IPSEC VPN基本原理(一)

原创 2004年12月31日 10:05:00
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解。
1. 为什么要导入IPSEC协议
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。

另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。

IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。

2. 包封装协议
设想现实一种通讯方式。假定发信和收信需要有身份证(成年人才有),儿童没有身份证,不能发信收信。有2个儿童,小张和小李,他们的老爸是老张和老李。现在小张和小李要写信互通,怎么办?

一种合理的实现方式是:小张写好一封信,封皮写上 "小张-->小李", 然后给他爸爸,老张写一个信封,写上“老张-->老李”, 把前面的那封信套在里面,发给老李,老李收到信以后,打开,发现这封信是给儿子的,就转给小李了。小李回信也一样,通过他父亲的名义发回给小张。
这种通讯实现方式要依赖以下几个因素:
* 老李和老张可以收信发信
* 小张发信,把信件交给老张。
* 老张收到儿子的来信以后,能够正确的处理(写好另外一个信封),并且重新包装过的信封能够正确送出去。
* 另外一端,老李收到信拆开以后,能够正确地交割小李。
* 反过来的流程一样。
把信封的收发人改成Internet上的IP地址,把信件的内容改成IP的数据,这个模型就是IPsec的包封装模型。小张小李就是内部私网的IP主机,他们的老爸就是VPN网关,本来不能通讯的两个异地的局域网,通过出口处的IP地址封装,就可以实现局域网对局域网的通讯。

引进这种包封装协议,实在是有点不得已。理想的组网方式,当然是全路由方式。任意节点之间可达(就像理想的现实通讯方式是任何人之间都可以直接写信互通一样)。

Internet协议最初设计的时候,IP地址是32位,当时是很足够了,没有人能够预料到将来Internet能够发展到现在的规模(相同的例子发生在电信短消息上面,由于160字节的限制,很大地制约了短消息的发展)。按照2的32次方计算,理论上最多能够容纳40亿个左右IP地址。这些IP地址的利用是很不充分的,另外大约有70%左右的IP地址被美国分配掉了(谁让人家发明并且管理Internet呢?)所以对于中国来说,可供分配的IP地址资源非常有限。

既然IP地址有限,又要实现异地lan-lan通讯,包封包,自然是最好的方式了。

3.安全协议(加密)
依然参照上述的通讯模型。
假定老张给老李的信件要通过邮政系统传递,而中间途径有很多好事之徒,很想偷看小张和小李(小张小李作生意,通的是买卖信息)通讯,或者破坏其好事。
解决这个问题,就要引进安全措施。安全可以让小李和小张自己来完成,文字用暗号来表示,也可以让他们的老爸代劳完成,写好信,交给老爸,告诉他传出去之前重新用暗号写一下。

IPSEC协议的加密技术和这个方式是一样的,既然能够把数据封装,自然也可以把数据变换,只要到达目的地的时候,能够把数据恢复成原来的样子就可以了。这个加密工作在Internet出口的VPN网关上完成。

4.安全协议(数据认证)
还是以上述通讯模型为例,仅仅有加密是不够的。
把数据加密,对应这个模型中间,是把信件的文字用暗号表示。

好事之徒无法破解信件,但是可以伪造一封信,或者胡乱把信件改一通。这样,信件到达目的地以后,内容就面目全非了,而且收信一方不知道这封信是被修改过的。

为了防止这种结果,就要引入数据防篡改机制。万一数据被非法修改,能够很快识别出来。这在现实通讯中间可以采用类似这样的算法,计算信件特征(比如统计这封信件的笔划、有多少字),然后把这些特征用暗号标识在信件后面。收信人会检验这个信件特征,由于信件改变,特征也会变。所以,如果修改人没有暗号,改了以后,数据特征值就不匹配了。收信人可以看出来。

实际的IPSEC通讯的数据认证也是这样的,使用md5算法计算包文特征,报文还原以后,就会检查这个特征码,看看是否匹配。证明数据传输过程是否被篡改。

5.安全协议(身份认证)
还是假定小张小李通讯模型。
由于老张和老李不在一个地方,他们互相不能见面,为了保证他们儿子通讯的安全。老张和老李必须要相互确认对方是否可信。这就是身份认证问题。

