VPN网络接入技术.pdfVIP

VPN 网络接入技术 ◆ 传输模式 传输模式用于两台主机之间， 保护传输层协议头， 实现端到端的安全。 它所保护的数据包的通信终点也是 IPsec 终点。当数据包从传输层递给网 络层时， AH 和 ESP 会进行 拦截 ，在 IP 头与上层协议头之间需插入一个 IPsec 头（ AH 头或 ESP 头）。当对一个同时应用 AH 和 ESP 传输模式时， 应先应用 ESP，再应用 AH ，这样数据完整性可应用到 ESP 载荷。 因为传 输模式不改变 IP 地址的头部， 因此此种模式的 VPN 适用于合法 IP 地址之 间的点对点通讯，适用范围比较窄。 ◆ 隧道模式 要能够使得企业网内一个局网的数据透明的穿过公用网到达另一个 局网 , 虚拟专用网采用了一种称之为隧道的技术。隧道技术的基本过程是 在源局网与公用网的接口处将局网发送的数据 (可以是 ISO 七层模型中的 数据链路层或网络层数据 )作为负载封装在一种可以在公用网上传输的数 据格式中，在目的局域网与公用网的接口处将公用网的数据解析后，取出 源局域网发送的数据在目的局域网传输。由于封装与解封装只在两个接口 处由设备按照隧道协议配置进行，局网中的其他设备将不会觉察到这一过 程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。 被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。 图 2 隧道模式是通过 IPIP 技术实现的， IPIP 协议是将一个 IP 包作为另一 个 IP 的负载来处理。举个简单的例子来说明 IPIP 协议的工作过程。一个 IP 包源为 A ，A 所在的局网与 Internet 的接口为 B ，目的地为远地的 D ，D 所在的局网与 Internet 的接口为 C， IP 包要穿过 Internet 到达 D ，可在 B 作如下图的封装，数据包在 Internet 上可以按照路由到达 C，在 C 处解封 装去掉外部 IP 协议头，将内部 IP 包在局网上发送。数据包将按照局网的 路由到达 D 。 Media 外部目的 C 外部源 B 内部目的 D 内部源 A 用户数据 图 3 IPIP 封装 IPIP 协议在具体的使用中要考虑如何建立外部 IP 协议头的内容， 要考 虑内部 IP 协议头中的某些内容如服务质量参数， 是否要拷贝到外部协议头 中。实际上图的示意并不准确， 在两个 IP 协议头之间可以插入其它的协议 内容。 IPSec协议族在使用 IPIP 隧道时就可能插入另外两个协议头： AH 、 ESP。IPSec 协议族建立隧道可能采用如下的方式： 外部 IP AH 内部 IP 方式 1 外部 IP ESP 内部 IP 方式 2 外部 IP AH ESP 内部 IP