Tag: VPN

  1. VPN实验杂记二

    remote vpn,ezvpn 他们的类型是一样的,server端的配置也是一样的。 crypto isakmp policy   remote vpn和ezpvn的client都有默认内建策略。 用户根据拨的组不同,得到的配置也不同。   使用证书的Remote vpn 第一阶段为main mode 使用pre-share-key的Remote vpn 第一阶段为aggressive mode   客户端配置: crypto ipsec client ezvpn cisco connect auto/manual group 组名 key mode 使用什么样的模式 client只能client发起连接,会得到ip地址、network client可以发起到server,server也能发起到client,不会得到ip地址 peer 定义server是谁?   调用 接口下面(要调用两次) 外部接口:…

    on 安全 VPN 思科

  2. VPN实验杂记一

    感兴趣流量acl问题: 两端acl不匹配:比如一端acl是24位的,另外一端acl是32位的,只能32位一端能主动发起vpn;如果24位主动发起的,vpn是不能被建立的。 在建立IPSec过程中,两端会交换ACL来匹配,比如 A端 acl 32位 ----> B端 acl 24位     协商成功 B端 acl 24位 ----> A端 acl 32位     协商不成功 路由器上 isakmp默认是开启的,防火墙上 isakmp默认是关闭的。   VPN配置4大块: 路由问题 感兴趣流量 第一阶段策略 第二阶段转换集   出接口要挂map,入接口不一定需要挂map lan2lan配置---路由器和路由器,路由器和pix 清除vpn配置的时候,先摘除map。   防火墙配置vpn时,要注意vpn和nat的重叠问题,vpn的优先级要比nat低;如果vpn中的流量…

    on 安全 VPN 思科

  3. VPN理论8

    VPN封装流程:   VPN协商过程:     1,路由 2,列表 3,策略 4,调用   路由问题: 通讯点:需要知道对端通讯点路由 加密点:需要知道对端加密点及两端通讯点路由   列表问题: 如果被列表匹配,只有两种解决方案: 1,加密出去, 2,没有完成加密丢弃   调用问题: 应该选择在所有可能的路由出接口调用。   Ipsec vpn 协商及封装过程: 1,从R1去往R6发起vpn流量   ping 6.6.6.6 so 1.1.1.1 2,查看路由表,经由2到3 3,…

    on 安全 VPN 思科

  4. VPN理论7

    IKE介绍 IKE负责在两个IPSec对等体间协商一条IPSec隧道的协议。 协商协议参数 交换公共密钥 对双方进行认证 在交换后对密钥进行管理   IKE的三个组成部分: SKEME 定义一种密钥交换方式 oakley 提供在两个IPSec对等体间达成相同加密密钥的基本模式的机制。(对多模式的支持,例如对新的加密技术。并没有具体定义交换什么样的信息。) ISAKMP 定义了消息交换的体系结构,包括两个IPSec对等体间分组形式和状态转变 (定义封装格式和协商包交换的方式)   IKE的三个模式:   lan to lan一般使用主模式 remote vpn 一般使用主动模式,考虑到过去pc性能太差,才使用主动模式。后来考虑到3个包的主动模式缺乏认证,提出了1.5阶段xauth来提供认证。   show crypto isakmp sa : QM_IDLE 表示快速模式已结束   IKE 6个包的作用: 1-2个包:用来协商IKE策略。这些包里面包含IP地址(这个是crypto isakmp key…

    on 安全 VPN 思科

  5. VPN理论6

    ESP数据包的进入处理 1.检查处理这个包的SA是否存在 2.检查序列号是否有效 3.对数据包进行完整性和来源进行验证 4.对数据包进行解密 (为什么先验证,再解密,因为验证过程对CPU消耗比较少,解密过程对CPU消耗大,以防路由器做无用功;在出项处理时,先对数据包加密,然后做验证) 5.对数据包进行初步的有效性校验 验证模式是否匹配 transport mode:上层协议头与IP头是同步的,ESP头的下一个头字段被复制到IP头的协议字段中, 并计算出一个新的IP校验和。 tunnel mode:就抛开外部IP头和ESP头----我们需要的是这个解开封装的包。这时,必须进行另一个有效性校验。如果这个包和所要求的地址 和/或 端口,和/或 协议(SA表明的)不相符,必须将它丢弃。 会使用ACL对数据包进行反向检查,如果相符,通过;不相符,丢弃。 6. transport mode:就会转送到一个高一级的协议层----比如TCP或UDP----由它们对这个包进行处理。 tunnel…

    on 安全 VPN 思科

  6. VPN理论5

    IPSec的组成部分: ESP 负载安全封装协议   协议号:50 (不对原IP头进行加密,ESP provides data confidentiality, data integrity, and data origin authentication. ESP also prevents replay attacks.) AH  认证头部协议         协议号:51  不提供加密 IKE Internet密钥交换    UDP:500   ESP包格式 Tunnel mode ESP   transport mode ESP     ESP包字段解释: SPI:和IP头之前的目标地址以及协议结合在一起,用来标识用于处理数据包的特定的安全关联。   序列号:使esp具有了抵抗重放攻击的能力,比如我成功传输了800,但是现在你传输给我一个700,…

    on 安全 VPN 思科

  7. VPN理论4

    密钥交换 对称加密算法和对称MAC都要求使用一个共享的密钥;如何来共享这个密钥?这个时候就要使用DH密钥交换了 DH是第一种公共密钥加密系统(Diffie-Hellman是一种建立密钥的方法,而不是加密方法。然而,它所产生的密钥可用于加密、进一步的密钥管理或任何其它的加密方式)。DH密钥交换建立在"离散对数问题"的基础上。   DH交换过程中涉及到的 所有参与者首先都必须隶属于 一个组。这个组定义了要使用哪个质数p,以及底数g。 Diffie-hellman密钥交换分两个部分: 1.在每一端(A和B),需要选择一个随机的私人数字(小a 和 小b),并在组内进行乘幂运算,产生一个公共值(大A 和 大B)   2.开始交换自己的公共密钥,A将 大A 给B,B将 大B 给A,他们再次进行乘幂运算,使用当事人的公共值作为底数,以生成共享的一个秘密   DH密钥交换的一个缺点:易受 中间人 的攻击;解决方法:…

    on 安全 VPN 思科