IPSEC VPN配置名词解释

安全
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解,下面我们给大家介绍一下有关IPSEC VPN配置名词的解释。

第一阶段IKE(InternetKeyExchange,因特网密钥交换协议)设置

大多数产商都把这个叫成VPNsGateway

协商模式:

可以选择主模式(Main)或野蛮模式(Aggressive)。当选择主模式时,只能使用ip地址作为ID的类型。当用户端设备的IP地址为动

态获取的情况时,需要选择野蛮模式。IKE野蛮模式相对于主模式来说更加灵活,可以选择根据协商发起端的IP地址或者ID来查找

对应的身份验证字,并最终完成协商。

验证方法AH(AuthenticationHeader):

身份验证确认通信双方的身份。目前在IKE提议中,仅可用pre-shared-key身份验证方法,使用该验证方法时必须配置身份验证

字。

加密算法:

1.包括DES和3DES加密算法,

2.DES算法采用56bits的密钥进行加密;

3.3DES算法采用168bits的密钥进行加密;

4.AES128(AdvancedEncryptionStandard,即高级加密标准)采用Rijndael中的128bits的密钥进行加密

5.AES192(AdvancedEncryptionStandard,即高级加密标准)采用Rijndael中的192bits的密钥进行加密

6.AES256(AdvancedEncryptionStandard,即高级加密标准)采用Rijndael中的256bits的密钥进行加密

一般来说,密钥越长的算法强度越高,受保护数据越难被破解,但消耗的计算资源会更多。

Diffie-Hellman组标识(DH):

用户可以选择Group1即768bit或Group2即1024bit。

ISAKMP-SA生存周期:

IKE使用了两个阶段为IPSEC进行密钥协商并建立安全联盟。第一阶段,通信各方彼此间建立了一个已通过身份验证和安全保护的

通道,即ISAKMP安全联盟(ISAKMPSA);第二阶段,用在第一阶段建立的安全通道为IPSEC协商安全服务,即为IPSEC协商具

体的安全联盟,建立IPSECSA,IPSECSA用于最终的IP数据安全传送。ISAKMP-SA生存周期可以设定为60到604800之间的一

个整数。

定时发送keepAlive报文:

IKE通过ISAKMPSA向对端定时发送Keepalive报文维护该条ISAKMPSA的链路状态。当对端在配置的超时时间内未收到此

Keepalive报文时,如该ISAKMPSA带有TIMEOUT标记,则删除该ISAKMPSA及由其协商的IPSECSA;否则,将其标记为

TIMEOUT。

第二阶段IPSEC

封装模式:

包括传输模式(Transport)和隧道模式(Tunnel)。从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和

加密;此外,可以使用IPSEC对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有

一个额外的IP头。因此,到底使用哪种模式需要在安全性和性能间进行权衡。

安全联盟生存周期:

所有在安全策略视图下没有单独配置生存周期的安全联盟,都采用全局生存周期。IKE(InternetKeyExchange,因特网密钥交换

协议)为IPSEC协商建立安全联盟时,采用本地设置的和对端提议的生存周期中较小的一个。安全联盟生存周期的输入范围为

30~604800的整数。

采用的安全协议:

安全提议中需要选择所采用的安全协议。目前可选的安全协议有AH和ESP,也可指定同时使用AH与ESP。安全隧道两端所选择的

安全协议必须一致。

ESP协议加密算法:

ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法的实现主要通过对称密钥系统,即使用相同的

密钥对数据进行加密和解密。一般来说IPSEC使用两种加密算法:DES和3DES。

ESP协议及AH协议验证算法:

AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。一般来说IPSEC使用两种验证算法:MD5和

SHA-1。

1.MD5:MD5输入任意长度的消息,产生128bit的消息摘要。

2.SHA-1:SHA-1输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-1的摘要长于MD5,因而是更安全的。

使用NAT穿越:

在IPSEC/IKE组建的VPN隧道中,若存在NAT安全网关设备,则必须配置IPSEC/IKE的NAT穿越功能。

【编辑推荐】

  1. IPSec VPN快速入门
  2. IPSec VPN基本原理
  3. IPSec VPN的详细介绍
  4. 基于PSK的IPsec VPN配置
责任编辑:于爽 来源: hi.baidu.com
相关推荐

2011-04-08 17:53:31

数据库

2017-04-13 09:10:06

Spark解释关系

2014-06-25 09:22:47

大数据营销

2011-11-29 16:08:30

IPsec VPN

2023-12-22 09:06:57

PySpark函数

2011-01-04 16:20:57

linux名词解释

2009-06-23 16:52:55

J2EE缩写名词

2011-12-02 10:37:14

JavaJ2ME

2011-11-25 13:24:56

2011-11-29 14:50:19

IPSecVPN

2011-11-25 13:49:17

2009-05-31 09:18:25

cnbeta

2020-02-10 11:32:11

区块链blockchain智能合约

2011-11-25 11:23:29

IPsec VPNIPsec VPN配置

2011-11-25 13:34:56

IPsec VPNIPsec VPN协议

2011-11-25 14:15:02

IPsec VPNIPsec VPN配置

2012-09-26 09:49:44

2012-09-28 09:44:32

2011-08-12 10:55:30

2011-11-29 12:27:54

点赞
收藏

51CTO技术栈公众号