技术点详解---IPSec-VPN基本原理.docxVIP

? 技术点详解---双链路智能切换 ? 技术点详解---互联网双岀口的选择 ? 技术点详解---同时访问VPN和互联网 技术点详解---SSL VPN ? 技术点详解---IPSec 方案部署 ? 技术点详解---IPSec 穿越NAT ? 技术点详解---IPSec VPN 基本原理 技术点详解---L2TP VPN 技术点详解---网络中的身份保护与信息保护 ? 技术点详解---互联网应用如何穿越 NAT ? 技术点详解---VPN远程访问概述 ? 技术点详解---互联网访问控制 内部服务器如何提供访问服务 技术点详解——局域网访问隔离 技术点详解——局域网安全 商务领航与天翼的融合 访问互联网和LAN通信 信息通信网关部署 何以解中小企业信息化之 忧” ？ IPSec VPN是目前VPN技术中点击率非常高的一种技术， 同时提供VPN和信息加密两项技 术，这一期专栏就来介绍一下 IPSec VPN的原理。 IPSec VPN 应用场景 IPSec VPN应用需求 IPSec VPN的应用场景分为 3种： Site-to-Site （站点到站点或者网关到网关）：如弯曲评论的 3个机构分布在互联网的 3 个不同的地方，各使用一个商务领航网关相互建立 VPN隧道，企业内网（若干 PC）之 间的数据通过这些网关建立的 IPSec隧道实现安全互联。 En d-to-E nd （端到端或者 PC到PC）: 两个PC之间的通信由两个 PC之间的IPSec 会话保护，而不是网关。| End-to-Site （端到站点或者 PC到网关）：两个 PC之间的通信由网关和异地 PC之间 的IPSec进行保护。 VPN只是IPSec的一种应用方式，IPSec其实是IP Security 的简称，它的目的是为 IP提供 高安全性特性，VPN则是在实现这种安全特性的方式下产生的解决方案。 IPSec是一个框架 性架构，具体由两类协议组成： 1. AH 协议 1. AH 协议（Authentication Header ，使用较少）：可以同时提供数据完整性确认、数据 来源确认、防重放等安全特性； AH常用摘要算法（单向 Hash函数）MD5和SHA1 实现该特性。 ESP协议（Encapsulated Security Payload ，使用较广）：可以同时提供数据完整性确 | 认、数据加密、防重放等安全特性； ESP通常使用DES、3DES、AES等加密算法实现 数据加密，使用 MD5或SHA1来实现数据完整性。 为何AH使用较少呢？因为 AH无法提供数据加密，所有数据在传输时以明文传输，而 ESP 提供数据加密；其次 AH因为提供数据来源确认（源 IP地址一旦改变，AH校验失败），所 以无法穿越 NAT。当然，IPSec在极端的情况下可以同时使用 AH和ESP实现最完整的安全 特性，但是此种方案极其少见。 IPSec封装模式 介绍完IPSec VPN的场景和IPSec协议组成，再来看一下 IPSec提供的两种封装模式（传 输Transport模式和隧道Tunnel模式） ESP ESP 摘要 ESP 头 !P头 源、目的地址 IPSec的两种应用方式一皤模式 可以发现传输模式和隧道模式的区别: 上图是传输模式的封装结构，再来对比一下隧道模式: IPSec的两种应用方式——瞇道模式 8 ? / Encapsulated Security Pay load 左全封装戦荷 夕商IP亘—飞厨祁买一 | 庐：肿 抵目的昨||氟目妙蜒|| TCP/UDP/KMP」 MDS/SHA1 Authentication Header 莽证头部— MD5/SHA1^M% ■St Authentkatian Header 验证头部— Encapsuhted Security Payload IP头 源、目的地址 AH认证头 摘要 iPifcis TCP/UDP/ICMP — IP散据 加密后磴文 外网IP头 施-目的期止 AH认证头 内网【P头 捕豎:源、目的地址 IP数据 TCP/UDP/ICMP DES/3DES/AEStinE IP头 源、咅的地址 TCP/UDP/ICMP MDS/SHA1摘营?法 】P数据 TCP/UDP/ICMP 胃I =」制 MD5/SHA1 MffiH 法 / IP头 沥、B EEitBU 】P救据 加幣后馭 内网1P头 源*目的地址 1P敲抿 TCP/UDP/ICMP 外隸 一m ? W4ipM4. OW DKUtWU- r.^BtUW 04P - , QperCfflcr jry J； 传输模式在 AH、ESP处理前后IP头部保持不变，主要用于 End-to-End 的应用场景 隧道模式则在 AH、ESP处理之后再封装了一个外网