种方法在Windows上仅一步之遥。 本节仅突出显示此单个步骤。

术语和假设

本节说明了一些术语,例如发起方和响应方,并重点介绍了本教程所基于的一些假设。

  • 在本教程中,出于说明目的,我们提到了AIX系统的IP为1.1.1.1,Windows系统的IP为2.2.2.2。 这些需要替换为您环境中的相应IP。
  • 源和目标系统矩阵:
    表2.源和目标IP
    系统 包方向 资源 目的地
    在AIX上 传入 2.2.2.2(Windows) 1.1.1.1(AIX)
    在AIX上 外向 1.1.1.1(AIX) 2.2.2.2(Windows)
    在Windows上 传入 1.1.1.1(AIX) 2.2.2.2(Windows)
    在Windows上 外向 2.2.2.2(Windows) 1.1.1.1(AIX)

    源始终是创建和发送数据包的系统。 目的地始终是接收目的地的系统。 该表(表2)需要从左到右读取。 例如,第一行的解释如下:

    在“ AIX”系统上,当数据包“传入”时,数据包中提到的源是“ 2.2.2.2(Windows)”,此数据包中提到的目的地是“ 1.1.1.1(AIX)”

  • 发起者是发起隧道连接的系统,响应者是响应发起者请求的系统。

    Windows或AIX系统都可以作为启动器。 您可以通过ping通或与AIX通信从Windows激活隧道。 或者,您可以在AIX上运行ike cmd=activate命令,隧道将处于活动状态。 如果这些方法之一不起作用,请尝试其他方法。

  • 对于此设置,您需要在AIX上配置IPsec设备。

    在AIX上运行lsdev -Cc ipsec命令将显示ipsec_v4设备可用。 否则运行smitty ipsec4

    在“ smitty”面板中:

    1. 选择“ 启动/停止IP安全” ,然后按Enter。
    2. 选择“ 启动IP安全性” ,然后按Enter。
    3. 在下一个屏幕上,保留默认设置,然后按Enter。
    4. 在“命令状态”屏幕上,消息ipsec_v4 Available表示设备已成功配置。

使用预共享密钥在AIX和Windows之间建立IKEv1隧道

需要在AIX系统上创建以下XML文件。 我们将其命名为AIX-Windows-PreShared-IKEv1.xml。 使用以下命令将此XML文件添加到AIX上的IKE数据库: 

