取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

【跟我一起读】Cisco IPSec VPN实战指南

45176
查看次数
2194
有帮助
104
评论
本帖最后由 nmyp007 于 2018-7-7 09:23 编辑
【管理员说-奖励设置】
参与奖:活动期间跟帖回复主题相关内容即可获得20积分
优质参与奖:每周优质回复内容可额外获得奖励50积分/条
幸运奖:每周从优质参与奖获奖用户中随机抽取2人赠送50元代金卡(京东卡或亚马逊卡二选一)
领读者福利: 100元京东卡+500积分奖励(你也想成为领读者,为大家分享好书?立即私信联系管理员


推荐理由

本书为cisco IPsec vpn提供了最佳配置实践、排除故障流程,为暂不熟悉ipsec vpn的网络管理员提供参考指南。
093140qomno0vymbys0svb.jpg

内容简介
这是一本全面介绍Cisco IPSec VPN的图书,主要涉及在Cisco路由器和ASA硬件防火墙上的IPSec VPN技术。
《Cisco IPSec VPN实战指南》一共分为10章,分别介绍了VPN技术、GRE技术与配置、IPSec基本理论、站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术、动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)、Easy VPN、ASA策略图等。本书附录还详细地介绍了Cisco模拟器的配置与使用。使用附录中介绍的模拟器可以实现本书中介绍的所有实例,因此本书的第一个特点就是实例的可操作性很强。本书的第二个特点就是采用了不同的讲述方式,作者不是生硬地介绍各种IPSec VPN特性,而是结合多年Cisco安全教学经验,首先展示各种IPSec VPN的故障现象,然后深入浅出、一步一步地分析导致这些故障的原因,最后给出相应的解决方案,让读者能够学习到整个排错和分析的过程与思路。本书的第三个特点就是大量作者原创的独门VPN解决方案,在一些特殊部署环境使用这些解决方案会得到意想不到的效果。

购书链接:
https://www.epubit.com/book/detail/4593

读书规划

第一周:6月11日-6月17日 1-3章:VPN技术简介、GRE、IPSec基本理论。
第二周:6月18日-6月24日 4-6章:站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术。
第三周:6月25日-7月1日 7-8章:动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)。
第四周:7月2日-7月8日:9章-10章:Easy VPN、ASA策略图。

我的问题
1、IPSec对VPN流量提供哪三个方面的保护?
答案:私密性、完整性、源认证
2、加密算法的分类及各个算法的优缺点、主流协议?

答案:加密算法分为对称密钥算法、非对称密钥算法
对称密钥算法:
优点:速度快、安全、紧凑
缺点:明文传输共享密钥,容易出现中途劫持和窃听的问题
随着参与者数量的增加,密钥数量急剧膨胀((n x(n-1))/2)
因为密钥数量过过,对密钥的管理和存储是有个很大的问题
不支持数字签名和不可否认性

主流协议:DES、3DES、AES、RC4
非对称密钥算法
优点:安全
由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全
密钥数目和参与者数目相同
在交换公钥之前不需要预先建立某种信任关系
支持数字签名和不可否认性
缺点:加密速度很慢
密文会变长

主流协议:RSA、DH、ECC
3、IKE的2个阶段与3个模式是什么?

答案:IKE第一阶段:产生IKE SA
IKE第二阶段:产生IPSec SA
3个模式:主模式(MM)、主动模式(AM)、快速模式(QM)
4、IOS IPSec VPN配置步骤及命令?

答案:·激活ISAKMP
Site1(config)#crypto isakmp enable

·配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1

·配置IKE第二阶段策略
1、配置感兴趣流
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
2、配置IPSec策略(转换集)
Site1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac
3、配置Crypto map
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800

·将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map
5、查看IPSec VPN的相关状态的命令?

