技术点详解:IPSec VPN基本原理

  • 时间:
  • 浏览:4

IPSec VPN是目前VPN技术中点击率非常高的一种技术,一同提供VPN和信息加密两项技术,一种期专栏就来介绍一下IPSec VPN的原理。

作者:佚名来源:H3C|2019-04-200 08:15

IPSec VPN是目前VPN技术中点击率非常高的一种技术,一同提供VPN和信息加密两项技术,一种期专栏就来介绍一下IPSec VPN的原理。

IPSec VPN应用场景

IPSec VPN的应用场景分为3种:

  • Site-to-Site(站点到站点机会网关到网关):如弯曲评论的有一个机构分布在互联网的有一个不同的地方,各使用有一个 多商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过哪此网关建立的IPSec隧道实现安全互联。
  • End-to-End(端到端机会PC到PC): 有一个 多PC之间的通信由有一个 多PC之间的IPSec会话保护,而都有网关。
  • End-to-Site(端到站点机会PC到网关):有一个 多PC之间的通信由网关和异地PC之间的IPSec进行保护。

VPN而是IPSec的一种应用妙招,IPSec确实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现一种安全特性的妙招下产生的防止方案。IPSec是有一个 多框架性架构,具体由两类协议组成:

  • AH协议(Authentication Header,使用较少):可不会能 一同提供数据完整篇 性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
  • ESP协议(Encapsulated Security Payload,使用较广):可不会能 一同提供数据完整篇 性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整篇 性。

为什么我么我AH使用较少呢?机会AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH机会提供数据来源确认(源IP地址一旦改变,AH校验失败),而是是不是法穿越NAT。当然,IPSec在极端的情形下可不会能 一同使用AH和ESP实现最完整篇 的安全特性,但会 此种方案极其少见。

IPSec封装模式

介绍完IPSec VPN的场景和IPSec协议组成,再来看一下IPSec提供的一种封装模式(传输Transport模式和隧道Tunnel模式)

上图是传输模式的封装特性,再来对比一下隧道模式:

可不会能 发现传输模式和隧道模式的区别:

  • 传输模式在AH、ESP防止前后IP头部保持不变,主要用于End-to-End的应用场景。
  • 隧道模式则在AH、ESP防止以后再封装了有一个 多外网IP头,主要用于Site-to-Site的应用场景。

从上图让没没了人还可不会能 验证上一节所介绍AH和ESP的差别。下图是对传输模式、隧道模式适用于何种场景的说明。

从这张图的对比可不会能 看出:

  • 隧道模式可不会能 适用于任何场景
  • 传输模式不到适合PC到PC的场景

隧道模式确实可不会能 适用于任何场景,但会 隧道模式须要多一层IP头(通常为20字节长度)开销,而是有在PC到PC的场景,建议还是使用传输模式。

为了使让没没了人有个更直观的了解,让没没了人看看下图,分析一下为什么我么我在Site-to-Site场景中不到使用隧道模式:

如上图所示,机会发起方内网PC发往响应方内网PC的流量满足网关的兴趣流匹配条件,发起方使用传输模式进行封装:

  • IPSec会话建立在发起方、响应方有一个 多网关之间。
  • 机会使用传输模式,而是有IP头部不会会有任何变化,IP源地址是192.168.1.2,目的地址是10.1.1.2。
  • 一种数据包发到互联网后,其命运注定是杯具的,为哪此不到讲,就机会其目的地址是10.1.1.2吗?这并都有根源,根源在于互联网不会会维护企业网络的路由,而是有丢弃的机会性很大。
  • 即使数据包不到在互联网中丢弃,但会 幸运地抵达了响应方网关,不到让没没了人指望响应方网关进行解密工作吗?凭哪此,的确没哪此好的凭据,数据包的目的地址是内网PC的10.1.1.2,而是有直接转发了事。
  • 最杯具的是响应方内网PC收到数据包了,机会不到参与IPSec会话的协商会议,不到对应的SA,一种数据包无法解密,而被丢弃。

