思科路由器对接山石网科防火墙——IPSec.doc

centos7下搭建ipsec l2tp服务器，使用strongswan来构建ipsec.

L2TP提供了一种远程接入访问控制的手段，其典型的应用场景是：某公司员工通过PPP拨入公司本地的网络访问服务器（NAS），以此接入公司内部网络

个人学习ipsec加密过程中整理的学习笔记，供大家参考学习。里面主要说明了ipsec策略匹配、报文封装等核心处理流程，同时对加密中的部分知识点进行解释说明

IPSEC-分支-分支必须经过总部.docx

IPSec详解(深入浅出简单易懂).doc

IPSEC：新一代因特网安全标准 目 录 译者序 作者简介 前言 第一部分 概 论 第1章 加密历史与技术 1 1.1 加密历史 1 1.2 Internet的崛起 2 1.3 Internet的安全 3 1.4 加密工具 4 1.4.1 加密基础 4 1.4.2 机密性 5 1.4.3 对称加密算法 6 1.4.4 不对称加密算法 7 1.4.5 身份验证和完整性 8 1.4.6 身份验证 8 1.4.7 消息的完整性 9 1.4.8 密钥交换 10 1.4.9 Diffie-Hellman 10 1.4.10 RSA密钥交换 11 1.5 加密的概念 12 1.5.1 完美向前保密 12 1.5.2 服务否认 13 1.6 更多的资讯 13 第2章 TCP/IP综述 15 2.1 导引 15 2.2 TCP/IP入门 15 2.2.1 协议堆栈 15 2.2.2 数据流 17 2.2.3 网络层 18 2.2.4 IPv4 18 2.3 定址 18 2.3.1 IPv4头 20 2.3.2 IPv6 21 2.3.3 分段 23 2.3.4 ICMP 23 2.3.5 多播 24 2.3.6 传送层 24 2.4 域名系统 25 2.5 保密的层次 25 2.5.1 应用层 26 2.5.2 传送层 26 2.5.3 网络层 27 2.5.4 数据链路层 27 第3章 IP安全综述 28 3.1 结构 29 3.2 封装安全载荷 32 3.3 验证头（AH） 33 3.4 Internet密钥交换 34 第二部分 详细分析 第4章 IPSec体系 39 4.1 导引 39 4.2 IPSec发展规划 39 4.3 IPSec的实施 40 4.3.1 在主机实施 40 4.3.2 OS集成 41 4.3.3 堆栈中的块 41 4.3.4 在路由器中实施 41 4.4 IPSec的模式 42 4.4.1 传送模式 43 4.4.2 通道模式 44 4.5 安全联盟 46 4.5.1 安全参数索引(SPI) 46 4.5.2 SA管理 47 4.5.3 创建 47 4.5.4 删除 48 4.5.5 参数 48 4.5.6 安全策略 49 4.5.7 选择符 50 4.6 IPSec处理 50 4.6.1 外出 50 4.6.2 进入 51 4.7 分段 52 4.8 ICMP 52 第5章 封装安全载荷（ESP） 53 5.1 ESP头 53 5.2 ESP模式 54 5.3 ESP处理 55 5.3.1 处理外出数据包 56 5.3.2 处理进入数据包 56 第6章 验证头（AH） 58 6.1 AH头 58 6.2 AH模式 59 6.2.1 传送模式 59 6.2.2 通道模式 60 6.3 AH处理 60 6.3.1 输出处理 60 6.3.2 输入处理 61 第7章 Internet密钥交换 63 7.1 ISAKMP 63 7.1.1 消息和载荷 64 7.1.2 交换和阶段 66 7.1.3 策略协商 68 7.2 IKE 70 7.2.1 主模式交换 73 7.2.2 野蛮模式交换 76 7.2.3 快速模式交换 77 7.2.4 其他IKE交换 79 7.3 IPSec DOI 80 7.4 小结 81 第三部分 配置问题 第8章 策略 83 8.1 导引 83 8.2 策略定义的要求 84 8.3 策略的表示与分布 85 8.4 策略管理系统 86 8.4.1 内核支持 86 8.4.2 IKE支持 87 8.5 配置 87 8.6 策略的设置 88 第9章 IPSec的实施 89 9.1 导引 89 9.2 实施结构 89 9.2.1 IPSec基本协议 90 9.2.2 SPD和SADB 90 9.2.3 IKE 92 9.2.4 策略管理系统 93 9.3 IPSec协议处理 93 9.3.1 外出处理 93 9.3.2 SPD处理 94 9.3.3 IKE处理 95 9.3.4 SA处理 95 9.3.5 传送模式头处理 95 9.3.6 ESP处理 95 9.3.7 AH处理 96 9.3.8 通道模式

过去几年，定义和使用IP安全(IPsec)和互联网密钥交换(Internet Key Exchange, IKE)的RFCs数量急剧增长。造成这种复杂情况的主要原因是这些RFCs源于许多IETF工作组：最初的IPsec 工作组，它的各种衍生组织，以及其他使用IPsec和/或IKE来保护它们的协议流量的工作组。 本文件归纳与IPsec和IKE有关的RFCs。包括对每个RFC的简短描述，伴随背景信息介绍IPsec成长和扩展的动机及其来龙去脉。本文件废止了RFC2411，先前的“IP安全文件路线图”。 [RFC-2411]简单描述各种等级基本IPsec文件的相互关系。[RFC-2411]的要点是说明文件的建议内容，这些文件规定附加加密和认证算法。