我的编程空间,编程开发者的网络收藏夹
学习永远不晚

H3C IPsec概述

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

H3C IPsec概述

IPsec 简介

    IPsec( IP Security)是 IETF 制定的三层隧道加密协议,它为 Internet 上数据的传输提供了高质量的、 可互操作的、 基于密码学的安全保证。 特定的通信方之间在 IP 层通过加密与数据源认证等方式,提供了以下的安全服务:

   · 数据机密性( Confidentiality): IPsec 发送方在通过网络传输包前对包进行加密。

   · 数据完整性( Data Integrity): IPsec 接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。

   · 数据来源认证( Data Authentication): IPsec 在接收方可以认证发送 IPsec 报文的发送方是否合法。

   · 防重放( Anti-Replay): IPsec 接收方可检测并拒绝接收过时或重复的报文。

    IPsec 具有以下优点:

   · 支持 IKE( Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过 IKE 建立和维护 SA 的服务,简化了 IPsec 的使用和管理。

   · 所有使用 IP 协议进行数据传输的应用系统和服务都可以使用 IPsec,而不必对这些应用系统和服务本身做任何修改。

   · 对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高 IP 数据包的安全性,可以有效防范网络***。


IPsec 的协议实现

    IPsec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH( Authentication Header,认证头)、 ESP( Encapsulating Security Payload,封装安全载荷)、 IKE( Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中, AH协议和ESP协议用于提供安全服务, IKE协议用于密钥交换。关于IKE的详细介绍请参见“1.2 IKE简介”。

    IPsec 提供了两种安全机制:认证和加密。认证机制使 IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。

    IPsec 协议中的 AH 协议定义了认证的应用方法,提供数据源认证和完整性保证; ESP 协议定义了加密和可选认证的应用方法,提供数据可靠性保证。

   · AH 协议( IP 协议号为 51 )提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。 AH 的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准 IP 包头后面,对数据提供完整性保护。可选择的认证算法有 MD5( Message Digest)、 SHA-1 ( Secure Hash Algorithm)等。

   · ESP 协议( IP 协议号为 50) 提供加密、 数据源认证、 数据完整性校验和防报文重放功能。 ESP的工作原理是在每一个数据包的标准 IP 包头后面添加一个 ESP 报文头, 并在数据包后面追加一个 ESP 尾。 与 AH 协议不同的是, ESP 将需要保护的用户数据进行加密后再封装到 IP 包中,以保证数据的机密性。常见的加密算法有 DES、 3DES、 AES 等。同时,作为可选项,用户可以选择 MD5、 SHA-1 算法保证报文的完整性和真实性。

    在实际进行 IP 通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。 AH 和ESP 都可以提供认证服务,不过, AH 提供的认证服务要强于 ESP。同时使用 AH 和 ESP 时,设备支持的 AH 和 ESP 联合使用的方式为:先对报文进行 ESP 封装,再对报文进行 AH 封装,封装之后的报文从内到外依次是原始 IP 报文、 ESP 头、 AH 头和外部 IP 头。


IPsec 基本概念

    1. 安全联盟( Security Association, SA)

    IPsec 在两个端点之间提供安全通信,端点被称为 IPsec 对等体。

    SA 是 IPsec 的基础,也是 IPsec 的本质。 SA 是通信对等体间对某些要素的约定,例如,使用哪种协议( AH、 ESP 还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法( DES、3DES 和 AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。建立 SA 的方式有手工配置和 IKE 自动协商两种。

    SA 是单向的,在两个对等体之间的双向通信,最少需要两个 SA 来分别对两个方向的数据流进行安全保护。同时,如果两个对等体希望同时使用 AH 和 ESP 来进行安全通信,则每个对等体都会针对每一种协议来构建一个独立的 SA。

    SA 由一个三元组来唯一标识,这个三元组包括 SPI( Security Parameter Index,安全参数索引)、目的 IP 地址、安全协议号( AH 或 ESP)。

    SPI 是用于唯一标识 SA 的一个 32 比特数值,它在 AH 和 ESP 头中传输。在手工配置 SA 时,需要手工指定 SPI 的取值。使用 IKE 协商产生 SA 时, SPI 将随机生成。

