关键技术点详解IPSecVPN基本原理.docVIP

技术点详解---IPSec VPN基础原理 其它话题： 技术点详解---双链路智能切换 技术点详解---互联网双出口选择 技术点详解---同时访问VPN和互联网 技术点详解---SSL VPN 技术点详解---IPSec方案布署 技术点详解---IPSec穿越NAT 技术点详解---IPSec VPN基础原理 技术点详解---L2TP VPN 技术点详解---网络中身份保护和信息保护 技术点详解---互联网应用怎样穿越NAT 技术点详解---VPN远程访问概述 技术点详解---互联网访问控制 内部服务器怎样提供访问服务 技术点详解——局域网访问隔离 技术点详解——局域网安全 商务领航和天翼融合 访问互联网和LAN通信 信息通信网关布署 何以解中小企业信息化之“忧”？ IPSec VPN是现在VPN技术中点击率很高一个技术，同时提供VPN和信息加密两项技术，这一期专栏就来介绍一下IPSec VPN原理。 IPSec VPN应用场景 IPSec VPN应用场景分为3种： 1.??????Site-to-Site（站点到站点或网关到网关）：如弯曲评论3个机构分布在互联网3个不一样地方，各使用一个商务领航网关相互建立VPN隧道，企业内网（若干PC）之间数据经过这些网关建立IPSec隧道实现安全互联。 2.??????End-to-End（端到端或PC到PC）： 两个PC之间通信由两个PC之间IPSec会话保护，而不是网关。 3.??????End-to-Site（端到站点或PC到网关）：两个PC之间通信由网关和异地PC之间IPSec进行保护。 VPN只是IPSec一个应用方法，IPSec其实是IP Security简称，它目标是为IP提供高安全性特征，VPN则是在实现这种安全特征方法下产生处理方案。IPSec是一个框架性架构，具体由两类协议组成： 1.??????AH协议（Authentication Header，使用较少）：能够同时提供数据完整性确定、数据起源确定、防重放等安全特征；AH常见摘要算法（单向Hash函数）MD5和SHA1实现该特征。 2.??????ESP协议（Encapsulated Security Payload，使用较广）：能够同时提供数据完整性确定、数据加密、防重放等安全特征；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。 为何AH使用较少呢？因为AH无法提供数据加密，全部数据在传输时以明文传输，而ESP提供数据加密；其次AH因为提供数据起源确定（源IP地址一旦改变，AH校验失败），所以无法穿越NAT。当然，IPSec在极端情况下能够同时使用AH和ESP实现最完整安全特征，不过此种方案极其少见。 IPSec封装模式 介绍完IPSec VPN场景和IPSec协议组成，再来看一下IPSec提供两种封装模式（传输Transport模式和隧道Tunnel模式） 上图是传输模式封装结构，再来对比一下隧道模式： 能够发觉传输模式和隧道模式区分： 1.??????传输模式在AH、ESP处理前后IP头部保持不变，关键用于End-to-End应用场景。 2.??????隧道模式则在AH、ESP处理以后再封装了一个外网IP头，关键用于Site-to-Site应用场景。 从上图我们还能够验证上一节所介绍AH和ESP差异。下图是对传输模式、隧道模式适适用于何种场景说明。 从这张图对比能够看出： 1.??????隧道模式能够适适用于任何场景 2.??????传输模式只能适合PC到PC场景 隧道模式即使能够适适用于任何场景，不过隧道模式需要多一层IP头（通常为20字节长度）开销，所以在PC到PC场景，提议还是使用传输模式。 为了使大家有个更直观了解，我们看看下图，分析一下为何在Site-to-Site场景中只能使用隧道模式： 如上图所表示，假如提议方内网PC发往响应方内网PC流量满足网关爱好流匹配条件，提议方使用传输模式进行封装： 1.??????IPSec会话建立在提议方、响应方两个网关之间。 2.??????因为使用传输模式，所以IP头部并不会有任何改变，IP源地址是192.168.1.2，目标地址是10.1.1.2。 3.??????这个数据包发到互联网后，其命运注定是杯具，为何这么讲，就因为其目标地址是10.1.1.2吗？这并不是根源，根源在于互联网并不会维护企业网络路由，所以丢弃可能性很大。 4.??????即使数据包没有在互联网中丢弃，而且幸运地抵达了响应方网关，那么我们指望响应方网关进行解密工作吗？凭什么，确实没什么好凭据，数据包目标地址是内网PC10.1