IPSec基本原理.docVIP

IPSec基本原理 IPSec?是一项标准的安全技术，它通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全性。IPSec主要用于保护网络层（IP）数据，因此它提供了网络层的安全性。 IPsec?能够起到的功能有： 数据源认证（Data origin authentication） 保护数据完整性（Data integrity） 保证数据私密性（Data confidentiality?） 防止中间人攻击（Man-in -the -Middle） 防止数据被重放（Anti -Replay?） 为IPsec?服务的总共有三个协议： IKE?（Internet Key Exchange）?（?IKE?是针对密钥安全的，是用来保证密钥的安全传输、交换以及存储，主要是对密钥进行操作，并不对用户） ESP（Encapsulating Security Protocol?）?（对用户数据封装） AH（Authentication Header）? ?? ?（对用户数据封装） IKE?的认证方式有三种： Pre-Shared Keys (PSK) Public Key Infrastructure (PKI) using X.509 Digital Certificates??（PKI?是使用第三方证书做认证，叫做?CertificateAuthority (CA)） RSA encryptednonce?? 虽然总共是三个协议，但分为两类： 1、IKE?是个混合协议，其中包含部分Oakley?协议以及内置在?ISAKMP?协议中的部分?SKEME?协议，所以?IKE?也可 写为ISAKMP/Oakley，它是针对密钥安全的，是用来保证密钥的安全传输、交换以及存储，主要是对密钥进行 操作，并不对用户的实际数据进行操作。 2、ESP（Encapsulating Security Protocol?）和?AH（Authentication Header?）主要工作是如何保护数据安全， 也就是如何加密数据，是直接对用户数据进行操作的。 ??ESP?对用户数据包的封装过程如下：(ESP?包头中使用?IP?协议号?50来标识) ? AH对用户数据包的封装过程如下：?(AH包头中使用IP?协议号51来标识) 注： ★IPSec?目前只支持?IPv4 Unicast?（IPv4??单播），不支持其它任何协议。 IPsecMode?分两种： Tunnel mode? ?（隧道模式） ??IPsec?中的Tunnel mode?就拥有着与?GRE?相同的隧道功能，那就是将数据包原来的私有IP?地址先隐藏起来，在外部封装上公网?IP?。 ? Transport mode??（传输模式） ??IPsec?除了作为安全协议来为隧道提供数据保护之外，也可以自己单独作为隧道协议来提供隧道的建立，如果IPsec?不需要实现隧道功能，而只需要实现保护数据的安全功能，就只 要工作在Transport mode?即可，因为?Transport?模式的IPsec?只有安全功能而没有隧道功能，所以还要再配合其它隧道协议，最终实现完整的VPN?功能。 当数据进入路由器后，路由器是怎么工作的？如下图 思考?那如果出接口上面有NAT地址转换??那到底是先匹配NAT还是IPSEC VPN？？？ 答：当出接口上启用nat的时候首先会匹配nat?所以说IPSEC VPN本路由器上时不能穿nat??因为当出接口匹配NAT之后就把地址转换为公网地址， 此时地址已不满足感兴趣流。 隧道分离（Split Tunneling?） ? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Split Tunneling?只在远程VPN（remote VPN?）时才有，因为当远程VPN?用户的VPN 隧道建立之后，该用户的所有流量都将被发送到隧道之上，这样一来，原本用户正 常的用户，比如发往?Internet?的流量也被发到隧道上，结果就会造成远程?VPN?用户 与Internet?失去连接；为了让用户需要走?VPN?隧道的流量才被发送到隧道上，而其 它流量，还是从原来的接口发送而不被?IPsec?封装，所以需要将用户的流量分为两 类，从而区分对待，这就是隧道分离（Split Tunneling?）；其实?Split Tunneling?和非远 程VPN?有某些相同之处，非远程VPN?也有定义感兴趣流量的功能，这个功能就是指 定什么样的流量通过?VPN?传输，什么样的流量正常传输；在最终的结果是