本篇主要讲解关于×××中有关IPSEC的相关理论知识:
一、 ××× 简介
伴随企业和公司的不断扩张,员工出差日趋频繁,驻外机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet 资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为××× 的应用奠定了广阔市场。
×××(Virtual Private Network,虚拟私有网)是近年来随着Internet 的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。
1. ××× 的特点
(1)、××× 有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。
(2)、××× 只为特定的企业或用户群体所专用。从××× 用户角度看来,使用×××与传统专网没有区别。××× 作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,××× 资源不会被承载网络中的其它××× 或非该××× 用户的网络成员所使用;另一方面,××× 提供足够安全性,确保×××内部信息不受外部的侵扰。
(3)、 ××× 不是一种简单的高层业务。该业务建立专网用户之间的网络互联,包括建立××× 内部的网络拓扑、路由计算、成员的加入与退出等,因此××× 技术就比各种普通的点对点的应用机制要复杂得多。
2. ××× 的优势
(1)、在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。
(2)、利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率,有助于增加ISP(Internet Service Provider,Internet 服务提供商)的收益。
(3)、只需要通过软件配置就可以增加、删除 ××× 用户,无需改动硬件设施。这使得××× 的应用具有很大灵活性。
(4)、支持驻外 ××× 用户在任何时间、任何地点的移动接入,这将满足不断增长的移动业务需求。
(5)、构建具有服务质量保证的 ×××(如MPLS ×××),可为××× 用户提供不同等级的服务质量保证,通过收取不同的业务使用费用可获得超额利润。
二、××× 的分类
1. 按运营模式划分
(1) CPE-based ×××
(2) Network-based ×××(NBIP-×××)
2. 按隧道所属的层次划分
根据是在 OSI 模型的第二层还是第三层实现隧道,隧道协议分为第二层隧道协议和
第三层隧道协议。
(1) 第二层隧道协议
第二层隧道协议是将整个 PPP 帧封装在内部隧道中。现有的第二层隧道协议有:(以下内容参考RFC)
l PPTP(Point-to-Point Tunneling Protocol):点到点隧道协议。
l L2F(Layer 2 Forwarding)协议:二层转发协议。
l L2TP(Layer 2 Tunneling Protocol):二层隧道协议。
(2) 第三层隧道协议
第三层隧道协议的起点与终点均在 ISP 内,PPP 会话终止在NAS 处,隧道内只携带第三层报文。现有的第三层隧道协议主要有:
l GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。
l IPSec(IP Security)协议:IPSec 协议不是一个单独的协议,它给出了IP 网络上数据安全的一整套体系结构。包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。
GRE 和IPSec 主要用于实现专线××× 业务
(3) 第二、三层隧道协议之间的异同
3. 按业务用途划分
(1) Intranet ×××(企业内部虚拟专网)
(2) Access ×××(远程访问虚拟专网)
(3) Extranet ×××(扩展的企业内部虚拟专网)
4. 按组网模型划分
(1) 虚拟租用线(VLL)
(2) 虚拟专用拨号网络(VPDN)
(3) 虚拟专用LAN 网段(VPLS)业务
(4) 虚拟专用路由网(VPRN)业务
三、 IPSec 协议简介
IPSec 是一系列网络安全协议的总称,它是由IETF(Internet Engineering TaskForce,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
IPSec 是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对×××(Virtual Private Network,虚拟专用网络)安全性的顾虑,使得××× 得以广泛应用。
IPSec 的配置包括:
l 创建加密访问控制列表
l 定义安全提议
l 选择加密算法与认证算法
l 创建安全策略
l 在接口上应用安全策略组
加密卡实现 IPSec 的配置包括:
l 创建加密访问控制列表
l 配置加密卡
l 使能 VRP 主体软件备份
l 定义安全提议
l 选择加密算法与认证算法
l 创建安全策略
l 在接口上应用安全策略组
创建安全策略分为:手工创建和用IKE创建安全策略联盟
接下来的博客将分别来做ipsec手工配置安全策略、IKE动态获得、野蛮模式下的ipsec安全策略隧道通信的相关实验。请看博文“IPSEC在企业网中的应用(二)、(三)、(四)”。
更多内容请参考本人上传的附件“×××相关知识”