华为认证HCIE Datacom培训理解IPSEC VPN数据加密技术-WOLFLAB

WOLFLAB官方微信：17316362402，华为认证HCIE Datacom培训课程咨询WOLFLAB网络技术实验室，HCIA、HCIP、HCIE培训可咨询网站客服！

HCIE Datacom培训-IPSEC：

IPsec：IP security，是一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。

数据加密：针对两个站点的数据进行加密，抓包看不到真实的数据，而是加密后的数据；

数据完整性验证：确保数据在传输的时候没有经过篡改；

数据源验证：确保接收到的数据包来自真实的发送者；

防止数据重放：攻击者截取数据包进行复制，防止接收者收到重复的数据包；

HCIE Datacom培训-数据加密：

对称加密算法：（我用123加密，你用123解密）

AR1用key：123+data（PC1-PC2）+算法=加密数据，AR1将加密数据+key：123发送给AR3，AR3收到后用key：123针对加密数据进行解密，此时AR3就可以得到data（PC1-PC2）

优点：效率高

缺点：不安全，因为AR1将密钥key：123也放到internet传递，如果被攻击者截取，攻击者用key：123进行解密就可以截取真实的数据了；

非对称加密算法：

①AR3产生一个公钥，产生一个私钥，公钥可以随便传递，AR1当然可以收到这个公钥；

②当PC1-PC2发送数据，AR1：公钥+data（PC1-PC2）+算法=加密数据，传递给AR3；

③该加密数据如果被人截获也没用，因为公钥加密的数据只能通过私钥解密；

④AR3收到后，通过私钥就可以获取到真实数据了；

优点：安全；

缺点：如果针对所有的数据流量都通过非对称加密算法效率低；

解决方法：数字证书

因为对称加密算法要想针对数据进行解密，就必须要密钥，必须要解决密钥如何安全传递的问题，那我就用非对称加密算法针对密钥进行加密，用对称加密算法针对数据进行加密，完美解决，因为密钥不像数据，密钥的数据量很小；

对称加密算法：

DES（Data Encryption Standard）：使用64bit的密钥对一个64bit的明文块进行加密；

3DES（Triple Data Encryption Standard）：使用三个64bit的DES密钥（共192bit密钥）对明文形式的IP报文进行加密；

AES-CBC-128（Advanced Encrypt ion Standard Cipher Block Chaining 128）：使用128bit加密算法对IP报文进行加密；

AES-CBC-192（Advanced Encrypt ion Standard Cipher Block Chaining 192）：使用192bit加密算法对IP报文进行加密；

AES-CBC-256（Advanced Encrypt ion Standard Cipher Block Chaining 256）：使用256bit加密算法对IP报文进行加密；

3DES比DES安全得多，但是其加密速度慢于DES。AES比3DES更安全。

非对称加密算法：

DH

验证算法：

MD5

SHA-1（Secure Hash Algorithm）：输入长度小于264比特的消息，然后生成-一个160比特的消息摘要；

SHA2-256：通过输入长度小于264比特的消息，产生256比特的消息摘要；

SHA2-384：通过输入长度小于2128比特的消息，产生384比特的消息摘要；

SHA2-512：通过输入长度小于2128比特的消息，产生512比特的消息摘要；

SHA-2的消息摘要长于MD5和SHA-1，因此，SHA-2比MD5和SHA-1更安全。

IPSec不是一个单独的协议，IPSec VPN 体系结构主要用三个协议去创建安全架构：

IKE（Internet Key Exchange，互联网密钥交换）它的对象是密钥。为IPSec提供了自动协商交换密钥、建立安全联盟。通过数据交换来计算密钥。

ESP（Encapsulat ion Sercurity Payload封装安全负载）它的对象是用户数据。对用户的数据进行封装，提供对数据进行认证和加密，使用IP协议号50。

AH（Authentication Header，认证头）它的对象是用户数据。对用户数据进行封装，只提供认证，不加密，使用IP协议号51。

SA：安全联盟

AR1和AR3要想建立IPSEC VPN，需要先协商彼此的参数，例如加密算法、认证算法、数据的封装格式（ESP、AH），从而决定保护什么，怎么保护，由谁来保护，相当于合同；

SA由三部分组成：

①安全参数索引号SPI（Security Parameter Index），用来唯一标识SA，手动需要人为配置SPI，IKE自动协商SPI；（合同号）

②目的IP地址；

③安全协议号AH/ESP；

HCIE Datacom培训-建立IPSEC VPN的方式：

手动模式：必须手动配置需要协商的参数，复杂，适合小型网络；

IKE（OSPF）动态协商方式：使用IKE协议，利用isakmp（hello）报文协商彼此的参数；

华为HCIE Datacom培训课程咨询联系WOLFLAB实验室

WOLFLAB实验室HCIE讲师：崔志鹏

WOLFLAB网络技术实验室-华为授权机构

https://www.wolf-lab.com/

WOLFLAB官方微信：17316362402

WOLFLAB官方QQ：2569790740