136. AH可选用的加密为MD5和SHA1。ESP可选的DES和3DES。
137. IPSec安全特点,数据机密性、完整性、来源认证和反重放。
138. IPSec基本概念:数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式
139. 安全联盟 SA-包括协议、算法、密钥等,SA就是两个IPSec系统间的一个单向逻辑连接,安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。
140. 安全参数索引SPI:32比特数值,全联盟唯一。
141. 安全联盟生存时间 Life Time:安全联盟更新时间有用时间限制和流量限制两种。
142. 安全策略 crypto Map :即规则。
143. 安全提议 Transform Mode :包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。
144. AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。
145. IKE-internet key exchange 因特网密钥交换协议,为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。
146. IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。
147. PHS特性由DH算法保证。
148. IKE交换过程,阶段1:建立IKE SA;阶段2:在IKE SA下,完成IPSec协商。
149. IKE协商过程:1 SA交换,确认有关安全策略;2 密钥交换,交换公共密钥;3 ID信息和验证数据交换。
150. 大规模的IPSec部署,需要有CA-认证中心。
151. IKE为IPSec提供定时更新的SA、密钥,反重放服务,端到端的动态认证和降低手工配置的复杂度。
152. IKE是UDP上的应用层协议,是IPSec的信令协议。他为IPSec建立安全联盟。
153. IPsec要确定受保护的数据,使用安全保护的路径,确认使用那种保护机制和保护强度。
154. IPSec配置:1 创建加密访问控制列表、2 定一安全提议 ipsec proposal [name];ipsec card-protposal [name]、3 设置对IP报文的封装模式 encapsulation-mode [transport or tunnel]、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法 只有ESP可加密、6 创建安全策略 ipsec policy 应用安全策略到接口 ipsec policy
155. IKE配置:1创建IKE安全策略 ike proposal [num]、2 选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥 ike pre-shared-key key remote [add]、4 配置keeplive定时器
156. keeplive定时器包括 1 interval定时器 按照interval时间间隔发送keeplive报文 2 timeout定时器 超时检查
157. debug ipsec misc/packet/sa
QoS
158. QoS-quality of service 服务质量保证。在通信过程中,允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。
上一页 [1] [2] [3] [4] [5] [6] 下一页
责任编辑:虫虫