資源描述:
《IPSecVPN網絡安全協(xié)議測試與分析》由會員上傳分享,免費在線閱讀,更多相關內容在工程資料-天天文庫。
1、網絡安全技術及應用實訓報告題目:IPSecVPN網絡安全協(xié)議測試與分析專業(yè):學生姓名:學號:指導教師:時間:目錄前言31.IPSecVPN1.1導入協(xié)議原因31.2安全協(xié)議31.3IPsecVPN網絡結構32.IPSecVPN基本原理2.1IPSecVPN應用場景42.2IPSecVPN封裝模式52.3IPSecVPN隧道和傳輸模式應用場景52.4IPSecVPN建立SA方式53.IPSecVPN模擬3.1GNS3模擬器3.1.1交換機生產廠家53.1.2服務器生產廠家63.2IPSecVPN模擬配置63.3IPSecVPN配置詳細73.5IPSecVPN數據協(xié)議分析94.IPSecVPN
2、局限性4.1NAT設備穿越125.參考資料196?小結19刖呂IPSecVPN即指采用IPSec協(xié)議來實現遠程接入的一種VPN技術,IPSec全稱為InternetProtocolSecurity,是出InternetEngineeringTaskForce(IETF)定義的安全標準框架,用以提供公用和專用網絡的端對端加密和驗證服務。IPSEC是一套比較完整成體系的VPN技術,它規(guī)定了一系列的協(xié)議標準。如果不深入探究IPSEC的過于詳細的內容,我們對于IPSEC大致按照以下幾個方面理解。VPN國家標準:標準制定單位:華為技術有限公司、屮興、深信服科技有限公司、無錫江南信息安全工程技術中心1
3、.IPSecVPN1.1導入協(xié)議原因導入IPSEC協(xié)議,原因有2個,一個是原來的TCP/IP體系中間,沒有包括基于安全的設計,任何人,只要能夠搭入線路,即可分析所有的通訊數據。IPSEC引進了完整的安全機制,包押i加密、認證和數據防篡改功能。另外一個原因,是因為Internet迅速發(fā)展,接入越來越方便,很多客戶希望能夠利用這種上網的帶寬,實現異地網絡的的互連通。IPSEC協(xié)議通過包封裝技術,能夠利用Internet可路由的地址,封裝內部網絡的IP地址,實現異地網絡的互通。1.2安全協(xié)議設想現實一種通訊方式。假定發(fā)信和收信需要有身份證(成年人才有),兒童沒有身份證,不能發(fā)信收信。有2個兒童,
4、a和b,他們的老爸是A和B?,F在a和b要寫信互通,怎么辦?一種合理的實現方式是:a寫好一封信,封皮寫上然后給他爸爸,A寫一個信封,寫上“A->B”,把前面的那封信套在里面,發(fā)給B,B收到信以后,打開,發(fā)現這封信是給兒子的,就轉給b了。blul信也一樣,通過他父親的名義發(fā)冋給a。這種通訊實現方式要依賴以下幾個因素:*8和A可以收信發(fā)信*a發(fā)信,把信件交給A。*A收到兒子的來信以后,能夠正確的處理(寫好另外一個信封),并且重新包裝過的信封能夠正確送出去。*另外一端,B收到信拆開以后,能夠正確地交給b。*反過來的流程一樣。把信封的收發(fā)人改成Internet上的IP地址,把信件的內容改成IP的數據
5、,這個模型就是IPsec的包封裝模型。A和b就是內部私網的IP主機,他們的老爸就是VPN網關,木來不能通訊的兩個異地的局域網,通過出口處的IP地址封裝,就可以實現局域網對局域網的通訊。引進這種包封裝協(xié)議,實在是有點不得已。理想的組網方式,當然是全路由方式。任意節(jié)點之間可達(就像理想的現實通訊方式是任何人之間都可以直接寫信互通一樣)。Internet協(xié)議最初設計的時候,IP地址是32位,當時是很足夠了,沒有人能夠預料到將來Internet能夠發(fā)展到現在的規(guī)模(相同的例子發(fā)生在電信短消息上面,由于160字節(jié)的限制,很大地制約了短消息的發(fā)展)。按照2的32次方計算,理論上最多能夠容納40億個左右
6、IP地址。這些IP地址的利用是很不充分的,另外人約有70%左右的IP地址被美國分配掉了(誰讓人家發(fā)明并且管理Internet呢?)所以對于屮國來說,可供分配的IP地址資源非常有限。既然IP地址有限,又要實現異地lan-lan通訊,包封包,自然是最好的方式To1.2.1加密依然參照上述的通訊模型。假定A給B的信件要通過郵政系統(tǒng)傳遞,而屮間途徑有很多好事之徒,很想偷看a和b(ab作生意,通的是買賣信息)通訊,或者破壞其好事。解決這個問題,就耍引進安全措施。安全可以讓b和a自己來完成,文字用暗號來表示,也可以讓他們的老爸代勞完成,寫好信,交給老爸,告訴他傳出去之前重新用暗號寫一下。IPSEC協(xié)議
7、的加密技術和這個方式是一樣的,既然能夠把數據封裝,自然也可以把數據變換,只要到達目的地的時候,能夠把數據恢復成原來的樣子就可以了。這個加密工作在Internet口的VPN網關上完成。1.2.2數據認證述是以上述通訊模型為例,僅僅有加密是不夠的。把數據加密,對應這個模型中間,是把信件的文字用喑號表示。好事Z徒無法破解信件,但是可以偽造一封信,或者胡亂把信件改一通。這樣,信件到達冃的地以后,內容就面冃全非了,而且收信一方不知