/usr/sbin/ikedb -x
/usr/sbin/ikedb -p AIX-Windows-PreShared-IKEv1.xml


<?xml version="1.0"?>
<AIX_VPN
      Version="2.1">
   <IKEProtection
         IKE_Role="Both"
	       IKE_Version="1"
         IKE_XCHGMode="Main"
         IKE_KeyOverlap="10"
         IKE_Flags_UseCRL="No"
         IKE_ProtectionName="P1Pol"
         IKE_ResponderKeyRefreshMaxKB="200"
         IKE_ResponderKeyRefreshMinKB="1"
         IKE_ResponderKeyRefreshMaxMinutes="1440"
         IKE_ResponderKeyRefreshMinMinutes="60">
      <IKETransform
            IKE_Encryption="3DES-CBC"
            IKE_Hash="SHA"
            IKE_DHGroup="1"
            IKE_AuthenticationMethod="Preshared_key"
            IKE_KeyRefreshMinutes="240"/>
   </IKEProtection>
   <IKETunnel
         IKE_TunnelName="P1"
         IKE_ProtectionRef="P1Pol"
         IKE_Flags_AutoStart="Yes"
         IKE_Flags_MakeRuleWithOptionalIP="No">
      <IKELocalIdentity>
         <IPV4_Address
               Value="1.1.1.1"/>
      </IKELocalIdentity>
      <IKERemoteIdentity>
         <IPV4_Address
               Value="2.2.2.2"/>
      </IKERemoteIdentity>
   </IKETunnel>
   <IKEPresharedKey
         Value="12345"
         Format="ASCII">
      <IKEPresharedRemoteID>
         <PK_IPV4_Address
               Value="2.2.2.2"/>
      </IKEPresharedRemoteID>
   </IKEPresharedKey>
   <IPSecProposal
         IPSec_ProposalName="P2Prop">
      <IPSecESPProtocol
            ESP_Encryption="ESP_3DES"
            ESP_KeyRefreshKB="0"
            ESP_Authentication="HMAC-SHA"
            ESP_ExtendedSeqNum="0"
            ESP_EncapsulationMode="Transport"
            ESP_KeyRefreshMinutes="30"/>
   </IPSecProposal>
   <IPSecProtection
         IPSec_Role="Both"
         IPSec_KeyOverlap="10"
         IPSec_ProposalRefs="P2Prop "
         IPSec_ProtectionName="P2Pol"
         IPSec_InitiatorDHGroup="0"
         IPSec_ResponderDHGroup="NO_PFS"
         IPSec_Flags_UseLifeSize="No"
         IPSec_Flags_UseCommitBit="No"
         IPSec_ResponderKeyRefreshMaxKB="200"
         IPSec_ResponderKeyRefreshMinKB="1"
         IPSec_ResponderKeyRefreshMaxMinutes="43200"
         IPSec_ResponderKeyRefreshMinMinutes="30"/>
   <IPSecTunnel
         IKE_TunnelName="P1"
         IPSec_TunnelName="P2"
         IPSec_ProtectionRef="P2Pol"
         IPSec_Flags_OnDemand="No"
         IPSec_Flags_AutoStart="Yes">
      <IPSecLocalIdentity
            Port="0"
            EndPort="65535"
            Protocol="0">
         <IPV4_Address_Range
               To_IPAddr="1.1.1.1"
               From_IPAddr="1.1.1.1"/>
      </IPSecLocalIdentity>
      <IPSecRemoteIdentity
            Port="0"
            EndPort="65535"
            Protocol="0">
         <IPV4_Address_Range
               To_IPAddr="2.2.2.2"
               From_IPAddr="2.2.2.2"/>
      </IPSecRemoteIdentity>
   </IPSecTunnel>
</AIX_VPN>

为简单起见,让我们使用以下命令仅启动IKEv1守护程序: 

stopsrc -g ike
startsrc -s tmd ; startsrc -s isakmpd

仅启动isakmpd (IKEv1守护程序)时,不需要启动ikev2d (IKEv2)或iked (代理)守护程序。 仅需要tmd守护程序(隧道管理器守护程序)。

您需要在Windows 2012系统上执行以下步骤来创建IKEv1 IPsec策略。 总体任务可以分为以下五个高级步骤:

  1. 将IPsec管理单元添加到Microsoft管理控制台(MMC)
  2. 创建IPsec策略。
  3. 创建IPsec过滤规则。
    1. 定义IP隧道属性。
    2. 定义身份验证方法。
    3. 定义过滤器动作。
  4. 指定其他与隧道相关的设置。
  5. 分配IPsec策略。

将IPsec管理单元添加到MMC

执行以下步骤,将IPsec管理单元添加到MMC:

  1. 打开MMC。
  2. 单击文件 -> 添加/删除管理单元
    图1. MMC File菜单选项
  3. 从“可用的管理单元”列表中,选择“ IP安全策略管理器” ,然后单击“ 添加” 。 然后,单击确定
    图2.添加“ IP安全策略管理”管理单元
  4. 在“选择计算机或域”对话框中,选择“ 本地计算机” ,然后单击“ 完成”
    图3.选择计算机或域来管理管理单元

    单击完成将带您返回到“添加或删除管理单元”对话框。 单击确定

创建安全策略

执行以下步骤来创建IPsec策略:

  1. 在主控制台中,右键单击“本地计算机上的IP安全策略” ,然后单击“ 创建IP安全策略”
    图4. IPsecurity策略管理单元的右键菜单选项
    图5. IP安全策略向导的欢迎页面
  2. 在“ IP安全策略向导”的欢迎页面上,单击“ 下一步” 。 在“ IP安全策略名称”页面上,单击“ 下一步”创建一个名为Policy1的策略。
    图6. IP安全策略命名
  3. 在“请求安全通信”页面上,单击“ 下一步”
    图7. IP安全策略向导
  4. 在向导完成页面上,选择编辑属性复选框,然后单击完成
    图8. IP安全策略向导完成

创建IPsec过滤规则

执行以下步骤来创建IPsec过滤规则:

  1. 要设置策略属性,请选择右下角的“ 使用添加向导”复选框,然后单击“ 添加”
    图9.将策略属性添加到新创建的策略
  2. 在“ 安全规则向导”的欢迎页面上,单击“ 下一步”
    图10.安全规则向导欢迎页面
    1. 定义IP隧道属性。
      1. 选择“ 此规则不指定隧道”选项,然后单击“ 下一步”
        图11.隧道端点页面
      2. 在“网络类型”页面上,选择“ 所有网络连接” ,然后单击“ 下一步”
        图12.选择网络类型
      3. 在“ IP筛选器列表”页面上,单击添加
        图13.添加IP过滤器
      4. 您可以为过滤器列表指定一个有意义的名称。 在此示例中,我们输入了Policy 1 IP Filter List 1 。 请注意,已选中“ 使用添加向导”复选框,然后单击“ 添加”
        图14.创建一个IP过滤器策略
      5. 在“ IP筛选器向导”的欢迎页面上,单击“ 下一步”
        图15. IP筛选器向导欢迎页面
      6. 在“ IP筛选器说明和镜像”属性页上,选择“ 镜像”。 将数据包与源和目标选项完全相反,以对Windows上的传入和传出数据包应用相同的规则。 然后单击“ 下一步”
        图16. IP过滤器描述和镜像属性页面
      7. 在“ IP流量源”页面上,从“源地址”下拉列表中,选择“特定的IP地址或子网”
        图17. IP流量源选择

        另外,在下拉列表下方提供源IP(伙伴系统的IP = AIX系统的IP),然后单击Next

      8. 在“ IP通信目标”页面上的“目标地址”下拉列表中,选择“特定IP地址或子网” ,添加所需的目标IP,然后单击“ 下一步”
        图18. IP通信目的地选择
      9. 在此示例中,在“ IP协议类型”页面上,我们选择“ 任意”作为协议类型。 您可以根据需要选择所需的协议。 之后,点击下一步
        图19. IP流量协议类型
      10. 在向导完成页面上,单击完成
        图20. IP筛选器向导完成
      11. 请注意,您将被定向到“ IP筛选器列表”对话框。 在对话框中单击“ 确定 ”。
        图21. IP过滤器列表对话框
    2. 定义IP过滤器操作。
      1. 在“ IP筛选器列表”页面上,选择“ 策略1 IP筛选器列表1” ,然后单击“ 下一步”
        图22. IP过滤器列表页面
      2. 在“ 过滤器操作”页面上,如果看到现有的过滤器操作,则可以选择它并单击“ 编辑” 。 否则,如果您不想修改现有的过滤器操作,则可以添加一个新的过滤器操作。 在这个例子中,我们要添加一个新的。 请注意, 使用添加向导复选框已选中。 点击添加
        图23. Filter Action页面
      3. 选择“ 使用添加向导”后 ,“ IP安全筛选器操作向导”将打开。 在欢迎页面上单击“ 下一步 ”。
        图24. IP安全过滤器操作向导欢迎页面
      4. 我们将默认名称New filter action更改为Policy 1 filter action 1 。 然后,单击下一步
        图25. Filter Action Name页面
      5. 在“筛选器操作的常规选项”页面上,选择“ 协商安全性” ,然后单击“ 下一步”
        图26.过滤器操作的“常规选项”页面
      6. 在“与不支持IPsec的计算机进行通信”页面上,选择“不允许不安全的通信” ,然后单击“ 下一步”
        图27. IP过滤器在与不识别IPsec的系统通信时的操作
      7. 在“ IP流量安全性”页面上,选择“ 完整性和加密” ,然后单击“ 下一步”
        图28. IP Traffic Security页面
      8. 在向导完成页面上,单击完成
        图29. IP过滤器操作完成页面
      9. 请注意,您将被定向到“过滤器操作”页面。 在此页面上,选择新的过滤器操作, 策略1过滤器操作1 。 请注意,已选中“ 使用添加向导”复选框,然后单击“ 下一步”
        图30.返回到“过滤器操作”页面
    3. 定义身份验证方法。
      1. 在“身份验证方法”页面上,选择“ 使用此字符串来保护密钥交换预共享密钥)” ,然后单击“ 下一步” 。 注意,此密钥与在AIX上更新的XML文件中提到的密钥相同。
        图31.选择身份验证方法
      2. 在“安全规则向导”完成页面上,单击“ 完成”
        图32.安全规则完成页面
      3. 在“ Policy1属性”对话框中,单击“ 常规”选项卡。
        图33. Policy1属性对话框
    4. 指定其他与隧道相关的设置。
      1. 在常规选项卡上,单击设置以指定其他设置。
        图34. Policy1属性的General选项卡
      2. 在“密钥交换设置”对话框中,设置必须重新生成新密钥的时间。 然后单击“ 方法”
        图35.策略属性:密钥交换设置
      3. 在“密钥交换安全方法”对话框中,选择显示的规则,然后单击“ 编辑”

