网络规划设计师IPSEC VPN考点有哪些?为了方便考生及时有效的备考,编程学习网小编为大家精心整理了软考网络规划设计师IPSEC VPN考试知识点,供大家参考和学习。如想获取更多计算机软件水平考试的模拟题及备考资料,请关注编程学习网网站的更新。
IPSec不是一个单独的协议,它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议AH、封装安全负载协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。
1)认证头协议AH不能加密,只对数据报进行验证、保证报文的完整性,不能穿越NAT网络。
在IP包转发过程中,对于IP头中一些部分是变化的(比如服务类型TOS、TTL、分片相关的字段、校验和),因此在计算数据包完整性校验值的时候,必须把这些字段设置为0,其实就是不参与计算。对IP协议包的协议字段是51,表示采用AH。
2)IPsec封装安全负载(ESP):封装安全有效载荷协议ESP:具有加密性、既可以保证数据包的机密性,对IP协议包的协议字段是50,表示采用ESP,能够穿越NAT网络。
IPSec有两种操作模式:传输模式和隧道模式。
1)在传输模式下,IPsec包头增加在原IP包头和数据之间,在整个传输层报文段的后面和签名添加一些控制字段,构成IPsec数据报。这种方式是把整个传输层报文段都保护起来。因此只能保证原IP包数据部分的安全性;在传输模式中,两个需要通信的终端计算机运行IPsec协议。
2)隧道模式是对整个IP数据包提供安全传输机制。是在一个IP数据报的后面和前面都添加一些控制字段,构成IPsec数据报。在后面增加新的IP头部,分别是两个站点网关的源地址和目的地址。在隧道模式中,两个安全网关运行IPsec协议,对他们之间要加密的数据达成一致,再运用AH或ESP对数据进行保护。
建立SA的过程分两个阶段。建立加密隧道、传输加密的数据流。
第一阶段IKE SA:
通信双方彼此间建立了一个已通过身份验证和安全保护的通道,包括安全网关之间的认证方法,DH算法,数据完整性的检验,加密算法如DES,3DES,AES。这个阶段就是IKE的第一阶段。在阶段1,IKE提供了两种模式的选择:主模式和野蛮模式。主现在默认采用的都是主模式。
第二个阶段IPsec SA:
用第一阶段建立的安全通道为IPsec协商安全服务,即为IPsec协商具体的安全联盟。IPsec SA用于最终的 IP 数据安全传送。阶段2只有一个模式,快速模式。
所以IPSEC VPN的具体配置流程:
1,配置安全ACL
2,配置安全提议
3,配置IKE
4,配置安全策略
5,在接口应用安全策略