答案:·查看ISAKMP SA的状态
Site1#show crypto isakmp sa

Site1#show crypto isakmp sa detail
·查看IPSec SA的状态
Site1#show crypto ipsec sa
6、ASA防火墙3个基本工作原理?
答案:原理1:从高安全级别(inside)到低安全级别(outside)的流量outbound流量,默认会被放行。
原理2:从低安全级别(outside)到高安全级别(inside)的流量inbound流量,默认是被拒绝的,但
是可以使用访问控制列表技术,根据需要放行inbound流量。

原理3:ASA防火墙默认只对穿越的TCP和UDP流量维护状态信息(即记录这个会话的源目IP、源目端口等信息),当这些TCP和UDP流量返回时,防火墙会查询状态化信息,如果匹配上对应条目后会放行。也就是说,即使这是一个Inbound流量,只要它是以前某一连接的返回数据包,它也能穿越ASA防火墙。
7、DMVPN相比于传统的IPSec VPN技术有哪些优点?
答案:1)、简单的星形拓扑配置,提供了虚拟网状连通性.
2)、分支站点支持动态IP地址.
3)、增加新的分支站点,无需更改中心站点配置.
4)、分支站点间流量,通过动态产生的站点间隧道进行封装.
8、DMVPN的4大组成协议?
答案:1)、动态多点GRE(Multipoint GRE,mGRE)协议.
2)、下一跳解析协议(Next Hop Resolution Protocol,NHRP).
3)、动态路由协议.
4)、IPSec 技术.
9、配置DMVPN的三大步骤?
答案:1)、配置mGRE和NHRP.
2)、配置动态路由协议.
3)、配置IPSec VPN
10、GETVPN的特点?
答案:1)、基于原生路由架构的透传解决方案
2)、IP Header Preservation技术,实现原始IP头部保留
3)、不影响Qos,不增加网络开销和复杂度
4)、基于trusted group members的概念,在group内的router使用相同的安全策略,比
点对点VPN管理更简单
5)、Group内成员预先协商安全参数(IPSec SA),实现任意到任意(any-to-any)连接
6)、即时连接,减少类似于语言流量的延时
7)、支持对单播和组播的加密
8)、是一个WAN解决方案,需要部署在全局可录音的网络环境,不适合在IPv4的互联网部署。

11、EZVpn的特性?

答案:1)、分割隧道;
2)、保存密码;
3)、备用网关;
4)、分割DNS特性;
5)、PFS特性。
12、DVTI的特点?

答案:1)、替代传统的Dynamic map配置;
2)、支持加密单播和组播;
3)、支持QoS、FW、NetFlow、ACL、NAT和VRF技术(注意不支持在DVTI接口上的动态路由协议);
4)、支持RADIUS服务器推送基于用户和组的策略;
5)、克隆虚拟模板(virtual template)配置,动态创建虚拟访问接口(virtual access interfaces)。

我的心得及分享
(每周伊始,更新心得体会哦,和我一起读书的小伙伴,欢迎在回复中交流)
第一周
该书1-3章主要讲了vpn的产生背景、连接方式、GRE的相关介绍和IPSec的基本原理、框架以及IKE协议的知识,重点在第2、3章IPSec的框架下的散列函数、加密算法、封装协议、密钥有效期,IKE的2个阶段与3个模式,什么情况用传输模式、什么情况用隧道模式。

第二周
4-6章主要讲了站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术,这三章是这边书的重点及精华所在,实践拓扑介绍、经典的配置方式、VPN的路由分析、GRE隧道及流量保护、动态地址、高可用性站点到站点IPSec VPN最佳方案等都有详细的介绍和分析。

第三周

7-8章主要讲了动态多点VPN(DMVPN)经典拓扑、实验,DMVPN的高可用性解决方案:单云双中心、双云双中心配置,及IPSec VPN企业内部部署时出现的问题:影响QoS、点对点IPSec SA造成的问题、覆盖路由及解决方法,GETVPN(组加密传输VPN)感兴趣流访问控制列表配置等。
第四周
Easy VPN的经典配置及常见问题故障排除、ASA的策略图的详细介绍及使用。

【管理员说-注意事项】
1. 禁止发表不当言论,不涉及政治、国家、党派等信息,禁止刷帖灌水行为,审核发现后将不能获得活动积分,对于在论坛中多次出现此行为者,将采取至少禁言一周的处罚。
2. 积分奖励在管理员审核通过后即刻发放,优质回复奖在活动结束发布获奖公告后进行发放。
3. 思科服务支持社区对本次活动有最终解释权。