    通过 IKE 协商建立的 SA 具有生存周期,手工方式建立的 SA 永不老化。 IKE 协商建立的 SA 的生存周期有两种定义方式:

   · 基于时间的生存周期,定义一个 SA 从建立到失效的时间。

   · 基于流量的生存周期,定义一个 SA 允许处理的最大流量。

    生存周期到达指定的时间或指定的流量, SA 就会失效。 SA 失效前, IKE 将为 IPsec 协商建立新的SA,这样,在旧的 SA 失效前新的 SA 就已经准备好。在新的 SA 开始协商而没有协商好之前,继续使用旧的 SA 保护通信。在新的 SA 协商好之后,则立即采用新的 SA 保护通信。


    2. 封装模式

    IPsec 有如下两种工作模式:

   · 隧道( tunnel) 模式: 用户的整个 IP 数据包被用来计算 AH 或 ESP 头, AH 或 ESP 头以及 ESP加密的用户数据被封装在一个新的 IP 数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

   · 传输( transport)模式:只是传输层数据被用来计算 AH 或 ESP 头, AH 或 ESP 头以及 ESP加密的用户数据被放置在原 IP 包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。

    不同的安全协议在tunnel和transport模式下的数据封装形式如 图 1-1 所示, data为传输层数据。

wKioL1RWSSaz4iN5AAFu6jlR160161.jpg


3. 认证算法与加密算法

   (1) 认证算法

    认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。 IPsec 对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。 IPsec 使用两种认证算法:

   · MD5: MD5 通过输入任意长度的消息,产生 128bit 的消息摘要。

   · SHA-1 : SHA-1 通过输入长度小于 2 的 64 次方 bit 的消息,产生 160bit 的消息摘要。MD5 算法的计算速度比 SHA-1 算法快,而 SHA-1 算法的安全强度比 MD5 算法高。

    (2) 加密算法

    加密算法实现主要通过对称密钥系统, 它使用相同的密钥对数据进行加密和解密。 目前设备的 IPsec实现三种加密算法:

   · DES( Data Encryption Standard):使用 56bit 的密钥对一个 64bit 的明文块进行加密。

   · 3DES( Triple DES):使用三个 56bit 的 DES 密钥(共 168bit 密钥)对明文进行加密。

   · AES( Advanced Encryption Standard):使用 128bit、 192bit 或 256bit 密钥长度的 AES 算法对明文进行加密。

    这三个加密算法的安全性由高到低依次是: AES、 3DES、 DES,安全性高的加密算法实现机制复杂,运算速度慢。对于普通的安全要求, DES 算法就可以满足需要。


    4. 协商方式

    有如下两种协商方式建立 SA:

   · 手工方式( manual)配置比较复杂,创建 SA 所需的全部信息都必须手工配置,而且不支持一些高级特性(例如定时更新密钥),但优点是可以不依赖 IKE 而单独实现 IPsec 功能。

   · IKE 自动协商( isakmp)方式相对比较简单,只需要配置好 IKE 协商安全策略的信息,由 IKE自动协商来创建和维护 SA。

    当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置 SA 是可行的。对于中、大型的动态网络环境中,推荐使用 IKE 协商建立 SA。

    说明:Web 界面只支持配置 IKE 自动协商方式。



    5. 安全隧道

    安全隧道是建立在本端和对端之间可以互通的一个通道,它由一对或多对 SA 组成。


协议规范

    与 IPsec 相关的协议规范有:

   · RFC2401 : Security Architecture for the Internet Protocol

   · RFC2402: IP Authentication Header

   · RFC2406: IP Encapsulating Security Payload



IKE 简介

    在实施 IPsec( IP Security)的过程中,可以使用 IKE( Internet Key Exchange,因特网密钥交换)协议来建立 SA,该协议建立在由 ISAKMP( Internet Security Association and Key ManagementProtocol,互联网安全联盟和密钥管理协议)定义的框架上。 IKE 为 IPsec 提供了自动协商交换密钥、建立 SA 的服务,能够简化 IPsec 的使用和管理,大大简化 IPsec 的配置和维护工作。

    IKE 不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。

IKE 的安全机制

    IKE 具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立 IPsec SA。

    1. 数据认证

    数据认证有如下两方面的概念:

