VPN场景L2TP 隧道IPSec加密1.员工发起连接与公司VPN网关建立V2TP虚拟隧道(自动启用PPP协议)2.PPP弹登录窗员工输入账号密码用 PAP/CHAP/EAP 做身份校验3.验证通过 进行访问L2TPPPP 全程明文现实中一定会外层叠加 IPSec 加密L2TP 就是用来在外网安全接入公司内网的虚拟隧道协议早期二层隧道协议PPTP微软主导、L2F思科主导整合出L2TP1. 原始业务数据--HTTP 数据2. 网页使用TCP传输--TCP头 (HTTP 数据)3. 套上内网IP 成标准内网报文--内网IP头 (TCP头 HTTP 数据)4. 加PPP头 用于认证--PPP头 (内网IP头 TCP头 HTTP 数据)PPP支持三种PAP(账号密码明文)CHAP(一问一答校验)客户端输入账号服务器回传一串挑战串(依据账号)客户端输入密码该密码与Challenge运算后生成摘要服务器进行校验摘要EAP是企业主流1.客户端验证 服务端数字证书 协商出加密通道2.双方互验证书3.动态口令 / 硬件令牌 / 门禁卡PS:5. 加上L2TP 头 承载PPP--L2TP头 (PPP头 内网IP头 TCP头 HTTP 数据)6. 加上 UDP (1701是L2TP 标准端口) 头识别L2TP隧道流量--UDP(1701)头 (L2TP头 PPP头 内网IP头 TCP头 HTTP 数据)新增IPSec7. 加ESP头部 整段内部报文进行加密--ESP头 (UDP(1701)头 L2TP头 PPP头 内网IP头 TCP头 HTTP 数据)8. 原生 IPSecUDP 500对端口变化敏感NAT 改写源端口后校验失败隧道中断。NAT(网络地址转换 内网转外网) 转发数据时会改源端口IPSec会判定数据包异常采用NAT-TNAT 穿越后加UDP (4500) 头部兼容性很好--UDP(4500)头 (ESP头 UDP(1701)头 L2TP头 PPP头 内网IP头 TCP头 HTTP 数据)9. 加上 公网 IP 头部最外层互联网路由转发--公网IP头 (UDP(4500)头 ESP头 UDP(1701)头 L2TP头 PPP头 内网IP头 TCP头 HTTP 数据)ECBElectronic Codebook 电子密码本每个分组使用同一个密钥进行加密CBCCipher Block Chaining 密码分组链接比ECB新增IV先异或再加密中间值 明文⊕IV 或 明文⊕上一段密文密文 中间值 KeyCFBCFBCipher Feedback 密码反馈同CBC只不过是比特流密钥IVKey 或 上一段密文Key密文密钥⊕ 明文OFBOFBOutput Feedback 输出反馈密钥流独立循环获得密钥流 IVKey 或 上一段密钥流 Key密文 密钥流⊕明文CTRCTRCounter 计数模式密钥流 计数器 Key密文 密钥流⊕明文3DES有4种版本 可以是EEE或EDE2个或3个独立密钥 多次计算。EEE3EK1EK2EK3PEDE3EK1DK2EK3PEEE2EK1EK2EK1PEDE2EK1DK2EK1PIEEE 802.1X 完整认证架构 三大组件申请者Supplicant 手机电脑等终端发起认证认证者Authenticator 无线AP 不判断身份 只转发报文认证服务器Authenticaton Server 负责身份校验AP 无线接入点Wireless Access Point802.1X负责验证身份 生成密钥适用于无线有线WPA无线专属加密协议用密钥加密无线数据只作用终端 ↔ AP 无线链路。个人家用WiFi 无802.1X预共享密钥静态密码企业模式WiFi 有802.1X先 802.1X查你账号密码判断 “能不能进门”同时协商出临时密钥后 WPA拿到密钥开始加密手机 / 电脑 ↔ AP 之间的无线数据