评论
Mansur
Engager
沙发走起~体格小建议,每周更下问题前,可以更新下上周问题的答案,便于核对自己是否有错误。
1、IPSec对VPN流量提供哪三个方面的保护?
(1)对数据的加密
(2)对数据完整性的校验
(3)对数据源的合法认证
2、加密算法的分类及各个算法的优缺点、主流协议?
对称加密算法:des,3des,aes
非对称加密算是:rsa, dh
对称加密算法 的优点是加密速度快,缺点是密钥一旦被窃取,加密就失效
推荐使用3des和高强度的aes256
非对称加密算法 的优点是更安全,不用担心公钥被窃取,可用于数据加密和数字签名,缺点是消耗资源,加密速度慢
推荐使用rsa2048以上级别和dh group 14以上级别
3、IKE的2个阶段与3个模式是什么?
第一阶段: 协商isakmp sa
主动模式:使用预共享密钥的远程拨号VPN(即思科的EZVPN),这种模式下第一阶段只有3个包
主模式:最常用的IPSEC VPN,该模式下第一阶段6个包
第二阶段: 协商ipsec sa
快速模式:3个包
13nash
Collaborator
是一本好书,IPsec VPN学习很好的一本书
Rockyw
Advisor
1、IPSec对VPN流量提供哪三个方面的保护?
·私密性(confidentiality)
·完整性(Integrity)
·源认证(Authenticity)
2、加密算法的分类及各个算法的优缺点、主流协议?
加密算法可以分为如下两大类:
·对称密钥算法
·非对称密钥算法
对称密钥算法的优点:速度快、安全、紧凑
缺点:
·明文传输共享密钥,容易出现中途劫持和窃听的问题
·随着参与者数量的增加,密钥数量急剧膨胀((nx(n-1))/2)
·因为密钥数量过多,对密钥的管理和存储是一个很大的问题
·不支持数字签名和不可否认性
非对称密钥算法的优点:
·安全,由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全
·密钥数目和参与者数目相同
·在交换公钥之前不需要预先建立某种信任关系
·支持数字签名和不可否认性
缺点:
·加密速度很慢
·密文会变长
对称密钥算法的主流协议有:DES、3DES、AES和RC4
非对称密钥算法的主流协议有:RSA、DH和ECC
3、IKE的2个阶段与3个模式是什么?
IKE协商分为两个不同的阶段。第一阶段协商可以使用6个包交换的主模式MM(Main Mode)或者3个包交换的主动模式AM(Aggressive Mode)来完成。第二阶段总是使用3个包交换的快速模式QM(Quick Mode)来完成。
第一阶段作用:对等体之间彼此验证对方,并协商出IKE SA,保护第二阶段中IPSec SA协商过程;第二阶段作用:协商IPSec单向SA为保护IP数据流而创建。
moxiuli
Engager
1、IPSec对VPN流量提供哪三个方面的保护?
答:
1).私密性,对数据进行加密处理;
2).完整性,确保数据在传输过程中没有被第三方篡改。;
3).源认证,对发送数据包的源进行认证,确保合法源发送数据。;
byl_qware_com
Collaborator
1、IPSec对VPN流量提供哪三个方面的保护?
一、私密性:数据私密性也就是对数据进行加密。这样一来,即使第三方能够捕获加密后的数据,也不能将其恢复成明文。
二、完整性:完整性确保数据在传输过程中没有被第三方篡改。
三、源认证:源认证也就是对发送数据包的源进行认证,确保是合法的源发送了此数据包。
ni-weijian
Beginner
1、IPSec对VPN流量提供哪三个方面的保护?
1、authentication 每一个IP包的认证
2、data integrity 验证数据完整性,保证在传输过程中没有被人为改动
3、confidentiality 私密性,数据包的加密
2、加密算法的分类及各个算法的优缺点、主流协议?
对称加密算法---使用一把密匙来对信息提供安全的保护。只有一个密匙,即用来加密,也用来解密
特点:
1、速度快
2、密文紧凑
3、用于大量数据的传送
对称加密代表:DES、3DES、AES
非对称加密---有一对密匙,一个叫公匙,一个叫私匙,如果用其中一个加密,必须用另一个解密。
特点:
1、速度慢
2、密文不紧凑
3、通常只用于数字签名,或加密一些小文件。
非对称加密的代表:RSA、ECC
3、IKE的2个阶段与3个模式是什么?
第一阶段:建立ISAKMP SA,可选主模式或主动模式
第二阶段:建立IPsec SA可选隧道模式还是传输模式
byl_qware_com
Collaborator
2、加密算法的分类及各个算法的优缺点、主流协议?
加密算法的分为两类:对称加密算法和非对称加密算法。
对称密钥加密系统是加密和解密均采用同一把秘密钥匙,而且通信双方都必须获得这把钥匙,并保持钥匙的秘密。如:des,3des,aes等
非对称密钥加密系统采用的加密钥匙(公钥)和解密钥匙(私钥)是不同的,如:rsa等
对称加密算法的优缺点:
优点:速度快,对称性加密通常在消息发送方需要加密大量数据时使用,算法公开、计算量小、加密速度快、加密效率高。
缺点:在数据传送前,发送方和接收方必须商定好秘钥,然后 使双方都能保存好秘钥。其次如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一秘 钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
非对称加密算法的优缺点
优点:安全,私钥只能由一方保管,不能外泄。公钥可以交给任何请求方。
缺点:加密速度较慢,密钥尺寸大
one-time
Expert
maguanghua2013 发表于 2018-6-11 15:20
沙发走起~体格小建议,每周更下问题前,可以更新下上周问题的答案,便于核对自己是否有错误。
1、IPSec ...

