IPSec *** 原理(讲解）

本章主要讲解 IPSec ××× 相关理论概念
讲解了 IPSec 在 ××× 对等体设备实现的安全特性，如数据的机密性、数据的完整性、数据验证等。重点分析了 IKE 阶段 1 和阶段 2 的协商建立过程，为 ××× 对等体间故障排查打下坚实的理论基础。最后，在 Cisco 的路由器上实现 IPSec ××× 的应用及配置，并结合企业需求进行案例讲解。

××× 技术起初是为了解决明文数据在网络上传输所带来的安全隐患而产生的。TCP/IP 协议族中的很多协议都采用明文传输，如 Telnet、FTP、TFTP 等。一些***可能为了获取非法利益，通过诸如窃听、伪装等***方式截获明文数据，使企业或个人蒙受损失。
××× 技术可以从某种程度上解决该问题。例如，它可以对公网上传输的数据进行加密，即使***通过某种窃听工具截获到数据，也无法了解数据信息的含义；也可以实现数据传输双方的身份验证，避免***伪装成网络中的合法用户***网络资源。
那么，什么是 ××× 技术呢？
1.1.1 ××× 的定义
×××（Virtual Private Network，虚拟专用网）就是在两个网络实体之间建立的一种受保护的连接，这两个实体可以通过点到点的链路直接相连，但通常情况下它们会相隔较远的距离。
对于定义中提到的“受保护”一词，可以从以下几个方面理解。  通过使用加密技术防止数据被窃听。
 通过数据完整性验证防止数据被破坏、篡改。

 通过认证机制实现通信方身份确认，来防止通信数据被截获和回放。 此外，××× 技术还定义了：  何种流量需要被保护。
 数据被保护的机制。  数据的封装过程。
实际工作环境中的 ××× 解决方案不一定包含上述所有功能，这要由具体的环境需求和实现方
式决定。而且很多企业可能采用不止一种的 ××× 解决方案。

1.1.2 ××× 的模式与类型
1．××× 的连接模式
××× 技术有两种基本的连接模式：隧道模式和传输模式。这两种模式实际上定义了两台实体设备之间传输数据时所采用的不同的封装过程。
1）传输模式
如图 1.1 所示，传输模式一个最显著的特点就是：在整个 ××× 的传输过程中，IP 包头并没有被封装进去，这就意味着从
源端到目的端数据始终使用原有的 IP 地址进行通信。而传输的实际数据载荷被封装在 ××× 报文中。对于大多数 ××× 传输而言，××× 的报文封装过程就是数据的加密过程，因此，***者截获数据后将无法破解数据内容，但却可以清晰地知道通信双方的地址信息。
由于传输模式封装结构相对简单（每个数据报文较隧道模式封装结构节省 20 字节），因此传2 输效率较高，多用于通信双方在同一个局域网内的情况。例如，网络管理员通过网管主机登录公司内网的服务器进行维护管理，就可以选用传输模式 ××× 对其管理流量进行加密。

图 1.1 传输模式原理

2）隧道模式
如图 1.2 所示，隧道模式与传输模式的区别显而易见，××× 设备将整个三层数据报文封装在 ××× 数据内，再为封装后的数据报文添加新的 IP 包头。由于在新 IP 包头中封装的是 ××× 设备的 IP 地址信息，所以当***者截获数据后，不但无法了解实际载荷数据的内容，同时也无法知道实际通信双方的地址信息。
图 1.2 隧道模式原理

由于隧道模式的 ××× 在安全性和灵活性方面具有很大的优势，在企业环境中应用十分广泛，
总公司和分公司跨广域网的通信、移动用户在公网访问公司内部资源等很多情况，都会应用隧道模式的 ××× 对数据传输进行加密。
2．××× 的类型
通常情况下，××× 的类型分为站点到站点 ××× 和远程访问 ×××。
1）站点到站点 ××× 站点到站点 ××× 就是通过隧道模式在 ××× 网关之间保护两个或更多的站点之间的流量，站点间的流量通常是指局域网之间（L2L）的通信流量。L2L ××× 多用于总公司与分公司、分公司之间在公网上传输重要业务数据。
如图 1.3 所示，对于两个局域网的终端用户来说，在 ××× 网关中间的网络是透明的，就好像通过一台路由器连接的两个局域网。总公司的终端设备通过 ××× 连接访问分公司的网络资源，数据包封装的 IP 地址都是公司内网地址（一般为私有地址），而 ××× 网关对数据包进行的再次封装过程，客户端是全然不知的。
图 1.3 站点到站点 ×××
2）远程访问 ×××
远程访问 ××× 通常用于单用户设备与 ××× 网关之间的通信连接，单用户设备一般为一台 PC或小型办公网络等。××× 连接的一端为 PC，可能会让很多人误解远程访问 ××× 使用传输模式，但因为该种 ××× 往往也是从公网传输关键数据，而且单一用户更容易成为***的***对象，所以远程访问 ××× 对于安全性的要求较高，更适用于隧道模式。
要想实现隧道模式的通信，就需要给远程客户端分配两个 IP 地址：一个是它自己的 NIC 地址，另一个是内网地址。也就是说远程客户端在 ××× 建立过程中同时充当 ××× 网关（使用 NIC 地址）和终端用户（使用内网地址）。
如图 1.4 所示，当远端的移动用户与总公司的网络实现远程访问 ××× 连接后，就好像成为总公司局域网中一个普通用户，不仅使用总公司网段内的地址访问公司资源，而且因为其使用隧道模式，真实的 IP 地址被隐藏起来，实际公网通信的一段链路对于远端移动用户而言就像是透明的。
图 1.4 远程访问 ×××

转载于:https://blog.51cto.com/13557045/2070116