简述ikev1 ipsec vpn
ipsec复杂吗,其实还是挺复杂的。我在这里简单理一理他的框架吧。ipsec vpn 可以分为手工方式,和ike协商方式两种。手工方式不推荐。所以常用的就是ike协商方式。协商的什么呢?协商的是加密和验证的密钥。ike目前有两个版本ikev1和ikev2。我们今天说的是ikev1。
ipsec 就两个阶段,搞清楚就完了。(SA:安全联盟)
ipsec第一阶段:建立ike sa
ipsec第二阶段:建立ipsec sa
ipsec第一阶段(ikev1主模式,ike协商模式有主模式和野蛮模式,推荐用主模式)
1、协商ike安全提议(就是两端是否支持相同的各种算法,比如加密算法、认证算法、DH组等)
2、使用DH算法交换密钥材料,并计算出密钥(在公网上交换密钥材料,并计算出三个秘钥,其中一个用于第二阶段密钥生成)
3、身份认证(身份可以是IP,设备名称,数字证书等)传输身份信息时就用到上面计算的密钥来加密了,安全性十足。
ipsec第二阶段
1、协商ipsec的安全提议(加密算法、认证算法、封装模式等)
2、协商被保护的数据流(也叫待加密流或者感兴趣流,由acl定义)
3、根据第一阶计算的密钥衍生出用于ipsec sa的密钥(用于数据加密)
好了两个阶段说完了。我们顺便在介绍下配置思路,分4步走吧
1、基础准备(配置acl加密流、配置ike proposal、配置ipsec proposal)
2、配置ike对等体(调用ike proposal、ike版本、预共享密钥、身份认证方式、对端和本地ip等)
3、配置ipsec策略(调用定义加密流的acl、调用ike peer对等体、调用ipsec proposal、pfs、限速等)
4、在接口下应用ipsec策略。
条理性很强,但缺少具体操作,坐等详细手册 华为认证,值得拥有!{:6_269:}{:6_268:}
页:
[1]