一、根据以下问题总结当天内容

1.什么是数据认证，有什么作用，有哪些实现的技术手段?

数据认证的官方回答：数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的安全性、完整性。
使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。
简单来说就是保障你的在网上交易的安全。

简单来说：就是我们要知道数据的拥有者是谁，数据的发送者是谁

2.什么是身份认证，有什么作用，有哪些实现的技术手段?

身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益

3.什么VPN技术?

vpn—virtual private network
虚拟私有网，实现隧道技术。就是通过建立一条虚拟隧道（虚拟隧道依附于物理隧道之上），将私网地址连接起来。常见的vpn分类为：业务分类：client
to lan 和 lan to lan。层次分类：网络层分类：应用层：SSL VPN等 传输层：Sangfor VPN
网络层：IPSec，GRE等 网络接口层：L2F/L2TP,PPTP等

4.VPN技术有哪些分类?

5.IPSEC技术能够提供哪些安全服务?

ipsec的安全服务：

机密性

完整性

数据源鉴别

重传保护：重传攻击，例如发的数据里面有确认机制，人家截取的确认机制就可以发包攻击你。

不可否认性：例如签名技术。

6.IPSEC的技术架构是什么?

7，AH与ESP封装的异同?

8.IKE的作用是什么?

IKE安全联盟

SA—security association 是通信对等体之间对某些要素的约定，通信的双方符合SA约定的内容，就可以建立SA。

9.详细说明IKE的工作原理?

ike建立安全联盟的两个阶段：

两个阶段：

第一阶段：IKE SA —主要解决两个主要的问题—（双方—对等体之间的身份认证，IPSec之间的密钥 生成和交换）。

第二阶段：IPSec SA

IKE的工作过程：

第一个阶段：通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道，交换建立一个iskmp安全联盟，iskmp SA（IKE SA）。

主模式

野蛮模式

第二个阶段：用已经建立的安全联盟iskmp sa(ike sa)的安全通道为ipsec协商安全服务，建立ipsec sa，产生用于业务数据加密的密钥。

10.IKE第一阶段有哪些模式?有什么区别，使用场景是什么?

第一个阶段：通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道，交换建立一个iskmp安全联盟，iskmp SA（IKE SA）。

主模式

野蛮模式

11.ipsec在NAT环境下会遇到什么问题?–12.详细分析NAT环境下IPSEC的兼容问题

IPSec的NAT问题是会破坏IPSec的完整性，从IPSec的两个阶段来分新：

第一阶段：

主模式
野蛮模式
第二阶段：

ESP的传输模式和隧道模式
AH的传输模式和隧道模式
主模式存在的问题：IPSec的工作中主模式会存在六个包，一二包的作用就是 协商建立ike sa安全参数，三四包交换密钥相关信息，并生成密钥，而最大问题就在五六包，原因是五六包的作用是交换身份信息，验证信息，他们采取的是IP来传送身份信息；在进行NAT转换的过程，IP值进行转换，NAT破坏后无法完成身份认证。

野蛮模式：野蛮模式他是三个包，由于它的id值可以自定义为字符串，NAT是无法破坏IPSec的完整性，可以进行正常的完成第一阶段的身份认证。

第二阶段AH的传输模式和隧道模式：

由图可看出：AH协议会校验外层IP地址，无论是传输模式还是隧道模式，在进行nat转换的过程中都会转换外层IP地址，所以完整性都会被破坏，AH协议无法与nat兼容

13.多VPN的NAT环境下ipsec会有哪些问题?如何解决?

14.描述NHRP的第三阶段工作原理?

定义： 动态多点VPN
技术组成： MGRE+NHRP+IPSEC

MGRE——解决隧道的封装技术
NHRP——解决多点网络的通信技术
IPSEC——解决专线的加密技术
技术特点：由客户自行配置维护，不需要ISP来管理
技术缺点：由于用封装技术穿越公共网络，所以稳定性不高
作用：解决在公共网络上多站点（私有网络）的互通问题

15IPSEC是否支持动态协议?为什么?

不支持

16.DSVPN的工作原理及配置步骤?

点击可查看