:handshake好想法~
SMG-SH
Rising star
跟我一起读,一起学习成长,一起走向技术大拿之路:lol
yangkai_716
Collaborator
本帖最后由 yangkai_716 于 2018-6-13 00:31 编辑
1.IPSec对VPN流量提供哪三个方面的保护?
私密性(confidentiality),完整性(Integrity),源认证(Authenticity)
2.加密算法的分类及各个算法的优缺点、主流协议?
加密算法可以分为对称密钥算法和非对称密钥算法
对称密钥算法的优点:速度快、安全、紧凑。
对称密钥算法的缺点:明文传输共享密钥,容易出现中途劫持和窃听的问题;随着参与者数量的增加,密钥数量急剧膨胀((n*(n-1))/2);因为密钥数量过多,对密钥的管理和存储是一个很大的问题;不支持数字签名和不可否认性。
非对称密钥算法的优点:安全,由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全;密钥数目和参与者数目相同;在交换公钥之前不需要预先建立某种信任关系;支持数字签名和不可否认性。
非对称密钥算法的缺点:加密速度很慢;密文会变长。
对称密钥算法的主流协议有:DES、3DES、AES和RC4;非对称密钥算法的主流协议有:RSA、DH和ECC。

3.IKE的两个阶段和三个模式是什么?

IKE协商分为两个不同的阶段。
第一阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。包括主模式MM(Main Mode)和积极模式AM(Aggressive Mode)。
主模式MM在发送端和接收端有3次双向交换。第一次:用于商定IKE通信安全的算法和散列;第二次:使用DH交换来产生共享密钥;第三次:验证对端身份、认证远端对等体。主模式的主要结果是为对等体之间的后续交换建立一个安全通道。
积极模式AM较主模式而言,交换次数和信息较少。在第一次交换中,就将主模式第一二三次交换的信息压缩在一起发给对端,接收方返回所需内容。
第二阶段执行以下功能:
a.协商IPsec安全性参数和IPsec转换集;
b.建立IPsec的SA;
c.定期重协商IPsec的SA,以确保安全性;
d.可执行额外的DH交换。
IKE协商第二阶段只有一种模式:快速模式QM(Quick Mode)。该阶段的最终目的是在端点间建立一个安全的IPsec会话。过程中,端点间要协商所需的安全性的级别(如数据的机密和认证算法)。这些内容被统一到IPsec转换集中。在快捷模式QM下,IPsec转换集在对等体之间交换。如集合匹配则IPsec会话的流程继续进行,没发现匹配转换集则终止协商。
oceanyang
Beginner
1、IPSec对VPN流量提供哪三个方面的保护?
(1)对数据的加密
(2)对数据完整性的校验
(3)对数据源的合法认证
2、加密算法的分类及各个算法的优缺点、主流协议?
对称加密算法:des,3des,aes
非对称加密算是:rsa, dh
对称加密算法 的优点是加密速度快,缺点是密钥一旦被窃取,加密就失效
推荐使用3des和高强度的aes256
非对称加密算法 的优点是更安全,不用担心公钥被窃取,可用于数据加密和数字签名,缺点是消耗资源,加密速度慢
推荐使用rsa2048以上级别和dh group 14以上级别
3、IKE的2个阶段与3个模式是什么?
第一阶段: 协商isakmp sa
主动模式:使用预共享密钥的远程拨号VPN(即思科的EZVPN),这种模式下第一阶段只有3个包
主模式:最常用的IPSEC VPN,该模式下第一阶段6个包
第二阶段: 协商ipsec sa
快速模式:3个包
april1
Beginner
1、IPSec对VPN流量提供哪三个方面的保护?
认证性,完整性,机密性
2、加密算法的分类及各个算法的优缺点、主流协议?
加密技术分为对称加密技术和非对称加密技术
一、对称加密
对称密码技术基于异或计算(相同为0,不同为1)
优点:速度快
缺点:分发密钥比较难
二、非对称加密
优点:分发特别容易
缺点:加密特别慢
对称加密算法:DES,3DES,AES
非对称加密算法:RSA
3、IKE的2个阶段与3个模式是什么?
IKE分为两个阶段:
1. 第一个阶段用来协商五个参数,即IKE SA,对通信双方进行身份认证,并在两端之间建立一条安全的通道
a) Authentication----------认证,默认是数字证书,一般使用预共享
b) Encryption---------机密性,默认是DES
c) Hash-----------完整性,默认是SHA
d) Lifetime-----------SA的生存时间,默认3600
e) Group-------------密钥程度,分为1~7,思科只有1,2,5,越大越安全
2. 第二个阶段协商的参数,也就是IPSec SA,在上述安全通道上协商IPSec参数
a) 机密性
b) 数据完整性
c) 使用哪种协议:ESP还是AH
d) 使用哪种模式:隧道模式还是传输模式
注:第一阶段有两个模式:
main mode(主模式):使用6个包
aggressive mode(积极模式):使用3个包------------易受个攻击
第二阶段有一个模式:
Quick mode(快速模式)
Mansur
Engager
oceanyang 发表于 2018-6-13 07:39
1、IPSec对VPN流量提供哪三个方面的保护?
(1)对数据的加密
(2)对数据完整性的校验

