IPsec基本介绍及IPsecVPN的配置
IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:
数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。
数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
数据来源认证(Data Authentication):IPsec在接收端可以认证发送IPsec报文的发送端是否合法。
防重放(Anti-Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。
IPsec具有以下优点:
支持IKE(Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过IKE建立和维护SA的服务,简化了IPsec的使用和管理。
所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。
对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。
IPsec封装模式(传输模式和隧道模式):
AH协议不支持加密只支持认证,ESP协议(IP协议号为50)提供加密、数据源认证、数据完整性校验和防报文重放功能。
所以现在用的最多的是ESP协议,或者AH加ESP协议封装。
配置:
acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 //匹配感兴趣流#ipsec proposal handesp authentication-algorithm sha1 //esp认证加密算法#ipsec policy hua 10 manualsecurity acl 3000proposal hand tunnel local 20.1.1.1 tunnel remote 20.1.1.2 //隧道远端地址sa spi inbound esp 12345 //对端配置要相反sa string-key inbound esp simple huaweisa spi outbound esp 54321 //对端配置要相反sa string-key outbound esp simple huawei
目录 返回
首页