   · 身份认证:身份认证确认通信双方的身份。支持两种认证方法:预共享密钥( pre-shared-key)认证和基于 PKI 的数字签名( rsa-signature)认证。

   · 身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。

    2. DH

    DH( Diffie-Hellman,交换及密钥分发)算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如***)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以, DH 交换技术可以保证双方能够安全地获得公有信息。

    3. PFS

    PFS( Perfect Forward Secrecy,完善的前向安全性)特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于 IPsec,是通过在 IKE 阶段 2 协商中增加一次密钥交换来实现的。 PFS 特性是由 DH 算法保障的。


IKE 的交换过程

    IKE 使用了两个阶段为 IPsec 进行密钥协商并建立 SA:

    (1) 第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式( Main Mode)和野蛮模式( Aggressive Mode)两种 IKE交换方法。

    (2) 第二阶段, 用在第一阶段建立的安全隧道为 IPsec 协商安全服务, 即为 IPsec 协商具体的 SA,建立用于最终的 IP 数据安全传输的 IPsec SA。

wKiom1RWSVaQ52M3AAKDPV3dhs8830.jpg

    如 图 1-2所示,第一阶段主模式的IKE协商过程中包含三对消息:

   · 第一对叫 SA 交换,是协商确认有关安全策略的过程;

   · 第二对消息叫密钥交换,交换 Diffie-Hellman 公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;

   · 最后一对消息是 ID 信息和认证数据交换,进行身份认证和对整个第一阶段交换内容的认证。

野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换 3 条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。


IKE 在 IPsec 中的作用

   · 因为有了 IKE, IPsec 很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。

   · IKE 协议中的 DH 交换过程,每次的计算和产生的结果都是不相关的。每次 SA 的建立都运行DH 交换过程,保证了每个 SA 所使用的密钥互不相关。

   · IPsec 使用 AH 或 ESP 报文头中的序列号实现防重放。此序列号是一个 32 比特的值,此数溢出后,为实现防重放, SA 需要重新建立,这个过程需要 IKE 协议的配合。

   · 对安全通信的各方身份的认证和管理,将影响到 IPsec 的部署。 IPsec 的大规模使用,必须有CA( Certificate Authority,认证中心)或其他集中管理身份数据的机构的参与。

IPsec 与 IKE 的关系

wKiom1RWSb3jnZVqAAF8HVnOCqo388.jpg

    从 图 1-3中我们可以看出IKE和IPsec的关系:

   · IKE 是 UDP 之上的一个应用层协议,是 IPsec 的信令协议。

   · IKE 为 IPsec 协商建立 SA,并把建立的参数及生成的密钥交给 IPsec。

   · IPsec 使用 IKE 建立的 SA 对 IP 报文加密或认证处理。

   · IKE 提供端与端之间动态认证。


协议规范

    与 IKE 相关的协议规范有:

   · RFC2408: Internet Security Association and Key Management Protocol (ISAKMP)

   · RFC2409: The Internet Key Exchange (IKE)

   · RFC2412: The OAKLEY Key Determination Protocol



注意事项

    配置 IPsec 时需要注意如下事项:

    (1) 通常情况下,由于 IKE 协议采用 UDP 的 500 端口进行通信, IPsec 的 AH 和 ESP 协议分别使用 51 或 50 号协议来工作, 因此为保障 IKE 和 IPsec 的正常运行, 需要确保应用了 IKE 和 IPsec配置的接口上没有禁止掉属于以上端口和协议的流量。

    (2) 若在接口上同时使能 IPsec 和 QoS,同一个 IPsec 安全联盟的数据流如果被 QoS 分类进入不同队列,会导致部分报文发送乱序。由于 IPsec 具有防重放功能, IPsec 入方向上对于防重放窗口之外的报文会进行丢弃,从而导致丢包现象。因此当 IPsec 与 QoS 结合使用时,必须保证 IPsec 流量特征与 QoS 分类规则配置保持一致。


免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

H3C IPsec概述

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

H3C IPsec概述

IPsec 简介    IPsec( IP Security)是 IETF 制定的三层隧道加密协议,它为 Internet 上数据的传输提供了高质量的、 可互操作的、 基于密码学的安全保证。 特定的通信方之间在 IP 层通过加密与数据源认证
2023-01-31

