导图社区 vpn——ipsec

vpn——ipsec

vpn——ipsec的思维导图，常见vpn技术有隧道技术、加解密技术、完整性验证、身份认证技术、密钥管理技术，一起来看。

编辑于2023-08-24 14:29:48 辽宁

网络工程

MMIVW0QA

他的近期作品查看更多>>

vpn——ipsec
vpn——ipsec的思维导图，常见vpn技术有隧道技术、加解密技术、完整性验证、身份认证技术、密钥管理技术，一起来看。

vpn——ipsec

社区模板帮助中心，点此进入>>

MMIVW0QA

他的近期作品查看更多>>

vpn——ipsec
vpn——ipsec的思维导图，常见vpn技术有隧道技术、加解密技术、完整性验证、身份认证技术、密钥管理技术，一起来看。

相似推荐
大纲

互联网9大思维
- 34.0k
- 914
- 2.4k
- 392
MindMaster
安全教育的重要性
- 6.5k
- 864
- 98
- 18
issen
组织架构-单商户商城webAPP 思维导图。
- 14.6k
- 3
- 184
- 10
Kacyun
个人日常活动安排思维导图
- 7.2k
- 0
- 78
- 0
少儿栏目外景策划波波老师
域控上线
- 1.6k
- 163
- 11
- 4
jackrao
西游记主要人物性格分析
- 15.3k
- 1.3k
- 637
- 105
issen
17种头脑风暴法
- 196.1k
- 3.9k
- 11.6k
- 3.9k
MindMaster
python思维导图
- 5.4k
- 529
- 242
- 7
(*^▽^*)
css
- 1.2k
- 1
- 43
- 3
A张舫
CSS
- 3.3k
- 262
- 188
- 33
journey

