IT之道-艾锑知道

您当前位置: 主页 > 资讯动态 > IT知识库 >

网络运维|VPN之IPSec的介绍


2020-04-03 17:00 作者:艾锑无限 浏览量:
从打破鸡蛋这个故事中我们能学到什么
 
大多数管理者的困境
 
https://wx1.sinaimg.cn/large/44bf5e1aly4gdd635clxwj20x90k5mza.jpg
 
作为一名专业的教练,我经常会被问到:
教练,我的团队沟通不畅该怎么办?
教练,我的团队执行力不强要如何处理?
教练,我的团队里没有人才可用要如何做呢?
教练,我的团队士气很低怎样激励他们呢?
教练,我的团队经常达不成目标能给些建议吗?
教练,我的团队没有凝聚力有什么好的方法吗?
教练,我的团队没有能量,我要怎么给他们赋能呢?
……
 
教练与企业管理者的对话:
 
https://wx1.sinaimg.cn/large/44bf5e1aly4gdd635pjyij218x0tz4qq.jpg

每当这个时候,我都会问这些企业的负责人,
 
一个鸡蛋如果从外给予压力,最终会怎什么呢?
他们有的说,会形成碎鸡蛋,也有人说,打破了可以做成炒鸡蛋,还有人说,可以用鸡蛋清敷在脸上做面膜,人类的想象力总是让人出乎意料……
我又问到,
 
那如果从里面给到动力,最后破壳而出,又会发生什么呢?
 
https://wx4.sinaimg.cn/large/44bf5e1aly4gdd635dozzj20go0c3443.jpg
 
所有人的回答几乎都是一样的,一只有着生命力的小鸡.
我又问了一个问题,
 
我说假如你可以让你的员工具备破壳而出的生命力,你觉得企业会发生什么呢?
他们说,那简直太棒了,每个人都能自发地去做事,而且带着激情和动力,整个企业一定朝气蓬勃,充满斗志,但是,教练,我怎么做才能让他们具备这样的生命力呢?
 
我说,这是一个好问题,你觉得母鸡是怎么做的呢?
他们说,母鸡每天都会坐在鸡蛋上,哪都不去玩,全身心投入,给到鸡蛋持续的关怀和温度,并且坚持21天,直到小鸡可以从蛋壳中走出来.
 
https://wx4.sinaimg.cn/large/44bf5e1aly4gdd635b36jj20u00mitc2.jpg
 
那母鸡孵化小鸡这个过程给到你什么启发呢?
 
他们说,我也需要给到自己团队这样的关怀和支持,用心去孵化他们内在的动力,帮助他们释放出潜能,为他们创造适合他们成长的环境和土壤,以及给予更多的阳光和水,我相信他们一定能由内而外的活出有能量的状态,到那时无论什么困难和挑战都会迎刃而解.
 
每个人都是自己生命中的天才
https://wx2.sinaimg.cn/large/44bf5e1aly4gdd6358zffj20rs0kcgna.jpg
 
他们分享完我就直接鼓掌,我一直都认为,每个人都是自己生命中的天才,而且我也是这样去践行的,无论是多大的企业家,还是最普通的员工都可以活出自己内在的智慧,并且解决生命中的困境.
马斯洛也曾说过类似的话,他说“人并不是被浇铸或塑造成人的,而是依靠自身实现潜能的,环境对人的成长象土壤、阳光和水对于植物一样,只能促进潜能的现实化。”
 
生命生长需要时间
https://wx1.sinaimg.cn/large/44bf5e1aly4gdd635aaiej218g0p0jta.jpg


无论是打破一个鸡蛋,还是一花一世界,万物皆具潜能,只是我们只盯在相上,只盯在结果上,却没有为结果投入更多的时间和耐心,即使我们今天看到的太阳的光芒,也不是今天太阳发出来的.
根据科学家的计算,从太阳发出光到地球需要8分20秒左右的时间,这就意味着,当我们生命中出现了至暗时刻,不用着急,也不用慌张,因为太阳光在路上,给它一点时间,至暗终会迎来光明.
以下文章由IT外包服务商北京艾锑无限科技发展公司整理
 

 
 
 
网络运维|VPN之IPSec的介绍
作为一个网络运维人员,了解VPN及使用是必备的技能,然而IPSec又是VPN中的一种,这篇文章就是关于IPSec方面的一些内容。

起源
随着Internet的发展,越来越多的企业直接通过Internet进行互联,但由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全解决方案
为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。

定义
IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。
通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全性。


受益
IPSec通过加密与验证等方式,从以下几个方面保障了用户业务数据在Internet中的安全传输:
  • 数据来源验证:接收方验证发送方身份是否合法。
  • 数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
  • 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
  • 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

IPSec应用场景

业务描述

稳定可靠的路由是网络通信的基础。OSPFv3协议是一种应用广泛的路由协议,因此对于OSPFv3路由协议的安全保护是非常重要的。但OSPFv3协议本身没有定义任何认证机制,这样OSPFv3协议报文在网络中进行传输的时候很容易被拦截、修改或者仿冒,从而破坏OSPFv3的邻接关系,造成网络中断。
为了实现对OSPFv3协议报文的认证,RFC定义了IPSec机制对OSPFv3协议报文进行认证的方法。通过在携带OSPFv3协议报文的IPv6报文中插入AH头部或者ESP头部,为OSPFv3协议报文提供了数据源认证和数据完整性检验功能,从而有效的预防因OSPFv3协议报文被修改或仿冒而造成邻接关系断开和网络中断。

组网描述

如图2-15所示,SwitchA和SwitchB之间运行OSPFv3协议,透过一段公共网络为主机A和主机B提供一条可达路由。为了防止SwitchA和SwitchB之间的路由受到网络中攻击者的窥探和仿冒,可以采用IPSec对SwitchA和SwitchB之间的OSPFv3路由协议报文进行数据源认证和数据完整性检验。
图2-15 IPSec在OSPFv3网络中的应用组网图 

部署特性

IPSec安全功能可以部署在OSPFv3进程、区域或者接口上。
OSPFv3支持在每条链路上配置多个不同的实例,不同的实例通过OSPFv3报文头的实例标识(instance-id)字段来区分。但是IPSec协议报文头中不支持这个字段,因此,同一接口下的所有OSPFv3实例都使用相同的安全联盟。
如图2-15所示,在设备的所有接口都部署IPSec认证功能,这样就可以保证只有通过IPSec认证的设备才能建立邻居关系。对于认证失败的报文或者IPSec两端认证方式不匹配的报文都会被丢弃。

通过Efficient VPN实现多分支安全接入
如图2-16所示,大量的分支机构接入总部时,用户通过网管系统(NMS)管理交换机,现用户希望NMS与分支之间的通信进行安全保护。
此时,用户可以部署Efficient VPN。其不仅实现了网络安全部署,而且将复杂配置集中在总部网关上、各个分支网关的配置尽量简单的方法,将管理员从IPSec VPN复杂的配置和维护中解脱出来,实现了配置的简化,提高了可维护性。
图2-16 Efficient VPN组网应用 
 
 
 
 

相关文章

IT外包服务
二维码 关闭