VPN测试用例-IPsec文档版本历史参考文档适用版本参考文档适用版本1
功能说明:支持ESP和AH封装协议;支持隧道模式和传输模式;支持SitetoSite、RemoteAccess两种VPN组网形式;支持预共享密钥和X
509数字证书两种身份认证形式;支持通过IKE自动完成IPSec安全联盟协商;支持DES、3DES、AES128/192/256等多种加密算法;支持MD5、SHA-1等多种哈希验证算法;支持可以基于固定IP地址建立IPSec隧道,支持通过域名方式建立IPSec隧道;支持IPSec报文的UDP封装模式,以保证IPSec能够穿越NAT;支持断线诊断DPD协议;2
工作机制:1)关键词:IPsec(IPSecurity):是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证
它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(AuthenticationHeader,认证头)、SP(EncapsulatingSecurityPayload,封装安全载荷)、IKE(InternetKeyExchange,因特网密钥交换)和用于网络认证及加密的一些算法等
AH协议:可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性
ESP协议:提可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性
ESP保护的是IP包的载荷,不包括IP头部,所以ESP和NAT是不冲突的
SA(安全联盟):是两个IPsec实体(主机或者网关)之间经过协商建立起来的一种协定,包括采用的协议、算法、加密等
SA是构成IPsec的基础
而建立SA需要
