密钥管理

博文大纲： 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用网就是在两个网络实体之间建立的一种受保护的连接，这两个实体可以通过点到点的链路直接相连，但通常情况下他们会相隔较远的距离。 对于定义中提到的“受保护”一词，可以从以下几个方面理解： 通过使用加密技术防止数据被窃听。 通过数据完整性验证防止数据被破坏、篡改。 通过认证机制实现通信方身份确认，来防止通信数据被截获和回放。 此外，虚拟专用网技术还定义了以下功能： 何种流量需要被保护。 数据被保护的机制。 数据的封装过程。 实际生产环境中的虚拟专用网解决方案不一定包含上面所有功能，还要由具体的环境需求和实现方式决定，而且很多企业可能采用不止一种的虚拟专用网解决方案。 2、虚拟专用网的连接模式 虚拟专用网的连接模式有两种：传输模式和隧道模式。 （1）传输模式： 在整个虚拟专用网的传输过程中，IP包头并没有被封装进去，这就意味着从源端的数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在虚拟专用网报文中

* 博文大纲 * 虚拟专用网实现的各种安全特性 * 理解ISAKMP/IKE两个阶段的协商建立过程 1.虚拟专用网概述 虚拟专用网技术起初是为了解决明文数据在网络上传输所带来安全隐患而产生的， 2.虚拟专用网的定义 虚拟专用网就是在两个实体之间建立的一种受保护的连接，这两个可以通过点到点的链路直接相连，但通常情况下它们会相隔较远的距离 3.虚拟专用网的模式与类型 （1）虚拟专用网的连接模式 有两种基本的连接模式：分为传输模式和隧道模式， 传输模式（适用与公有网络或私有网络） 传输模式一个最显著的特点就是，在整个虚拟专用网的过程中，IP包头并没有被封装进去，这就意味着从源端到目的端数据始终使用原有IP地址进行通信。 隧道模式（适用公有地址和私有地址混合环境） 隧道模式与传输模式的区别明显，隧道模式保护IP包头与数据，传输模式只保护数据 4.虚拟专用网的类型 站点到站点（L2L ） （Lna to Lna） 站点到站点虚拟专用网就是通过隧道模式在虚拟专用网网关之间保护两个或多个站点之间的流量，站点的流量通常是指局域网之间（L2L）的通信流量。 如图： 远程访问虚拟专用网（Ra） 远程访问虚拟专用网通常用于单用户设备与虚拟专用网的网关之间的通信连接，单用户设备一般为一台PC或小型办公网络等 5.加密算法 DES 3DES AES 加密就是一种将数据转化成另一种形式的过程