假定老李老张以前见过面,他们事先就约定了通讯暗号,比如1234567890对应abcdefghij, 那么写个255,对应就是一个bee。

常见的VPN身份认证可以包括预共享密钥,通讯双方实现约定加密解密的密码,直接通讯就可以了。能够通讯就是朋友,不能通讯就是坏人,区分很简单。

其他复杂的身份认证机制包括证书(电子证书比如x509之类的),比较罗里罗嗦,这里就不具体展开了,怕有兄弟看了打瞌睡。如果需要,可以找我要更具体的技术白皮书以及相关的身份认证文档。

如果有身份认证机制,密钥的经常更换就成为了可能。

6.其他
解决了上述的几个问题,基本可以保证VPN通讯模型能够建立起来了。
但是并不完美,这是最简单的VPN。即通过对端两个静态的IP地址,实现异地网络的互联。美国的很多VPN设备就作到这一级,因为美国IP地址充裕,分配静态IP地址没有问题。苦的是我等中国客户,2端都需要静态IP地址,相当于2根Internet专线接入。

---IPSec VPN基本原理

 IPSec VPN应用场景 IPSec VPN的应用场景分为3种: 1.      Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的...
  • u010749410
  • u010749410
  • 2014年06月07日 16:07
  • 531

IPSec VPN基本原理

IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 IPSec VPN应用场景 IPSec VPN的...
  • dolphin98629
  • dolphin98629
  • 2015年08月27日 11:11
  • 358

IPSec VPN基本原理(图解)

IPSec VPN基本原理(图解) 转载love23002014-09-05 17:04评论(0)59877人阅读 IPSec VPN是目前VPN技术中点击率非常高...
  • linaux_mctc
  • linaux_mctc
  • 2017年12月03日 15:29
  • 103

SSL VPN和IPsec VPN的比较和选择

SSL VPN和IPsec VPN的比较和选择SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这...
  • Poetic_Vienna
  • Poetic_Vienna
  • 2016年08月19日 14:45
  • 4903

IPSec VPN基本原理

IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 IPSec VPN应用场景 IPSec VPN的...
  • kissiey
  • kissiey
  • 2013年01月13日 22:05
  • 615

IPSec VPN基本原理(图解)

原文地址::http://sukhoi.blog.51cto.com/229761/1549430/ 相关文章 1、ipsec的简单介绍及应用----http://jiangkun08.b...
  • xqhrs232
  • xqhrs232
  • 2017年08月08日 16:25
  • 186

IPSec VPN中主模式(main mode)和积极模式(aggressive mode)的区别

对于IPsec 中IKE 协商的第一阶段,可以有主模式和积极模式两种协商模式选择,这取决于使用的场合,通常来讲,默认的时候都是用的主模式,如在Cisco设备中使用命令行进行预共享密钥的配置时,如果不指...
  • bytxl
  • bytxl
  • 2014年08月18日 09:05
  • 1610

IPsec vpn 过程分析

vpn 一,IKE协商. IKE协商跟TCP三次握手相似.不过比TCP 三次握手复杂点.IKE协商过程需要经过9个报文的来回,才能建立通讯双方需要的IKE SA,然后利用该IKE SA进行数据...
  • inthat
  • inthat
  • 2013年08月22日 10:56
  • 1725

浅谈IPSec VPN对Cisco路由器CPU利用率(负载)的影响

因为某台业务环境下的2811在VPN链路满载时经常
  • robur
  • robur
  • 2014年11月19日 03:36
  • 3331

【华为实验】eNSP模拟IPsec VPN

拓扑: 配置: 按拓扑规划配置接口IP,然后在AR1和AR3上配置指向AR2接口的默认路由,使得AR1和AR3的G0/0/0接口能够互通。(此部分配置不贴出)    开始IPsec配置(AR1):...
  • sc_lilei
  • sc_lilei
  • 2017年07月26日 14:40
  • 1095
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:IPSEC VPN基本原理(一)
举报原因:
原因补充:

(最多只允许输入30个字)