H3C Qos概述

QoS( Quality of Service,服务质量)用于评估服务方满足客户服务需求的能力。在 Internet 中,QoS 所评估的就是网络转发分组的服务能力。由于网络提供的服务是多样的,因此对 QoS 的评估可以基于不同方面。通常所
2023-01-31

H3C PKI 概述

PKI 简介    PKI( Public Key Infrastructure,公钥基础设施)是一个利用公开密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。    公共密钥体制也称为非对称密钥体制,是目前应用最广泛的一种
2023-01-31

H3C ARP概述

ARP 简介ARP 作用    ARP( Address Resolution Protocol,地址解析协议)是将 IP 地址解析为以太网 MAC 地址(或称物理地址)的协议。    在局域网中,当主机或其它网络设备有数据要发送给另一个主
2023-01-31

H3C Portal概述

Portal简介    Portal 在英语中是入口的意思。 Portal 认证通常也称为 Web 认证,一般将 Portal 认证网站称为门户网站。    未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需
2023-01-31

H3C MSTP概述

生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能。    与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的 STP( Spanning Tree Proto
2023-01-31

H3C GRE概述

协议简介    GRE( Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如 IP 和 IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如 IP)中传输。 GRE是
2023-01-31

H3C ACL概述

概述    随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL( Access Control List,访问
2023-01-31

H3C RADIUS概述

RADIUS( Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种用于实现AAA( Authentication, Authorization and Accounting,认
2023-01-31

H3C IPSec ×××

一、IPSec体系结构:(1)安全协议:负责保护数据、AH/ESP;(2)工作模式:传输模式、隧道模式;(3)密钥管理:手工配置密钥、通过IKE协商密钥。IPSec传输模式: IPSec隧道模式: IPSec隧道基本配置:配置过程:1、配置
2023-01-31

H3C配置IPSEC ×××

H3C配置IPSEC ×××思路跟思科差不多,无非就是命令不一样的,下面就演示一下拓扑:RT1背后有个1.1.1.1网段,RT3背后有个3.3.3.3网段,ISP没有这两条路由RT2:system-view System View
2023-01-31

H3C IPSEC OVER GRE

##### Route A ###################################interface Tunnel 0 mode gre ip address 10.254.1.2255.255.255.252 source
2023-01-31

H3C MAC地址认证概述

MAC 地址认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了 MAC 地址认证的端口上首次检测到用户的 MAC 地址以后,即启动对该用户的认证操作。认证过程中,不需要用户
2023-01-31

H3C IPSEC OVER GRE配置

网络拓扑如下    1、公司A端路由器配置#//定义需要保护的安全数据流acl number 3000 rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2
2023-01-31

H3C IPSec ××× 野蛮模式

http://www.worlduc.com/UploadFiles/BlogFile/23/724976/ipsec%20***%20野蛮模式.swf
2023-01-31

H3C IPSec配置实例

配置步骤:一、.使得R1与R3之间(公网之间)能够通信[R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2[R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 二、IP
2023-01-31

H3C GRE OVER IPSEC配置

网络拓扑如下    1、公司A端路由器配置#//定义需要保护的安全数据流acl number 3000 rule 10 permit ip source 12.12.12.1 0 destination 23.23.23.3 0 #//定义
2023-01-31

h3c ×××安全协议之IPsec

IPSec协议简介  IPSec协议是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task Force,Internet工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重
2023-01-31

H3C 路由器的IPSEC ××× 配置

H3C路由器的ipsec配置        两地做***的连接,一端是H3C的utm200设备,另外一端是H3C的AR18-21设备.现在网络环境如下:       beijing是静态的地址(存在192.168.0.1、192.168.1
2023-01-31

MySQL概述

MySQL 是一种关系型数据库,在Java企业级开发中非常常用,因为 MySQL 是开源免费的,并且方便扩展。阿里巴巴数据库系统也大量用到了 MySQL,因此它的稳定性是有保障的。MySQL是开放源代码的,因此任何人都可以在 GPL(General Publi
MySQL概述
2021-04-11

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录