一、实验原理
相关术语:
IPSec: IPSec 协议在网络层起作用,是由 IETF 开发的一种开放标准框架,对提供IPSec 协议服务的设备之间的通讯提供加密保护和验证。 IPSec 对于 IP 层以上的数据可以全部或部分地进行保护,它提供了如下可选的安全服务:数据保密性,数据完整性,数据源验证,抗重播这些功能使数据在网络上传输时不会被监视、篡改和伪造。
SA: 为特定数据流提供安全服务的一个逻辑连接,这个安全服务的参数包括特定的安全协议,安全算法,密钥,以及数据流描述。 这里有 IPSec 安全联盟和 IKE 安全联盟两种, IPSec 安全联盟对数据提供 IPSec保护功能,既可以由用户手工配置建立连接,又可以由 IKE 协商建立; IKE 安全联盟用于保护 IKE 的协商数据
SPI: SPI 是一个 32bit 的整数,和一个目的 IP 地址、一个安全协议类型一起,形成了安全联盟的唯一标识。当使用 IKE 来建立安全联盟时,每个安全联盟的 SPI 值都是一个伪随机的继承的数字。如果不使用 IKE,则手工为每个安全联盟指定 SPI 值
IPSec架构:
IPSec含有ESP协议和AH协议,其中ESP协议提供了对IP报文的加密功能,AH协议提供了对IP报文的验证功能。IKE协议用于自动协商AH和ESP所使用的密码算法以及共享密钥如何建立,但它没有定义的是协商内容。这方面的定义是由"解释域(doi)"文档来进行。
安全联盟的建立过程
IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟:
第一阶段建立IKE安全通道,其有两种协商模式,分别为主模式和野蛮模式。
主模式:适用于两设备的公网IP固定、且要实现设备之间点 对点的环境。
野蛮模式:适用于对于例如ADSL拨号用户,其获得的公网IP 不是固定的,且可能存在NAT设备的情况下。
第二阶段建立IPSec安全联盟。
当第二阶段协商完毕之后,第一阶段的策略将暂时不会被使用,直到有新的连接建立时或IPSEC SA加密密钥超时时,才会用第一阶段的策略重新生成并传递新的加密数据和认证的密钥。
IPSec传输模式和隧道模式:
传输模式要保护的内容是IP包的载荷,通常情况下,传输模式只用于两台主机间的通信。
隧道模式保护的内容是整个原始IP数据包,通常情况下,只要IPSec双方有一方是安全网关或者路由器,就必须使用隧道模式。
在本次实验中,IPSec使用的模式是隧道模式,其原理如下:
在正常的路由转发过程中,源与目的IP不会改变,但是如果传输中应用了IPSec的隧道模式,当报文发送到配置有IPSec的路由器后,应用ESP协议将传输层数据连同原IP数据进行加密后,为得到的新数据包加上源IP为自己的,目的IP为隧道终点路由器的IP。得到最终的数据包在网络内路由,到达另一端IPsec路由器后,将加密后的数据包还原成传输层数据加原IP数据,再根据原IP数据在本地网络内正常转发。
IPsec验证方案设计:
IPSec使用隧道起点与终点的IP地址作为路由地址,删除路由表中源主机网络和目的主机网络的路由表项,在未配置IPSec时,两地将无法进行正常通信。若配置成功IPSec则不需要家属区网络与校园内本地网络的路由,此时测试两地主机的连通性,若二者连通,则说明IPSec配置成功。使用IPSec的监控调试指令,可以看到IPSec的建立与收到的数据包数量。
5465
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
