IPSEC的实现方式

最新推荐文章于 2024-01-28 14:40:32 发布
最新推荐文章于 2024-01-28 14:40:32 发布
阅读量9.1k 收藏 22
点赞数 4
分类专栏: openswan源码分析 IPSec vpn 文章标签: 虚拟隧道接口 访问控制 ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/106151539
版权

IPSEC的实现方式

在IPSEC通信中涉及到一个重要方面,那就是如何定义要保护的数据流(又称为感兴趣流)。这不仅涉及到IPSEC最终要保护哪部分数据,还关系到IPSEC的实现方式,因此有必要把感兴趣流的定义方式进行详细说明。

1. 感兴趣流的定义方式

“感兴趣流”指的是哪些数据可以进入IPsec隧道进行传输,哪些数据不能进入IPsec隧道传输。在现有的IPsec 实现过程中,最常用的实现方式有两种:“基于ACL”“基于虚拟隧道接口”。下面我们对这两中方式进行详细的介绍。

2. 基于ACL(访问控制)方式

​ 我们知道,高级IP ACL可以基于源/目的IP地址、源/目的端口、协议等信息对数据报文进行过滤, 而这IPsec正好可以使用ACL的方式来确定哪些数据报文需要隧道保护。

​ 当使用当采用ACL的方式来定义“感兴趣流”时,手动方式和IKE协商方式建立的IPsec 隧道是由高级ACL来指定需要保护的数据流范围,并从中过滤出需要进行IPsec隧道的报文。ACL规则允许的报文(permit)将被保护;ACL规则拒绝的报文(deny)将不会被保护。

​ 因为这里的ACL为高级IP ACL, 所以可以明确的指定数据报文中的源/目的IP地址**、源/目的端口、**协议类型等参数。但是这里的源、目的IP地址指数据发送方和接收方的主机IP地址,通常是两端内部网络中的私网地址。

​ 这种基于ACL方式定义感兴趣流的方式的优点是:

可以利用ACL配置的灵活性,根据IP地址、端口信息、协议类型(TCP, UDP, ICMP, IP等)等信息对报文进行过滤从而指定灵活的IPSec保护方法。

3. 基于虚拟隧道接口方式

​ 基于虚拟隧道接口来定义需要保护的数据流,首先需要在两端的IPsec设备创建一个虚拟的隧道接口Tunnel, 然后通过配置以该Tunnel接口为出接口的静态路由,以此来将到达某一个子网的数据流量通过IPSec隧道进行转发。因为Tunnel接口为点对点类型的接口,是运行PPP链路层协议的,因此以该接口为出接口的静态路由是可以不指定下一跳IP地址的。

​ IPsec虚拟隧道接口是一种三层逻辑接口,采用这种方式时,所有路由到IPsec虚拟隧道接口上的报文都将进行IPSec保护,而不再对数据流类型进行细分。使用IPSec虚拟隧道接口有如下诸多优点:

  • 简化配置

    只需要将IPSec保护的数据流引到虚拟隧道接口上,无需再通过ACL来定义加解密流量的特征。这使得IPSec的配置不会受到网络规划的影响,增加了网络规划的可扩展性,降低了网络维护的成本。

  • 较小开销

    在保护远程接入用户流量的组网中,只需要在IPSec虚拟隧道接口处进行IPSec报文封装,与IPSec over GRE 或者 IPSec over L2TP方式的隧道封装相比,较少了封装层次,节省了带宽。

  • 支持范围更广

    点对点IPSec虚拟隧道接口可以支持动态路由协议,同时还可以支持对组播流量的报文。另外,IPSec虚拟隧道接口在实施过程中明确的区分出“加密前”和“加密后”两个阶段,用户可以根据不同的组网需求灵活的选择其他业务(例如NAT, QoS)实施的阶段。 例如用户希望对加密前的报文进行QoS,则可以在IPSec虚拟隧道接口上应用QoS策略;如果希望对IPSec封装后的报文应用QoS,则可以在报文发送的物理接口上应用QoS策略。

4. 虚拟隧道接口

​ IPSec 虚拟隧道接口(即Tunnel接口),是一种支持路由的三层逻辑接口,它可以支持动态路由协议、所有路由到IPSec虚拟隧道接口的报文都将进行IPSec保护,同时可以支持对组播流量的保护。

​ 下面简单介绍下IPSec隧道两端的虚拟隧道接口上报文处理流程:

4.1 IPSec虚拟隧道接口上封装和加密流程

用户数据到达IPSec设备(如路由器),需要被IPSec保护的报文(感兴趣流)会被转发到IPSec虚拟隧道接口上进行封装和加密。如下图所示:
在这里插入图片描述

  • Router将从入接口上收到的明文IP报文后发送到转发模块进行处理
  • 转发模块依据路由表查询结果进行转发,如果为相应的感兴趣流,会被引到IPSec虚拟隧道接口上进行AH或ESP封装;
  • IPSec虚拟隧道接口完成对明文的封装处理后,根据建立的IPSec SA安全策略再将封装后的报文进行加密,然后再将加密后的报文交由转发模块进行处理
  • 转发模块通过第二次转发查询后,将已经封装完毕的加密IPSec报文通过相应的物理接口发送出去,最终密文到达对端的IPSec设备的虚拟隧道接口上。
4.2 IPSec虚拟隧道接口上解封装和解密流程

数据经过IPSec隧道传输到达对端IPSec设备时,需要对数据包进行解密、解封装处理。它的处理流程如下所示:
在这里插入图片描述

  • Router将从入接口上收到的加密的IP报文发送到转发模块进行处理
  • 转发模块识别到此密文的目的IP地址为本设备的隧道接口IP地址,且IP报文协议号为ESP、AH、UDP时,会将此报文发送到相应的虚拟隧道接口上进行解密和解封装处理;
  • IPSec虚拟隧道接口完成对密文的解封装处理后,再将解封装后的报文交由转发模块进行处理
  • 转发模块通过第二次转发查询后,将IP明文通过相应的物理接口发送出去,最终密文到达相应的主机上。
叨陪鲤
关注
  • 4
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
IPSec 基础介绍
qq_32044265的博客
11-28 4675
IPSec包括认证头协议AH、封装安全载荷协议ESP、因特网密钥交换协议IKE,用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换 本文对IPSec的安全联盟(Security Association)安全协议、封装模式、加密和验证、密钥交换和IKE协议以及IPSec的加密数据流进行简单介绍
ACL --- 访问控制列表
weixin_49252364的博客
05-22 675
1,访问控制 --- 在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作 (permit--允许,deny---拒绝) 2, 抓取感兴趣流:ACL的另一个作用就是和其他服务结合,ACL负责按照事先制定的规则抓取流量,而其他服务对匹配到的流量执行相应的动作 ACL的匹配规则 ---- 自上而下,逐一匹配。匹配上就按照对应的动作来执行,而不在向下匹配。 思科体系的设备,ACL列表末尾隐含了一条拒绝所有的规则。 华为体系的设备,对ACL列表中匹配不到的流量不做任何处理...
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议
luming的博客
11-13 8382
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPSec的GRE实现
01-17
分部1和分部2通过野蛮IPSec方式连接到中心,采用GRE -Over-IPSec方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。
IPsec原理+实现 一文全介绍
最新发布
qingwangheni的博客
01-28 1999
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
3.2、虚拟专用网络基础之IP sec
qq_33782021的博客
12-30 1838
IP sec:IP security,一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性、抗重放的方法。
基于Linux 2.6版本的IPSec 实现研究
02-28
【基于Linux 2.6版本的IPSec 实现研究】 IPSec(Internet Protocol Security)是一种在互联网协议(IP)层提供安全服务的协议,由IETF(Internet工程任务组)提出,旨在保护网络通信免受窃听、篡改和伪装等攻击。在...
ipsec学习笔记,自己整理
11-08
IPsec 协议实现与 IP 实现的整合 本文将介绍 IPsec 协议的实现和 IP 实现的整合。IPsec(Internet Protocol Security)是一种网络安全协议,用于保护 IP 数据报的安全。 2.1.11 实现思想 首先要判断是否需要进行...
以嵌入方式在Linux下实现IPsec协议.pdf
09-07
以嵌入方式在Linux下实现IPsec协议.pdf
IPSEC-TOOLS使用说明
05-10
例如,定义A到B和B到A的流量通过IPsec隧道,并指定相应的IP地址、子网掩码、协议和加密方式。 总结来说,IPSEC-TOOLS提供了一个完整的框架,使得Linux系统能够实现IPsec功能,保护网络通信的安全。正确配置和使用...
IPSec功能实现
GOOD__YOUTH的博客
10-11 1014