        您可以更改用于加密和完整性检查的算法,还可以在此处设置Diffie-Hellman组级别。 确保IKE安全算法与AIX上XML文件中提到的算法匹配。 我们使用的设置是以下屏幕截图中显示的设置。

        选择所需的算法后,单击“ 确定” ,然后继续进行下一步。

        图36.密钥交换设置:“密钥交换安全方法”对话框
        图37.“密钥交换安全方法”对话框
      4. 在“密钥交换安全方法”对话框中,单击“ 确定” 。 另外,在“ Policy1属性”对话框中,单击“ 确定”
        图38.返回到Policy1属性
    5. 分配IPsec策略。
      1. 创建策略后,请注意,它最初并未分配给系统。
        图39.带有IP安全性管理单元的控制台根
      2. 右键单击Policy1 ,然后单击分配
        图40.分配IP安全策略
      3. 请注意,“已分配策略”状态现在从“ 否”更改为“
        图41.分配的IP安全策略

使用证书在AIX和Windows之间建立IKEv1隧道

遵循AIX系统上的证书生成步骤和Windows上的证书导入步骤,前面分别介绍了这些步骤。

在继续执行以下步骤之前,请参考教程在AIX中生成证书并将证书导入IKE IPsec隧道的Windows,以在AIX上创建证书并导入Windows操作系统。

您需要在AIX系统中创建以下XML文件。 让我们将其命名为AIX-Windows-Certificates-IKEv1.xml。 使用以下命令将此XML添加到AIX上的IKE数据库: 

/usr/sbin/ikedb -x
/usr/sbin/ikedb -p AIX-Windows-Certificates-IKEv1.xml
<?xml version="1.0"?>
<AIX_VPN
      Version="2.1">
   <IKEProtection
         IKE_Role="Both"
         IKE_Version="1"
         IKE_XCHGMode="Main"
         IKE_KeyOverlap="10"
         IKE_Flags_UseCRL="No"
         IKE_ProtectionName="P1Pol"
         IKE_ResponderKeyRefreshMaxKB="200"
         IKE_ResponderKeyRefreshMinKB="1"
         IKE_ResponderKeyRefreshMaxMinutes="1440"
         IKE_ResponderKeyRefreshMinMinutes="60">
      <IKETransform
            IKE_Encryption="3DES-CBC"
            IKE_Hash="SHA"
            IKE_DHGroup="1"
            IKE_AuthenticationMethod="RSA_signatures"
            IKE_KeyRefreshMinutes="240"/>
   </IKEProtection>
	<IKETunnel
         IKE_TunnelName="P1"
         IKE_ProtectionRef="P1Pol"
         IKE_Flags_AutoStart="Yes"
         IKE_Flags_MakeRuleWithOptionalIP="Yes">
         <IKELocalIdentity>
             <ASN1_DN Value="/C=IN/ST=KA/L=BA/O=IBM/OU=ISL/CN=test2">
         <IPV4_Address
               Value="1.1.1.1"/>
        </ASN1_DN>
      </IKELocalIdentity>
      <IKERemoteIdentity>
             <ASN1_DN Value="/C=IN/ST=KA/L=BA/O=IBM/OU=ISL/CN=test1">
         <IPV4_Address
               Value="2.2.2.2"/>
        </ASN1_DN>
      </IKERemoteIdentity>

