安全关联(SA)是如何建立的?

网络工程 虚拟专用网 网络安全
2021-07-05 20:54:24

我是网络新手,仍然在努力理解一些概念。我正在阅读一篇描述 VPN 中安全关联 (SA) 的文本。

在此处输入图片说明

每当路由器 R1 需要构建 IPsec 数据报以通过此 SA 进行转发时,它都会访问此状态信息以确定它应如何对数据报进行身份验证和加密。类似地,路由器 R2 将为此 SA 维护相同的状态信息,并将使用此信息来验证和解密从 SA 到达的任何 IPsec 数据报

所以我有三个问题:

  1. 如何在两台路由器之间建立 SA?路由器 R2 怎么能神奇地知道来自 R1 的状态信息?难道他们不需要像 TCP 连接这样的东西来通信吗?

  2. 路由器是否需要预先配置以提供 VPN 服务?有一些商业公司提供VPN服务,这些公司是否拥有这些路由器,因此,他们可以配置路由器来维护状态信息吗?

  3. 如果黑客捕获了 R1 和 R2 之间的数据报,黑客只能知道该数据报来自路由器的接口(例如 200.168.1.100)而不是生成数据报的原始主机(例如 172.16.1)。这是正确的吗?

1个回答
  1. 是的,创建访问列表是为了确定感兴趣的流量。如果匹配,则它会经历多个阶段在对等体之间建立 VPN 会话。VPN连接建立后,流量才能通过。
  2. 是的,路由器需要预先配置为具有相同的策略、远程对等方的预共享密钥(或证书)、相互指向的本地和远程网络镜像。(172.16.1.0/24 <-> 172.16.2.0/24)
  3. 是的,如果 VPN 连接使用隧道模式,那么原始 IP 地址也会被加密,站点到站点 VPN 的默认设置
其它你可能感兴趣的问题
上一篇RF 系统的 SNMP 陷阱:从哪里开始? 下一篇路由表导出