Loading...
首页 > 学习中心 > 文档

IPsec VPN 视频集分享

创建于: 2012-06-25 11:11:33          

1-1 IPSEC概述之IPSEC的故事


大家好,IPSEC的第一节课,我们通过一个小故事,分析一下通信过程中可能出现安全隐患。假设Alice和Bob需要通信,Eve是入侵者,企图干扰两个人的通信。那么Eve采用哪些方式达到目的,如何预防嗯?(1)伪造身份:Eve伪装成Alice与Bob进行通信,这样Bob通信的对象就是Eve而不是Alice。IPSEC提供了身份认证功能,通过密码(PSK)和证书(CA)方式,确认对方身份。(2)监听:Eve可以监听Alice和Bob之间通信内容。IPSEC可以对通信内容进行加密。(3)数据篡改:Eve伪装成Alice的网关,这样Alice发送的内容都必须经过Eve转发出去,只要Eve随便修改数据,Bob就无法正常解密。IPSEC提供数据完整性验证,可以让Bob及时发现数据是否被篡改。(4)重传攻击:Eve实在没有办法了,只要反复地重传数据,这样Bob看到了大量了垃圾数据。IPSEC提供了数据的抗重传功能。

 

 

 

1-2 IPSEC概述之身份验证


大家好,Alice和Bob之间通信,首要的任务是进行身份确认。身份验证有两种方式:提前共享密钥(Pre-shared-key,PSK)和证书(Certificate Authority,CA)。PSK方式需要没对儿终端之间配置密钥,适用于中小型网络。如果网络规模很大,那么维护这些密钥是一项比较繁重的任务。对于大型网络,建议适用CA方式来验证身份。本视频详细讲解了PSK和CA,建议大家认真学习。

 

 

 

1-3-1 IPSEC概述之密钥管理(1)


大家好,Alice和Bob通信之前,需要身份验证。身份验证有两种方式:提前共享密钥(Pre-shared-key,PSK)和证书(Certificate Authority,CA)。PSK方式,需要上方协商密钥。这种密钥,绝对不能让别人知道的。普通的协商协议,必然在互联网上互传密钥,存在着巨大的风险,是无法容忍的。所以,密钥管理的协议,不可以在互联网上传递密钥,最终通信双方需要得到一致的密钥。这种神奇的协议(算法),就是迪夫-赫尔曼算法。这种算法不互通密钥,他们通过各种参数和不可逆的算法,得到相同的计算结果。这个计算结果通过分裂算法,得到密钥组,供IPSEC使用。我们通过三节课来详细讲解PSK过程,建议大家认真学习。

 

 

 

1-3-2 IPSEC概述之密钥管理(2)


大家好,Alice和Bob通信之前,需要身份验证。身份验证有两种方式:提前共享密钥(Pre-shared-key,PSK)和证书(Certificate Authority,CA)。PSK方式,需要上方协商密钥。这种密钥,绝对不能让别人知道的。普通的协商协议,必然在互联网上互传密钥,存在着巨大的风险,是无法容忍的。所以,密钥管理的协议,不可以在互联网上传递密钥,最终通信双方需要得到一致的密钥。这种神奇的协议(算法),就是迪夫-赫尔曼算法。这种算法不互通密钥,他们通过各种参数和不可逆的算法,得到相同的计算结果。这个计算结果通过分裂算法,得到密钥组,供IPSEC使用。我们通过三节课来详细讲解PSK过程,建议大家认真学习。

 

 

 

1-3-3 IPSEC概述之密钥管理(3)


大家好,Alice和Bob通信之前,需要身份验证。身份验证有两种方式:提前共享密钥(Pre-shared-key,PSK)和证书(Certificate Authority,CA)。PSK方式,需要上方协商密钥。这种密钥,绝对不能让别人知道的。普通的协商协议,必然在互联网上互传密钥,存在着巨大的风险,是无法容忍的。所以,密钥管理的协议,不可以在互联网上传递密钥,最终通信双方需要得到一致的密钥。这种神奇的协议(算法),就是迪夫-赫尔曼算法。这种算法不互通密钥,他们通过各种参数和不可逆的算法,得到相同的计算结果。这个计算结果通过分裂算法,得到密钥组,供IPSEC使用。我们通过三节课来详细讲解PSK过程,建议大家认真学习。

 

 

 

1-4 IPSEC概述之安全协议


大家好,我们来讲解IPSEC的安全协议。安全协议负责数据的加密和完整性保护。IPSEC的main mode过程,提供了身份验证功能;quick mode协商通信双方的安全协议。在正式的数据传输过程中,不再进行身份验证,而只有安全协议起作用。安全协议分为:ESP和AH,常用ESP协议。本视频讲述了IPSEC的main mode、quick mode和安全协议的工作流程。

 

 

 

1-5 IPSEC概述之传送模式


大家好,我们来讲解传送模式。传送模式是IPSEC的重要概念,理解了传送模式,可以帮助大家更深层次地理解IPSEC,并通过IPSEC设计出更精确的网络解决方案。IPSEC存在三种传送模式:(1)Tunnel模式:类似GRE封装,是IPSEC默认的和最常用的传送模式;(2)Transparent模式:IPSEC保护的数据流,目的地址和源地址都是全网可路由的,那么就不必使用Tunnel模式来形成隧道,而是直接使用Transparent模式;(3)UDP Tunnel模式:当IPSEC需要通过NAT/PAT时,NAT/PAT设备可能无法处理ESP或AH(较古老的设备)。为了兼容这些NAT/PAT设备,ESP或AH需要转化为NAT/PAT可处理的流量,例如UDP。

 

 

 

1-6 IPSEC概述之实验配置PSK


大家好,我们已经讲解了IPSEC的基本知识。第一章的最后两节课,我们采用实验的方式,将前面的内容贯穿起来。本节课我们采用PSK作为身份验证方式,配置常用的IPSEC L2L网络。

 

 

 

1-7 IPSEC概述之实验配置CA


大家好,我们已经讲解了IPSEC的基本知识。第一章的最后两节课,我们采用实验的方式,将前面的内容贯穿起来。本节课我们采用CA作为身份验证方式,配置常用的IPSEC L2L网络。

评论 (9)