   </IKETunnel>
   <IPSecProposal
         IPSec_ProposalName="P2Prop">
      <IPSecESPProtocol
            ESP_Encryption="ESP_3DES"
            ESP_KeyRefreshKB="0"
            ESP_Authentication="HMAC-SHA"
            ESP_ExtendedSeqNum="0"
            ESP_EncapsulationMode="Transport"
            ESP_KeyRefreshMinutes="30"/>
   </IPSecProposal>
   <IPSecProtection
         IPSec_Role="Both"
         IPSec_KeyOverlap="10"
         IPSec_ProposalRefs="P2Prop "
         IPSec_ProtectionName="P2Pol"
         IPSec_InitiatorDHGroup="0"
         IPSec_ResponderDHGroup="NO_PFS"
         IPSec_Flags_UseLifeSize="No"
         IPSec_Flags_UseCommitBit="No"
         IPSec_ResponderKeyRefreshMaxKB="200"
         IPSec_ResponderKeyRefreshMinKB="1"
         IPSec_ResponderKeyRefreshMaxMinutes="43200"
         IPSec_ResponderKeyRefreshMinMinutes="30"/>
   <IPSecTunnel
         IKE_TunnelName="P1"
         IPSec_TunnelName="P2"
         IPSec_ProtectionRef="P2Pol"
         IPSec_Flags_OnDemand="No"
         IPSec_Flags_AutoStart="Yes">
      <IPSecLocalIdentity
            Port="0"
            EndPort="65535"
            Protocol="0">
         <IPV4_Address_Range
               To_IPAddr="1.1.1.1"
               From_IPAddr="1.1.1.1"/>
      </IPSecLocalIdentity>
      <IPSecRemoteIdentity
            Port="0"
            EndPort="65535"
            Protocol="0">
         <IPV4_Address_Range
               To_IPAddr="2.2.2.2"
               From_IPAddr="2.2.2.2"/>
      </IPSecRemoteIdentity>
   </IPSecTunnel>
</AIX_VPN>

为简单起见,让我们使用以下命令仅启动IKEv1守护程序: 

stopsrc -g ike
startsrc -s tmd ; startsrc -s isakmpd ; startsrc -s cpsd

仅启动isakmpd (IKEv1守护程序)时,不需要启动ikev2d (IKEv2)或iked (代理)守护程序。 仅需要tmd守护程序。

执行本节中针对Windows系统提到的所有步骤, 使用图31所示的步骤使用预共享密钥在AIX和Windows之间建立IKEv1隧道 。不使用预共享,而是如图42所示为证书指定设置。

图42.“安全规则向导”中的“认证方法”页面

摘要

本教程说明了如何使用证书和预共享密钥在AIX 6.1 / 7.1 / 7.2与Windows 2012系统之间建立IKEv1隧道。 以下教程说明了如何在AIX和Windows操作系统之间使用IKEv2建立隧道:

AIX 6.1或更高版本与Windows 2012之间的IKEv2 IPsec隧道

本系列的第2部分和第3部分共同解释了在AIX 6.1 / 7.1 / 7.2与Windows 2012系统之间建立隧道的四种不同方法。 这四种方法是使用AIX和Windows之间的预共享密钥和证书来建立IKEv1和IKEv2隧道。

Windows的配置步骤(在本教程中进行了说明)在实验室中进行了尝试,并适用于测试团队。 这些步骤未得到Microsoft或IBM的认可。 您可以考虑将本教程中提到的步骤作为入门的指导。 隧道尽头总是有光。 因此,享受配置隧道的乐趣!

