《IPSec-VPN中隧道模式和传输模式区别.docx》由会员分享,可在线阅读,更多相关《IPSec-VPN中隧道模式和传输模式区别.docx(8页珍藏版)》请在第壹文秘上搜索。
1、IPSecVPN根本原理IPSeCVPM是目前VPN技术中点击率特别高的种技术,同时供应VPN和信息加密两项技木,这一期专栏就来介绍一下IPSIXVPN的原理.IPSeCVPN应用场戏IPSecVPN应用需求IPSecVPN的应用场景分为3种;1. Site-Io-Sile(站点到站点或者网关到网关):如对曲评论的3个机构分布在互联网的3个不同的地方,各运用一个商务领航网关相互建立VPN隧道,企业内网(假设干PC)之间的数据通过这些网关建立的IPSecl道实现平安互联.2. EndgEnd(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSeC会话护,而不是网关。3. End-S
2、-Sitc(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSCC进展爱护.VPN只是IPSeC的种应用方式,IPSec其实是IPSecurity的简称,它的目的是为IP供应海平安性特性,VPN刖么是在实现这种平安特性的方式下产生的解决方案。IPSc是个框架性架构,详细由两类协议如成:1. AH协议(AuthenticationHeader,运用较少):可以同时供应数据完整性确认、数据来源确认、防田放等平安特性;AH常用箱要算法(单向HaSh函数)MD5和SHAl实现该特性。2. ESP协议(EncapsulatedSecurityPayload.运用较广):可以同时供应
3、数据完整性确认、致他;加密、防重放等平安特性:ESP通常运用DES、3DES、AES等加密算法实现数据加密,运用MD5或SHAl来实现数据完整性。为何AH运用较少呢?因为AH无法供应数据加率,全部数据在传输时以明文传猿,而ESP供应数据加密:其次AH因为供应数据来源确认(源IP地址TJ.变更AH校验失败),所以无法穿越NAT.当然IPScc在极端的状况下可以同时运用AH和ESP实现最完整的平安特性,但是此种方案极其少见。IPSCC封装模式介绍完IPSecVPN的场景和IPsiK:IP/GRE/TCP/UDP普:6.24.1.2/32目的:2.17.1.2/323192.168.1.2目的10.
4、1.1.2源、目的他址都是私有地址,因为祐网路由问题.该数据包在互联网中坡丢弃3192.168.1.2目的10.1.1.2教设数里包成功穿越了互联网,因为目的地址是不是响应方网关2.17.12,所以峋应方并不进行解密,而是直接耨发给内网PC二一#响应方内网pc因为笈、有进行IPSeCM商,所以密文数据无去解变而破PC丢弃如卜.图所示,假如发起方内网PC发往响应方内网PC的流贵满意网关的爱好方匹配条件.发起方运用传给模式诳展封装:1. IPSeC会话建立在发起方、响应方两个网关之间。2. 由于运用传输模式,所以IP头部并不会有任何变更,IP说比川.是,目的地址是。3. 这个数据包发到互联网后,其
5、命运注定是杯具的为什么这么讲,就因为其目的地址是吗?这并不是根源.根源在于互联网并不会维护企业网络的路由,所以丢弃的可能性很大。4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们希望响应方网关进展耨密工作吗?凭什么的确没什么好的凭据.数据包的目的地址是内刈PCffJ.所以干脆转发了事.5. 以杯具的是响应方内网PC收到数据包了,因为没有参加IPSeC会话的协商会议,没有对应的SA,这个数据包无法解玄,而被丢弃.我们利用这个反证法,奇妙地说明了在Sitc-to-Sitc状况下不能运用传输模式的缘由,并且提出了运用传给模式的充要条件:爱好流必需完全在发起方、响应方IP地址范用
6、内的流A1.比方在图中,发起方IP地址为,响应方IP胞址为,JE么爱好流可以是源、目的是,防议可以是随意的,储假设数据包的源、目的IP地及梢有不同,对不起,谛运用隧道模式。IPSec协商发起方响应方确定IPSec会话所使用 身份认方式无铜t办商方式及刷新周期IPSec保沪的澹量称为出陲 AH-ESP组合方式 AH/ESP使用期去兴#流 1专输模式/隧道横式 (TpSeC会话-什AIPSec会话响应端点称为由方发起方、响应放所Wb商出所使用密制.M法、兴IS流等内容称为发起方安全联盥IPseC会i发点称为点起方(SecurityAssociationSA)IPSee除一些怫议原理外,我们更关注的
7、是协议中涉及到方案制定的内容:1. 爱好液:1PSCC是须要消髭资液的爱护措施,并非全部流量都须要IPSeC诳展处理.而须要IPSeC进展爱护的流网就称为爱好洗,嫉终协商出来的爱好流是由发起方和响应方所指定爱好流的交集,如发起方指定鬟好流为,而响应方的爱好流为,那么其交集是,这就是最终会被IPSec所爱护的爱好流.2. 发起方:IniliagrIPSec会话协商的触发方,IPScC会话通常是由指定爱好流触发协商,触发的过程通常是将数据包中的海、目的地址、协议以及源、目的雉口号与提前指定的IPSe爱好流应配模板如AC1.进展K配,假如兀配胜利那么属于指定疫好流。指定好波只是用于触发协商,至于是否
8、会被IPSCC爱护要后是否匹配协商爱好流,但是在通常实施方案过程中,通常会设计成发起方指定爱好流属于协商爱好流.3. 响应方:ReSPonder,IPSee会话协商的接收方,响应方是被动协商,响应方可以指定爱好流,也可以不指定(完全由发起方指定)。4. 发起力和仙:,、“方协商的内容主要包括:双方身份的确认和密钥柠力刷新周期、AHJESP的祖合方式及各自运用的豫法,还包括爱好流、封奘模式等.5. SA;发起方、响应方协商的结果就是嵯光率很高的SA,SA通肺是包括密钥及玄钥生存期、尊法、封装模式、发起方、响应方地址、爱好流等内容。我们以最常见的IPSCC隧道模式为例,说明一下IPSa的协商过程:
9、IPSec隧道横式交互过程:发起方响Internet企业内业内晌由方2.17.1.2内网PC10.1.1.2内网PC192.168.1.2*192.168.1.2且的10.1.1.26.24.1.2匹配兴趣流源192.168.1.0/24目的10.0.0.0/8如果该兴趣海对应SA已依存在剜无需协商,SA协商条件:SA不存在SA过期SA不可用人为原因协育IKE协商一舱段SA二二二IKE一新段安全金诱/0道簪方、响应方身份要认IKE协商二鼾段SA-A兴趣流明文-AIKE协商掖文-A兴趣流田文对兴趣澎迸行加密X7fIKE二舱段安全会话N即玲3啕成方IKEWftZWRSA-发追万-响应足-二AU二一
10、方内网PC10.1.1.2解空兴埋灌检查源192,168.1.2目的10.1.1.2IKE协育二航段SAy呼发电瓦_兴流格查*10.1.1.2gj192J68.1_IPSec会话/Bifl发起方一响5方S10.1.1.2192.168J.2._对兴趣流进行加密从I.图可以发觉,在协商其次阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应放到发起方SA是单独协商的,这样做的好处在于即使某个方向的SA彼破解并不会涉及到另一个方向的SA,这种设计类似于双向车道设计,IPSec虽然只是5个字母的排列玳合,但其所涉及的协议功能众多、方案又极其献捷,本期主要介绍IPScc的根本原理在后续专栏还会接著介绍IPScc的其它方面学问.
