IPSecVPN原理與配置.docx

VPN概述VPN的定义VPN（虚拟专用网络）就是在两个网络实体之间建立的一种受保护的连接，这两个实体可以通过点到点的链路直接相连，但通常情况下它们会相隔较远的距离。VPN可以保护：→通过使用加密技术防止数据被窃听→通过数据完整性验证防止数据被破坏、篡改→通过认证机制实现通信方身份确认，来防止通信数据被截获和回放此外，VPN还定义了：→何种流量需要被保护→数据被保护的机制→数据的封装过程VPN的模式与类型VPN的连接模式VPN的连接模式有两种：隧道模式和传输模式。这两种模式实际上定义了两台实体设备之间传输数据时采用的不同的封装过程。传输模式传输模式一个显著的特点就是：在整个VPN传输过程中，IP包头并没有被封装进去，这就意味着从源端到目的端数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在VPN报文中。对于大多数VPN传输而言，VPN的报文封装过程就是数据的加密过程。由于传输模式封装结构相对简单，因此传输效率较高，多用于通信双方在同一个局域网内的情况。隧道模式VPN设备将整个三层数据报文封装在VPN数据内，再为封装后的数据报文添加新的IP包头。由于在新的IP包头封装的是VPN设备的IP地址信息，所以当攻击者截获数据以后，不但无法了解实际载荷数据的内容，同时也无法知道通信双方的地址信息。由于隧道模式的VPN在安全性和灵活性方面具有很大的优势，在企业具有很大的应用，如总公司和分公司跨广域网的通信，移动用户在公网访问内网内部资源等很多情况，都会使用VPN的类型通常情况下，VPN的类型分为站点到站点VPN和远程访问VPN站点到站点VPN站点到站点VPN就是通过隧道模式在VPN网关之间保护连个或更多的站点之间的流量，站点间的流量通常是指局域网之间（L2L）的通信流量，L2L VPN多用于总公司与分公司之间在公网上传输重要业务数据。远程访问VPN远程访问VPN通常位于单用户设备与VPN网关之间的通信连接。远程访问的VPN对于安全性的要求较高，更适用于隧道模式。要想实现隧道模式的通信，就要给远程客户端分配两个IP地址：一个是它自己的NIC地址，另一个是内网地址。也就是说远程客户端在VPN建立过程中同时充当VPN网关和终端用户。VPN技术加密算法加密就是一种将数据转换成另外一种形式的过程。一般可以将VPN设备算法分为两大类：对称加密算法和非对称加密算法对称加密算法对称加密算法使用同一密钥对信息提供安全的保护。假设对称加密的算法的密钥对“k”，客户端传输的明文数据为“m”，VPN网关加密的数据为“c”，而E、D分别为加密和解密函数，则数据加密过程如下：发送方和接收方共享密钥“k”发送方的VPN网关通过加密函数E将明文数据“m”加密成为密文数据“c”接受方的VPN网关通过解密函数D将数据还原为明文数据“m”目前常见的加密算法有DES、3DES、AES等→DES算法：DES算法曾经在VPN领域应用很广泛，属于IBM的研发产品，其密钥长度为64位，其中8位属于奇偶校验，所以实际长有效长度为56位。这种算法在较短时间内可以攻破，所以实际中，不建议使用这种算法→3DES算法：NIST研发了3DES算法，理论上3DES算法是DES算法的加强版，因为3DES使用了三个阶段的DES，即同时使用三个不同的56位密钥，所以相当于产生了一个168位的有效长度。这种级别的密钥目前还没有计算机有能力在短时间内破解→AES算法：3DES目前虽然安全，但随着计算机硬件的更新，总会有被攻破的时候。NIST在2002年研发了AES算法取代了DES和3DES算法。该算法比3DES算法更安全，它支持128、192和256位密钥长度，有效的密钥长度可达上千位。更重要的是AES算法采用了更为高效的编写方法，对CPU的占用率较小。非对称加密算法算法的原理非对称加密算法使用了两个不同的密钥（公钥和私钥）进行加密和解密。用一个密钥加密的数据仅能被另一个密钥解密，且不能从一个密钥推导出另一个密钥。假设接收方的公钥和私钥分别为“p”和“q”，客户端传输的明文数据为“m”，VPN网关加密后的数据为“c”，而D、E分别为加密和解密函数，函数的加密过程如下：→通信双方交换公钥→发送方的VPN网关通过公钥将明文数据“m”加密成为密文实数据“c”→接收方的VPN网关通过自己的私钥解密数据，整个过程私钥始终没有在网络中传输算法的优缺点非对称加密算法最大的优势在于其安全性，目前为止，没有任何一种方法可以再合理的时间内攻破该种加密算法。非对称加密算法并非完美，由于其计算过程复杂，它的计算效率要比对称加密算法低的多（大约要慢1500倍）。DH算法常用的非对称加密算法有：RSA、DSA（数字签名算法）、DH算法。前两种常用于验证功能，而DH一般用来实现IPSec中的Internet密钥交换（IKE）协