IPSEC VPN

一、IPSEC协议簇安全框架

1、需求背景

对保密性的需求越来越高，GRE、L2TP等VPN技术不支持保密性的要求。

2、IPSec VPN简介

Sec（Internet Protocol Security）：是一组基于网络层的，应用密码学的安全通信协议族。IPSec不 是具体指哪个协议，而是一个开放的协议族。

IPSec协议的设计目标：是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。

IPSec VPN：是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

3、IPSec提供的安全服务

访问控制有限的流量保密等其他安全服务。

机密性、完整性、数据源鉴别（数据认证）、重传攻击保护、不可否认性。

4、IPSec协议族

工作模式：

传输模式（transport ）

隧道模式（Tunnel ）

两个通信保护协议：

鉴别头(AH，Authentication Header)

封装安全载荷(ESP，Encapsulating Security Payload)

密钥交换管理协议（IKE)：

阶段一：

主模式 SA交换（1、2）、DH交换（3、4）、身份认证（5、6密文）

支持网关模式，不支持NAT/单臂模式，一般使用网关模式

野蛮模式 身份信息、SA交换、DH交换

支持网关模式，NAT/单臂模式，一般使用单臂模式

阶段二（Quick mode） （快速模式）

两个数据库：

安全策略数据库SPD（Security Policy Database）

安全关联数据库SAD（Security Association Database）

解释域DOI(Domain of Interpretation)

二、IPSEC工作模式

AH协议号：51

ESP协议号：50

1、传输模式(Transport mode)

主要应用场景：经常用于主机和主机之间端到端通信的数据保护。

封装方式：不改变原有的IP包头，在原数据包头后面插入IPSec包头，将原来的数据封装成被保护的数据。

2、隧道模式(Tunnel mode)

主要应用场景：经常用于私网与私网之间通过公网进行通信，建立安全VPN通道。

封装方式：增加新的IP（外网IP）头，其后是ipsec包头，之后再将原来的整个数据包封装。

三、IPSEC通信协议

1、通信保护协议AH

AH（Authentication Header，认证报头）提供的安全服务：