相关话题

翻译自: https://www.ibm.com/developerworks/aix/library/au-aix-ipsec-tunnel-config-2/index.html

cusi77914
关注
Windows2016 IKEv2(用户认证模式)
游离态De猫
10-16 4488
Windows2016 IKEv2配置 STEP1:DC1启动域控制器并完成配置,安装企业根证书办法机构并完成配置,安装DHCP授权并完成配置(不做演示) STEP2:VPNS1安装VPN服务并配置DHCP中继服务(VPN服务本身不需要做配置...
Windows Server 2012 R2 网络应用(全套)
05-13
全套视频共6章,主要涉及到的是和网络应用有关的技术知识点,内容包括Windows Server 2012 R2路由器的设置、网络地址转换(NAT)、虚拟专用网(VPN)、DirectAccess直接访问内部网络资源、RADIUS服务器的配置、网络访问保护(NAP)。通过学习本视频教程,可以做到对操作系统专业性技术提高。
windows server 2012 远程VPN访问配置
gsl371的专栏
02-09 1万+
4. 因为外网客户端在新建SSTP之前,必须要能够利用HTTP通信协议到ca服务器下载证书吊销列表(CRL),否则SSTP 连接会失败,然而此时外网客户端无法连接到内部网络的企业根ca,解决此问题的方法是在vpn接入服务器中启用NAT,然后通过端口影射实现外网客户端访问内部企业根ca网站,这样外网客户端就可以从企业根ca网站下载证书吊销列表。记住,一定要选择,证书颁发机构web注册,否则在申请证书的时候会出现问题,然后下一步,等待安装完成。查看nat服务器上使用的端口是443,sstp使用443端口。
Windows IPSeccmd使用详解
ccty9527的博客
12-10 1115
格式:A.B.C.D[/mask][:port] [=|+] A.B.C.D/[mask][:port][:protocol]默认值是 ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]默认值是 -ls 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1。如: ipseccmd -w REG -p “policyname” -y。如: ipseccmd -w REG -p “policyname” -y。
IPSec IKEv1&IKEv2
weixin_51045259的博客
02-04 4813
IKE简介 IKE概述 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的配置和维护工作。 IKEIPSec的关系如图1所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPS
ipsec ike_在AIX中生成证书并将证书导入Windows以用于IKE IPsec隧道
cusi77914的博客
06-23 1016
Internet协议安全性(IPsec)是在Internet协议(IP)层上保护网络传输安全的一种广泛使用的方法。 IP层是网络堆栈中的战略位置,可确保来自下层和高层的所有流量都通过它来保护通信。 同样,在该层提供的安全较低层无关,并且对较高层透明。 在其他安全传输协议(例如安全套接字层(SSL)传输层安全性(TLS))中,需要启用应用程序以使用安全协议。 但是,使用IPsec,应用程序...
18、深入解析IPsec密钥交换协议:IKEv1IKEv2
game4的博客
07-08 138
本文深入解析了IPsec协议中的IKEv1IKEv2密钥交换协议,详细介绍了两种协议的工作流程、优势不足,并探讨了NAT穿越的解决方案以及针对IPsec的常见攻击方式和防范措施。通过对比IKEv1IKEv2,文章为网络安全从业者提供了全面的技术分析实践建议。
IPSec IKEv2密钥计算原理和协商流程
最新发布
12-03
IPSec IKEv2密钥计算原理和协商流程
ipsec密钥协商的主程序 支持IKEV1\IKEV2 用于学习和交流
02-23
ipsec密钥协商的主程序。支持IKEV1\IKEV2。 用于学习和交流
IPSEC IKEV1报文分析理解
11-08
IPSEC IKEV1报文分析理解
HCIE-Security Day33:IPSec:深入学习ipsec ikev2IKEV1IKEV2比较