从Linux 2.6内核开始,内核就自身带有IPSec模块,配合IPSec-Tools,能很好的实现Linux的IPSec功能。 IPSec-Tools主要包含libipsec、setkey、racoon和racoonctl这4个模块,setkey主要用于配置SAD(安全关联数据库)和SPD(安全策略数据库),racoon用于IKE协商。 IPSec-Tools的配置文件均放在/etc/racoon目录下,setkey.conf文件保存着sad和spd的配置信息,racoon.conf文件保存着IKE各个协
锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3302
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
IPSec的配置实现实验报告
weixin_42418315的博客
07-14 2741
1、实验过程中遇到的问题及解决办法;(1)在cisco中配置网络拓扑时,不显示label,需进行设置,才显示端口。(2)虚拟机中下载wireshark时打不开网页,安装虚拟机工具包,在主机上下载后复制到虚拟机上,需要注意的是要下载适合windows3的win32版本。(3)在配置好PC1和PC2的安全策略后,无论是使用PC1去ping PC2,还是使用PC2去ping PC1,都ping不通。因为设置的PC1和PC2的共享密钥不同,前者是20020707,后者是buptlqx。
IPSec学习笔记
weixin_45813589的博客
04-09 533
IPSec知识
2.6.2 IPSec实现方式
The 44th Demilitarized Zone
12-01 1523
IPSec的一个特点就是它可以在共享网络访问设备,甚至可以在所有的主机和服务器上完全实现,这避免了升级网络设备的相关费用。IPSec支持2种模式:传输模式和隧道模式。传输模式:通常在IPSec在一台主机(客户机或服务器)上实现时使用,传输模式使用原始明文IP头,并且只加密数据(包括TCP或UDP头)。当ESP在关联到多台主机的网络访问接入装置实现时使用,隧道模式处理整个IP数据包——包
什么是IPsecIPsec实现机制有哪些?
txinnet的博客
04-13 5836
首先我们来了解一下什么是IPsecIPsec ---(英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。 实际上IPsec是一整套协议包而不只是一个单独的协议, 这一点对于我们认识IPSec是很重要的。IPsec协议把多种安全技术集合到一起,从而建立起一个安全、可靠的隧道。在IPsec安全体系结构中包括了3个最基本的协议:AH(Authentication Hea
网络安全篇 使用IPSec实现数据的机密性传输-29
佐德将军的博客
05-23 2781
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 3 实验复杂度 3 一、实验原理 VPN的出现是为了实现远程的数据机密性传输,因为传统的以太网方式传输数据都是明文的,数据透露的风险极大,非常不安全。为了解决这个数据安全传输的问题,可以使用VPN(Virtual Private Network,虚拟私有网络)技术来实现。 二、实验拓扑 三、实验步骤 1.搭建如图所示的网络拓扑图; 2.初始化设备,配置相应的I...
如何使用IpSec实现服务器之间安全通信
xt704934298的专栏
10-31 2170
来源: 作者:liqinglin   现在大部分web网站的数据库是用微软的sql server 的,现在如果想实现两台服务器之间的安全通信,这是需要1433(或者是别的)端口的,这就需要用到IpSec实现IP过滤了.其操作步骤大致如下:   1.首先,进入“控制面板”—“系统和安全”—“管理工具”—“本地安全策略”,进入之后,右击“IP安全策略,在本地计算机”,选择“管理IP筛选器表和筛选
ipsec内核实现分析 csdn
08-01
IPSec是一种网络安全协议,用于在网络通信中加密和验证数据的完整性。CSND是中国最大的技术社区之一,提供了大量的技术文章和资源。下面是对IPSec内核实现的分析。 IPSec的内核实现主要包含以下几个方面: 1. 隧道模式:IPSec支持隧道模式,即将整个IP数据报进行封装,形成一个新的IP包,然后再将封装后的报文在网络中传输。内核的实现会通过协议栈提供的功能,对封装后的IP包进行加密和认证。 2. 安全关联:安全关联是IPSec中定义的一组安全规则,用于对网络通信进行加密和验证。内核实现需要支持创建和管理安全关联,并根据配置的参数,对数据进行相应的加密和认证操作。 3. 加密算法和认证算法:IPSec支持多种加密算法和认证算法,如DES、3DES、AES、SHA-1和SHA-256等。内核实现需要支持这些算法,并通过调用相应的加密库对数据进行加密和认证操作。 4. 安全策略:IPSec中的安全策略用于指定哪些数据包需要进行安全处理(加密和认证)。内核实现需要根据配置的安全策略,对数据包进行过滤和处理,以确定是否需要应用IPSec的安全操作。 5. 密钥管理:IPSec中的密钥管理用于生成、分发和更新加密和认证所需的密钥。内核实现需要支持密钥管理协议,如IKE(Internet Key Exchange),以确保密钥的安全性和有效性。 CSDN是一个技术社区,其中包含了很多IPSec的相关文章和资源。在CSDN上,可以找到IPSec的基本原理、实现细节、使用方法以及遇到的问题和解决方案等内容。通过阅读这些文章和资源,可以更深入地了解IPSec内核实现的原理和操作方式,对IPSec的使用和调优有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值