vpn

类型

建设单位

运营商：MPLS

客户自建：GRE IPSEC L2F PPTP

网络层次

二层：L2TP L2F PPTP

三层：GRE IPSEC

应用层：SSL

常见vpn技术

隧道技术

加解密技术

完整性验证

md5

sha

身份认证技术

预共享密钥

数字证书

密钥管理技术

ike

加密学基础

目标

私密性

完整性

源认证

不可否认性

算法

对称加密

des 3des aes（常用）

优缺点

优点：加解密速度快

缺点：安全性低

非对称加密

公钥加密：rsa

优缺点

优点：密钥安全性高

缺点：加解密对速度敏感

散列函数

特点

任意长度输入，固定长度输入

雪崩效应

单向不可逆

冲突避免

计算迅速

常见散列函数

MD5

sha_1

sha_2

作用

报文完整性检验

数据来源检验（身份验证）

消息认证

HMAC

用预共享密钥和消息做哈希运算出散列值

数字签名

作用

源认证

完整性

不可否认性

缺点

无法判断对方公钥真假

数字证书

私密性

认证公钥

Ip-sec体系框架

特性

私密性

数据完整性

源认证

防重放

密钥管理

框架

安全模式

ESP

特点

提供真实数据（源认证）、数据完整性、防重放、数据机密性

支持加密算法

ip上层协议号50

认证范围

传输模式

不包含ip头，从esp头到esp尾部

不能穿越nat：tcp检验会检验tcp伪头部，包含ip地址

隧道模式

不包含ip头，从esp头到esp尾部

可以穿越nat1对1，不能穿越pat

AH（不常用））

特点

提供数据源认证、完整性和防重放

不支持加密算法

ip上层协议号51

结构

安全参数索引（spi）

序列号

实现防重放

认证数据

对负载数据进行哈希运算的结果

负载数据

认证范围

传输模式

原始ip头到最后

隧道模式

新的ip头到最后

AH无法穿越NAT,因为ip头包含在认证范围内

ah和esp的区别

ah不能保证私密性

esp不能对ip头进行完整性检验，ah对整个ip-sec数据流进行完整性检验

ah不能穿越nat，esp可以穿越1对1的nat

加密模式

des

3des

aes

验证算法

md5

sha

密钥交换

IKE

版本

IKEv1

IKEv2

简化协议过程

支持更新的算法，强度更高

对远程接入vpn支撑性更高

功能

协商协议参数（加密算法、认证方式等）

交换公钥密钥，产生密钥资源

对双方进行认证

构成

Oakley

基于Dh算法的自由形态协议，让ike支持更多协议

SKEME

定义如何验证密钥交换

ISAKMP

定义IkE数据包的格式，具体交换过程和如何进行模式切换

作用

降低手工配制的复杂度

安全联盟定时更新

密钥定时更新

允许ipsec提供防重放攻击

允许端到端之间动态认证

安全机制

DH算法、密钥分发

前向安全性

身份验证

身份保护

IKEv1的交换阶段

第一阶段

模式

Main Mode

Aggressice Mode

内容

1、协商对等体之间使用的IKe安全协议

加密算法

验证算法

密钥管理

DH组（组号越大，强度越高）

密钥生命周期

2、通过DH算法交换密钥材料并生成密钥

3、对等体之间验证彼此身份

PSKs（预共享密钥）、数字签名的Hash值互相发送等方式

第一阶段的最终目的是为了生成3个子密钥，来给第二阶段进行计算

第二阶段

Quick Mode

协商出ipsecーsa，来保护之后的数据流

协商生成ipsecーsa的各项参数（封装协议，加密算法、哈希算法等）

生成ipsexーsa认证及加密所需密钥

封装模式

传输模式

加密点＝传输点

隧道模式

加密点≠传输点

安全联盟SA

三元组

安全参数索引SPI

用于区分不同sa

目的ip地址

安全协议号

协商要素

封装模式

加密算法

验证算法

DH组

密钥

密钥生命周期

ipsec sa和IKE sa

ipsec sa

单向

封装协议（AH ESP AH+ESP）

封装模式（传输模式和隧道模式）

加密算法（des 3des等）

验证算法

预共享密钥以及密钥的生存周期

IKE sa

双向

身份验证方法（pre-share rsa-encr rsa-sig）

DH密钥交换组id

加密算法

验证算法（md5 sha1）

ike sa生命周期

ipsec配置思路

明确感兴趣流

明确如何保护（加密算法、验证方法等）

明确对等体

ipsec手工配置步骤

1、配置转换集（定义算法，验证算法，封装方式）

配置感兴趣流：acl

创建策略：手工配置对等体，密钥 spi 封装模式，调用转换集

在端口上调用策略

ipsec和nat

NAT-T nat穿越技术

esp没有端口号，在进行nat转换时将上层协议的端口号拿来一同转换。关闭nat-t后使用spi（唯一）来当做端口号进行转换

工作顺序：二者在同一设备上时，先进行nat转换，再进行ipsec加密

gre over ipsec

ipsec vpn缺点

传统ipsec vpn不支持组播流量加密

不支持动态路由协议

大规模场景下手工书写acll匹配感兴趣流操作繁琐

大规模路由总部与分支机构场下手工写默认路由无法保证流量正确传递

大规模……下手工书写明细路由操作繁琐

gre缺点

明文传输，不能加密

ipsec vpn 和gre结合的优点

在gre隧道口调用map，走隧道的数据流都会被加密

隧道限制数据流，不用配置感兴趣流和对等体

gre提供隧道，ipsec使用传输模式

DMVPN（动态多点隧道技术）

特性

只在hub-spoke之间进行配置

具备逻辑上的full-mesh连通性

支持spoke的动态添加

增加spoke无需改变hub配置

spoke节点间动态触发ipsec隧道

优化网络性能，防止次优路径

支持使用动态路由协议学习路径

四大组件

MGRE

nhrp

动态路由协议

IPSEC