小梁的博客
04-01 5803
ikev2 RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2) (ietf.org)https://datatracker.ietf.org/doc/html/rfc5996定义在RFC4306,更新于RFC5996 不兼容IKEV1ikev1不支持认证,ikev2支持认证,eap。 支持nat穿越 支持私密性、完整性、源认证 工作在UDP500端口NAT-T时使用UDP4500端口。 初始交换 正常情况下,IK...
windows server 2012 r2 搭建V...P...N...
Abc_Kimball的博客
11-17 8880
windows server 2012 r2 搭建V…P…N… 句号分割敏感词 一,首先,进入windows server 2012 r2界面后,打开服务管理器,选择“添加角色和功能” 二,进入安装窗口后,一路下一步选择“远程访问”,接着下一步选择“V。。P。。N”和“路由”,继续下一步直到安装。 三,安装完成后,打开“开始-管理工具-路由和远程访问”打开路由和远程访问窗口,右击选择第一个配置并启用路由和远程访问。 四,进入安装窗口,选择“自定义配置”,一路下一步选择“V。。P。。N”和“NAT”,一路下一
aixipsec的使用
夭桃鸣鹿的博客
06-11 3709
aix类似Linux的iptables命令是ipsec stopsrc -s inetd startsrc -s inetd refresh -s inetd 重启inetd etc-mail-sendmail
ISCW实验8:配置CiscoWindows进行IPSec通信
weixin_34377065的博客
09-12 354
实验过程:配置Windows端第一步 在运行中输入mmc 第二步 在弹出的控制台中选择“文件”-->添加删除管理单元 第三步 在弹出的添加/删除管理单元中选择“添加” 第四步 在弹出的添加独立单元中选择“IP安全策略管理” 第五步 选择“本地计算机”再点击完成 第六步 这时我们可以看到IP安全策略界面 第七步 ...
IPSecIKEv1详解
sgslwms的博客
09-06 8903
该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出,以保证每个IPSec SA都有自己独一无二的密钥。SKEYID_d = prf(SKEYID, K | Ci | Cr | 0) -----------推导密钥,衍生密钥。KE和第一阶段中的KE的目的是一样的,使用DH算法,计算出一个对公共的密钥作为隧道所用的加密密钥。
Windows Server 2012配置L2TP服务环境
weixin_34220179的博客
02-12 4610
在上一篇文章《Windows Server 2012配置×××服务环境》中讲解了在Windows Server2012环境中的基础×××搭建,但是只能支持PPTP的×××连接。这篇文章进一步完善了×××基于L2TP的连接讲解。在百度上也没有找到一个Windows2012 很全的L2TP服务搭建的方案,所以自己编辑了一个给有需要的朋友们参考。准备环境:Windows Ser...
IPsecIKEv1IKEv2区别
hhd1988的专栏
05-12 8987
IPsecIKEv1IKEv2区别
WINDOWS操作系统通过IPSEC禁用135、137、139、445端口
热门推荐
lsysafe的博客
11-07 3万+
关闭WINDOWS服务器的135、137、139、445端口能有效防范勒索病毒,当然同时也阻止了很多WINDOWS的服务和通讯,应该慎用,测试好业务再实践 操作系统平台:WINDOWS2008,WINDOWS2012 1、打开组策略CMD运行GPEDIT.MSC,如果WINDOWS2003的操作系统应该是本地安全策略       2、策略的内容如下: 策略的筛选器列表: ...
IPSec IKEv1 IKEv2 区别
05-26
IKEv1IKEv2IKE的两个版本。 以下是它们之间的一些主要区别: 1. IKEv1IKEv2安全性不同。IKEv1使用了较旧的加密算法,如DES和3DES,而IKEv2支持更强的加密算法,如AES和SHA-2562. IKEv2具有更好的移动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值