让没没了人利用一种反证法,巧妙地解释了在Site-to-Site情形下不到使用传输模式的原因分析。但会 提出了使用传输模式的充要条件:兴趣流须要完整篇 在发起方、响应方IP地址范围内的流量。比如在图中,发起方IP地址为6.24.1.2,响应方IP地址为2.17.1.2,不到兴趣流可不会能 是源6.24.1.2/32、目的是2.17.1.2/32,协议可不会能 是任意的,只要数据包的源、目的IP地址稍有不同,对不起,请使用隧道模式。

IPSec协商

IPSec除了其他协议原理外,让没没了人更关注的是协议中涉及到方案制定的内容:

  • 兴趣流:IPSec是须要消耗资源的保护妙招,不会所有流量都须要IPSec进行防止,而须要IPSec进行保护的流量就称为兴趣流,最后协商出来的兴趣流是由发起方和响应方所指定兴趣流的交集,如发起方指定兴趣流为192.168.1.0/24à10.0.0.0/8,而响应方的兴趣流为10.0.0.0/8à192.168.0.0/16,不到其交集是192.168.1.0/24ßà10.0.0.0/8,这而是最都有被IPSec所保护的兴趣流。
  • 发起方:Initiator,IPSec会话协商的触发方,IPSec会话通常是由指定兴趣流触发协商,触发的过程通常是将数据包中的源、目的地址、协议以及源、目的端口号与提前指定的IPSec兴趣流匹配模板如ACL进行匹配,机会匹配成功则属于指定兴趣流。指定兴趣流而是用于触发协商,至于是是不是会被IPSec保护要看是是不是匹配协商兴趣流,但会 在通常实施方案过程中,通常会设计成发起方指定兴趣流属于协商兴趣流。
  • 响应方:Responder,IPSec会话协商的接收方,响应方是被动协商,响应方可不会能 指定兴趣流,也可不会能 不指定(完整篇 由发起方指定)。
  • 发起方和响应方协商的内容主要包括:双方身份的确认和密钥种子刷新周期、AH/ESP的组合妙招及本人 使用的算法,还包括兴趣流、封装模式等。
  • SA:发起方、响应方协商的结果而是曝光率很高的SA,SA通常是包括密钥及密钥生存期、算法、封装模式、发起方、响应方地址、兴趣流等内容。

让没没了人以最常见的IPSec隧道模式为例,解释一下IPSec的协商过程:

上图描述了由兴趣流触发的IPSec协商流程,原生IPSec并无身份确认等协商过程,在方案上发生诸多过高 ,如无法支持发起方地址动态变化情形下的身份确认、密钥动态更新等。伴随IPSec总出 的IKE(Internet Key Exchange)协议专门用来弥补哪此过高 :

  • 发起方定义的兴趣流是源192.168.1.0/24目的10.0.0.0/8,而是有在接口发送发起方内网PC发给响应方内网PC的数据包,不能得以匹配。
  • 满足兴趣流条件,在转发接口上检查SA不发生、过期或不可用,都有进行协商,但会 使用当前SA对数据包进行防止。
  • 协商的过程通常分为有一个 多阶段,第一阶段是为第二阶段服务,第二阶段是真正的为兴趣流服务的SA,有一个 多阶段协商的侧重有所不同,第一阶段主要确认双方身份的正确性,第二阶段则是为兴趣流创建有一个 多指定的安全套件,其最显著的结果而是第二阶段中的兴趣流在会话中是密文。

IPSec中安全性还体现在第二阶段SA永远是单向的:

从上图可不会能 发现,在协商第二阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应放上去发起方SA是单独协商的,原来做的好发生于即使某个方向的SA被破解不会会波及到原来方向的SA。一种设计例如于双向车道设计。

IPSec确实而是有一个字母的排列组合,但其所涉及的协议功能众多、方案又极其灵活,本期主要介绍IPSec的基本原理,在后续都有继续介绍IPSec的其它方面知识。

【编辑推荐】

【责任编辑:

赵宁宁

TEL:(010)684762006】



点赞 0