WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

华为认证HCIE Datacom培训理解IPSEC VPN数据加密技术-WOLFLAB

发布日期:2023-06-26 浏览次数:1413 来源:崔志鹏

华为认证HCIE Datacom培训理解IPSEC VPN数据加密技术-WOLFLAB

WOLFLAB网络技术实验室1.jpg

WOLFLAB官方微信:17316362402,华为认证HCIE Datacom培训课程咨询WOLFLAB网络技术实验室,HCIA、HCIP、HCIE培训可咨询网站客服!

HCIE Datacom培训-IPSEC:

IPsec:IP security,是一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。

 

数据加密:针对两个站点的数据进行加密,抓包看不到真实的数据,而是加密后的数据;

数据完整性验证:确保数据在传输的时候没有经过篡改;

数据源验证:确保接收到的数据包来自真实的发送者;

防止数据重放:攻击者截取数据包进行复制,防止接收者收到重复的数据包;

 

HCIE Datacom培训-数据加密:

图片1(36).png

对称加密算法:(我用123加密,你用123解密)

AR1用key:123+data(PC1-PC2)+算法=加密数据,AR1将加密数据+key:123发送给AR3,AR3收到后用key:123针对加密数据进行解密,此时AR3就可以得到data(PC1-PC2)

 

优点:效率高

缺点:不安全,因为AR1将密钥key:123也放到internet传递,如果被攻击者截取,攻击者用key:123进行解密就可以截取真实的数据了;

 

非对称加密算法:

①AR3产生一个公钥,产生一个私钥,公钥可以随便传递,AR1当然可以收到这个公钥;

②当PC1-PC2发送数据,AR1:公钥+data(PC1-PC2)+算法=加密数据,传递给AR3;

③该加密数据如果被人截获也没用,因为公钥加密的数据只能通过私钥解密;

④AR3收到后,通过私钥就可以获取到真实数据了;

 

优点:安全;

缺点:如果针对所有的数据流量都通过非对称加密算法效率低;

 

解决方法:数字证书

因为对称加密算法要想针对数据进行解密,就必须要密钥,必须要解决密钥如何安全传递的问题,那我就用非对称加密算法针对密钥进行加密,用对称加密算法针对数据进行加密,完美解决,因为密钥不像数据,密钥的数据量很小;

 

对称加密算法:

DES(Data Encryption Standard):使用64bit的密钥对一个64bit的明文块进行加密;

3DES(Triple Data Encryption Standard):使用三个64bit的DES密钥(共192bit密钥)对明文形式的IP报文进行加密;

AES-CBC-128(Advanced Encrypt ion Standard Cipher Block Chaining 128):使用128bit加密算法对IP报文进行加密;

AES-CBC-192(Advanced Encrypt ion Standard Cipher Block Chaining 192):使用192bit加密算法对IP报文进行加密;

AES-CBC-256(Advanced Encrypt ion Standard Cipher Block Chaining 256):使用256bit加密算法对IP报文进行加密;

3DES比DES安全得多,但是其加密速度慢于DES。AES比3DES更安全。

 

非对称加密算法:

DH

 

验证算法:

MD5

SHA-1(Secure Hash Algorithm):输入长度小于264比特的消息,然后生成-一个160比特的消息摘要;

SHA2-256:通过输入长度小于264比特的消息,产生256比特的消息摘要;

SHA2-384:通过输入长度小于2128比特的消息,产生384比特的消息摘要;

SHA2-512:通过输入长度小于2128比特的消息,产生512比特的消息摘要;

SHA-2的消息摘要长于MD5和SHA-1,因此,SHA-2比MD5和SHA-1更安全。

 

IPSec不是一个单独的协议,IPSec VPN 体系结构主要用三个协议去创建安全架构:

IKE(Internet Key Exchange,互联网密钥交换)它的对象是密钥。为IPSec提供了自动协商交换密钥、建立安全联盟。通过数据交换来计算密钥。

 

ESP(Encapsulat ion Sercurity Payload封装安全负载)它的对象是用户数据。对用户的数据进行封装,提供对数据进行认证和加密,使用IP协议号50。

 

AH(Authentication Header,认证头)它的对象是用户数据。对用户数据进行封装,只提供认证,不加密,使用IP协议号51。

 

SA:安全联盟

AR1和AR3要想建立IPSEC VPN,需要先协商彼此的参数,例如加密算法、认证算法、数据的封装格式(ESP、AH),从而决定保护什么,怎么保护,由谁来保护,相当于合同;

 

SA由三部分组成:

①安全参数索引号SPI(Security Parameter Index),用来唯一标识SA,手动需要人为配置SPI,IKE自动协商SPI;(合同号)

②目的IP地址;

③安全协议号AH/ESP;

 

HCIE Datacom培训-建立IPSEC VPN的方式:

手动模式:必须手动配置需要协商的参数,复杂,适合小型网络;

IKE(OSPF)动态协商方式:使用IKE协议,利用isakmp(hello)报文协商彼此的参数;


华为HCIE Datacom培训课程咨询联系WOLFLAB实验室

WOLFLAB实验室HCIE讲师:崔志鹏

WOLFLAB网络技术实验室-华为授权机构

https://www.wolf-lab.com/

WOLFLAB官方微信:17316362402

WOLFLAB官方QQ:2569790740

返回目录
在线咨询