- 海之寻趣
- Ranler
- 2014-11-19 11:19
- CC BY-NC-SA 3.0
IPSec VPN初步
VPN
- site-to-site: 点对点
- GRE: tunnel
- IPSec VPN
-
MPLS VPN: MPLS技术,骨干网络
-
remote access: 网络外访问
- IPSec VPN
- VPDN: PPTP, L2TP, PPPoE
- SSL VPN
GRE
IP头部和IP负载没有加密。
IPSec
特点:
- 加密传输层以上
- 完整性验证
- 来源验证
IPSec没有定义加密和hash函数:
- hash函数: MD5,SHA-1;容易遭受中间人攻击,通过“加盐”可以加强(HMAC)
- 加密算法:
- 对称(密钥相同): DES, 3DES,AES(WPA2), RC4; 密钥不安全
- 非对称(密钥不同): RSA,DH, ECC; 可以使用数字签名,加密慢,密文变长
- 结合对称和非对称: 对称密钥每次随机产生,用于加密正文。初始双方持有非对称密钥,用于加密随机产生的对称密钥。
封装协议:
- ESP协议: IP协议号50。只保护IP负载数据,不保护IP头部。加密、完整性、源认证。
- AH协议: IP协议号51。完整性,源认证,不加密。
封装模式:
- Transport Mode:IP头部不变,IP负载加密,在之前插入ESP头部。IP必须可以路由。
- Tunnel Mode: IP头部和IP负载加密,在IP头部之前增加新IP头部和ESP头部。