IPSecVPN基本原理HYPERLINK""IPSecVPN就是目前VPN技术中点击率非常高得一种技术,同时提供VPN与信息加密两项技术,这一期专栏就来介绍一下IPSecVPN得原理。IPSecVPN应用场景IPSecVPN得应用场景分为3种:1、SitetoSite(站点到站点或者网关到网关):如弯曲评论得3个机构分布在互联网得3个不同得地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间得数据通过这些网关建立得IPSec隧道实现安全互联。2、EndtoEnd(端到端或者PC到PC):两个PC之间得通信由两个PC之间得IPSec会话保护,而不就是网关。3、EndtoSite(端到站点或者PC到网关):两个PC之间得通信由网关与异地PC之间得IPSec进行保护。VPN只就是IPSec得一种应用方式,IPSec其实就是IPSecurity得简称,它得目得就是为IP提供高安全性特性,VPN则就是在实现这种安全特性得方式下产生得解决方案。IPSec就是一个框架性架构,具体由两类协议组成:1、AH协议(AuthenticationHeader,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5与SHA1实现该特性。2、ESP协议(EncapsulatedSecurityPayload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。为何AH使用较少呢？因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端得情况下可以同时使用AH与ESP实现最完整得安全特性,但就是此种方案极其少见。IPSec封装模式介绍完IPSecVPN得场景与IPSec协议组成,再来瞧一下IPSec提供得两种封装模式(传输Transport模式与隧道Tunnel模式)上图就是传输模式得封装结构,再来对比一下隧道模式:可以发现传输模式与隧道模式得区别:1、传输模式在AH、ESP处理前后IP头部保持不变,主要用于EndtoEnd得应用场景。2、隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于SitetoSite得应用场景。从上图我们还可以验证上一节所介绍AH与ESP得差别。下图就是对传输模式、隧道模式适用于何种场景得说明。从这张图得对比可以瞧出:1、隧道模式可以适用于任何场景2、传输模式只能适合PC到PC得场景隧道模式虽然可以适用于任何场景,但就是隧道模式需要多一层IP头(通常为20字节长度)开销,所以在PC到PC得场景,建议还就是使用传输模式。为了使大家有个更直观得了解,我们瞧瞧下图,分析一下为何在SitetoSite场景中只能使用隧道模式:如上图所示,如果发起方内网PC发往响应方内网PC得流量满足网关得兴趣流匹配条件,发起方使用传输模式进行封装:1、IPSec会话建立在发起方、响应方两个网关之间。2、由于使用传输模式,所以IP头部并不会有任何变化,IP源地址就是192、168、1、2,目得地址就是10、1、1、2。3、这个数据包发到互联网后,其命运注定就是杯具得,为什么这么讲,就因为其目得地址就是10、1、1、2吗？这并不就是根源,根源在于互联网并不会维护企业网络得路由,所以丢弃得可能性很大。4、即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们指望响应方网关进行解密工作吗？凭什么,得确没什么好得凭据,数据包得目得地址就是内网PC得10、1、1、2,所以直接转发了事。5、最杯具得就是响应方内网PC收到数据包了,因为没有参与IPSec会话得协商会议,没有对应得SA,这个数据包无法解密,而被丢弃。我们利用这个反证法,巧妙地解释了在SitetoSite情况下不能使用传输模式得原因。并且提出了使用传输模式得充要条件:兴趣流必须完全在发起方、响应方IP地址范围内得流量。比如在图中,发起方IP地址为6、24、1、2,响应方IP地址为2、17、1、2,那么兴趣流可以就是源6、24、1、2/32、目得就是2、17、1、2/32,协议可以就是任意得,倘若数据包得源、目得IP地址稍有不同,对不起,请使用隧道模式。IPSec协商IPSec除了一些协议原理外,我们更关注得就是协议中涉及到方案制定得内容:1、兴趣流:IPSec就是需要消耗资源得保护措施,并非所有流量都需要IPSec进行处理,而需要IPSec进行保护得流量就称为兴趣流,最后协商出来得兴