兄弟,直接的复制前面的答案,这不合适吧……还是希望能多看看书,说说自己的理解
moxiuli
Engager
1、IPSec对VPN流量提供哪三个方面的保护?
答:1).私密性,对数据进行加密处理;2).完整性,要确保数据在传输过程中没有被第三方篡改;3).源认证,对发送数据包的源进行认证,确保合法源发送数据。
2、加密算法的分类及各个算法的优缺点、主流协议?
答:分为两类:对称加密算法(秘密钥匙加密)和非对称加密算法(公开密钥加密)。
对称加密算法 的优点是加密速度快,缺点是密钥一旦被窃取,加密就失效。
非对称加密算法 的优点是更安全,不用担心公钥被窃取,可用于数据加密和数字签名,缺点是消耗资源,加密速度慢。
对称加密算法用来对敏感数据等信息进行加密,常用的算法及主流协议包括:
DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合。
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高;
非对称加密算法及主流协议有:
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
ECC(Elliptic Curves Cryptography):椭圆曲线密码编码学。
3、IKE的2个阶段与3个模式是什么?
答:IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。
IKE第一阶段的两种模式:(1)主模式:可以使用IP来区分不同的对象 (2)野蛮模式:在发起者IP为动态分配的时候,发起者的IP不能被提前知道。
IKE第二阶段快速模式:第二阶段交换的目的是为其他协议生成SA,这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下,可以并发执行多个快速模式交换。
byl_qware_com
Collaborator
3、IKE的2个阶段与3个模式是什么
IKE第一阶段:该阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。
它包括两种模式:主模式 和 积极模式
1、 主模式在发送端和接收端有3次双向交换
第一次:用于商定IKE通信安全的算法和散列;
第二次:使用DH交换 来产生共享密钥
第三次:验证对端身份,认证远端对等体。
主模式的主要结果是为对等体之间的后续交换建立一个安全通道。
2、 积极模式 较主模式而言,交换次数和信息较少。
在第一次交换中,就将主模式1.2.3次交换的信息压缩在一起发给对端,接收方返回所需内容,等待确认。
IKE第二阶段该阶段用于协商IPSec安全性参数和IPSec转换集;建立IPSec的SA;定期重协商IPSec的SA,以确保安全性和可执行额外的DH交换。
IKE第二阶段只有一种模式:快捷模式。
该阶段的最终目的是在端点间建立一个安全的IPSec 会话。过程中,端点间要协商所需的安全性的级别(如:数据的机密和认证算法)。这些内容被统一到IPSec转换集中。在快捷模式下(即:IKE2),IPSec转换集在对等体之间交换。如集合匹配则IPSec会话的流程继续进行,没发现匹配转换集则终止协商。
创建
认可您的同行
Content for Community-Ad