vpn

类型

建设单位

运营商：MPLS

客户自建：GRE IPSEC L2F PPTP

网络层次

二层：L2TP L2F PPTP

三层：GRE IPSEC

应用层：SSL

常见vpn技术

隧道技术

加解密技术

完整性验证

md5

sha

身份认证技术

预共享密钥

数字证书

密钥管理技术

ike

加密学基础

目标

私密性

完整性

源认证

不可否认性

算法

对称加密

des 3des aes（常用）

优缺点

优点：加解密速度快

缺点：安全性低

非对称加密

公钥加密：rsa

优缺点

优点：密钥安全性高

缺点：加解密对速度敏感

散列函数

特点

任意长度输入，固定长度输入

雪崩效应

单向不可逆

冲突避免

计算迅速

常见散列函数

MD5

sha_1

sha_2

作用

报文完整性检验

数据来源检验（身份验证）

消息认证

HMAC

用预共享密钥和消息做哈希运算出散列值

数字签名

作用

源认证

完整性

不可否认性

缺点

无法判断对方公钥真假

数字证书

私密性

认证公钥

Ip-sec体系框架

特性

私密性

数据完整性

源认证

防重放

密钥管理

框架

安全模式

ESP

特点

提供真实数据（源认证）、数据完整性、防重放、数据机密性

支持加密算法

ip上层协议号50

认证范围

传输模式

不包含ip头，从esp头到esp尾部

不能穿越nat：tcp检验会检验tcp伪头部，包含ip地址

隧道模式

不包含ip头，从esp头到esp尾部

可以穿越nat1对1，不能穿越pat

AH（不常用））

特点

提供数据源认证、完整性和防重放

不支持加密算法

ip上层协议号51

结构

安全参数索引（spi）

序列号

实现防重放

认证数据

对负载数据进行哈希运算的结果

负载数据

认证范围

传输模式

原始ip头到最后

隧道模式

新的ip头到最后

AH无法穿越NAT,因为ip头包含在认证范围内

ah和esp的区别

ah不能保证私密性

esp不能对ip头进行完整性检验，ah对整个ip-sec数据流进行完整性检验

ah不能穿越nat，esp可以穿越1对1的nat

加密模式

des

3des

aes

验证算法

md5

sha

密钥交换

IKE

版本

IKEv1

IKEv2

简化协议过程

支持更新的算法，强度更高

对远程接入vpn支撑性更高

功能

协商协议参数（加密算法、认证方式等）

交换公钥密钥，产生密钥资源

对双方进行认证

构成

Oakley

基于Dh算法的自由形态协议，让ike支持更多协议

SKEME

定义如何验证密钥交换

ISAKMP

定义IkE数据包的格式，具体交换过程和如何进行模式切换

作用

降低手工配制的复杂度

安全联盟定时更新

密钥定时更新

允许ipsec提供防重放攻击

允许端到端之间动态认证

安全机制

DH算法、密钥分发

前向安全性

身份验证

身份保护

IKEv1的交换阶段

第一阶段

模式

Main Mode

Aggressice Mode

内容

1、协商对等体之间使用的IKe安全协议

加密算法

验证算法

密钥管理

DH组（组号越大，强度越高）

密钥生命周期

2、通过DH算法交换密钥材料并生成密钥

3、对等体之间验证彼此身份

PSKs（预共享密钥）、数字签名的Hash值互相发送等方式

第一阶段的最终目的是为了生成3个子密钥，来给第二阶段进行计算

第二阶段

Quick Mode

协商出ipsecーsa，来保护之后的数据流

协商生成ipsecーsa的各项参数（封装协议，加密算法、哈希算法等）

生成ipsexーsa认证及加密所需密钥

封装模式

传输模式

加密点＝传输点

隧道模式

加密点≠传输点

安全联盟SA

三元组

安全参数索引SPI

用于区分不同sa

目的ip地址

安全协议号

协商要素

封装模式

加密算法

验证算法

DH组

密钥

密钥生命周期

ipsec sa和IKE sa

ipsec sa

单向

封装协议（AH ESP AH+ESP）

封装模式（传输模式和隧道模式）

加密算法（des 3des等）

验证算法

预共享密钥以及密钥的生存周期

IKE sa

双向

身份验证方法（pre-share rsa-encr rsa-sig）

DH密钥交换组id

加密算法

验证算法（md5 sha1）

ike sa生命周期

ipsec配置思路

明确感兴趣流

明确如何保护（加密算法、验证方法等）

明确对等体

ipsec手工配置步骤

1、配置转换集（定义算法，验证算法，封装方式）

配置感兴趣流：acl

创建策略：手工配置对等体，密钥 spi 封装模式，调用转换集

在端口上调用策略

ipsec和nat

NAT-T nat穿越技术

esp没有端口号，在进行nat转换时将上层协议的端口号拿来一同转换。关闭nat-t后使用spi（唯一）来当做端口号进行转换

工作顺序：二者在同一设备上时，先进行nat转换，再进行ipsec加密

gre over ipsec

ipsec vpn缺点

传统ipsec vpn不支持组播流量加密

不支持动态路由协议

大规模场景下手工书写acll匹配感兴趣流操作繁琐

大规模路由总部与分支机构场下手工写默认路由无法保证流量正确传递

大规模……下手工书写明细路由操作繁琐

gre缺点

明文传输，不能加密

ipsec vpn 和gre结合的优点

在gre隧道口调用map，走隧道的数据流都会被加密

隧道限制数据流，不用配置感兴趣流和对等体

gre提供隧道，ipsec使用传输模式

DMVPN（动态多点隧道技术）

特性

只在hub-spoke之间进行配置

具备逻辑上的full-mesh连通性

支持spoke的动态添加

增加spoke无需改变hub配置

spoke节点间动态触发ipsec隧道

优化网络性能，防止次优路径

支持使用动态路由协议学习路径

四大组件

MGRE

nhrp

动态路由协议

IPSEC