IPSec-VPN中隧道模式和传输模式区别.docx

《IPSec-VPN中隧道模式和传输模式区别.docx》由会员分享，可在线阅读，更多相关《IPSec-VPN中隧道模式和传输模式区别.docx（8页珍藏版）》请在第壹文秘上搜索。

1、IPSecVPN根本原理IPSeCVPM是目前VPN技术中点击率特别高的种技术，同时供应VPN和信息加密两项技木，这一期专栏就来介绍一下IPSIXVPN的原理.IPSeCVPN应用场戏IPSecVPN应用需求IPSecVPN的应用场景分为3种；1. Site-Io-Sile（站点到站点或者网关到网关）：如对曲评论的3个机构分布在互联网的3个不同的地方，各运用一个商务领航网关相互建立VPN隧道，企业内网（假设干PC）之间的数据通过这些网关建立的IPSecl道实现平安互联.2. EndgEnd（端到端或者PC到PC）：两个PC之间的通信由两个PC之间的IPSeC会话护，而不是网关。3. End-S

2、-Sitc（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSCC进展爱护.VPN只是IPSeC的种应用方式，IPSec其实是IPSecurity的简称，它的目的是为IP供应海平安性特性，VPN刖么是在实现这种平安特性的方式下产生的解决方案。IPSc是个框架性架构，详细由两类协议如成：1. AH协议（AuthenticationHeader,运用较少）：可以同时供应数据完整性确认、数据来源确认、防田放等平安特性；AH常用箱要算法（单向HaSh函数）MD5和SHAl实现该特性。2. ESP协议（EncapsulatedSecurityPayload.运用较广）：可以同时供应

3、数据完整性确认、致他;加密、防重放等平安特性：ESP通常运用DES、3DES、AES等加密算法实现数据加密，运用MD5或SHAl来实现数据完整性。为何AH运用较少呢？因为AH无法供应数据加率，全部数据在传输时以明文传猿，而ESP供应数据加密：其次AH因为供应数据来源确认（源IP地址TJ.变更AH校验失败）,所以无法穿越NAT.当然IPScc在极端的状况下可以同时运用AH和ESP实现最完整的平安特性，但是此种方案极其少见。IPSCC封装模式介绍完IPSecVPN的场景和IPsiK:IP/GRE/TCP/UDP普：6.24.1.2/32目的：2.17.1.2/323192.168.1.2目的10.

4、1.1.2源、目的他址都是私有地址,因为祐网路由问题.该数据包在互联网中坡丢弃3192.168.1.2目的10.1.1.2教设数里包成功穿越了互联网,因为目的地址是不是响应方网关2.17.12,所以峋应方并不进行解密,而是直接耨发给内网PC二一#响应方内网pc因为笈、有进行IPSeCM商,所以密文数据无去解变而破PC丢弃如卜.图所示,假如发起方内网PC发往响应方内网PC的流贵满意网关的爱好方匹配条件.发起方运用传给模式诳展封装：1. IPSeC会话建立在发起方、响应方两个网关之间。2. 由于运用传输模式，所以IP头部并不会有任何变更，IP说比川.是，目的地址是。3. 这个数据包发到互联网后,其

5、命运注定是杯具的为什么这么讲,就因为其目的地址是吗？这并不是根源.根源在于互联网并不会维护企业网络的路由，所以丢弃的可能性很大。4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关，那么我们希望响应方网关进展耨密工作吗？凭什么的确没什么好的凭据.数据包的目的地址是内刈PCffJ.所以干脆转发了事.5. 以杯具的是响应方内网PC收到数据包了，因为没有参加IPSeC会话的协商会议，没有对应的SA,这个数据包无法解玄，而被丢弃.我们利用这个反证法，奇妙地说明了在Sitc-to-Sitc状况下不能运用传输模式的缘由,并且提出了运用传给模式的充要条件：爱好流必需完全在发起方、响应方IP地址范用

6、内的流A1.比方在图中，发起方IP地址为，响应方IP胞址为，JE么爱好流可以是源、目的是，防议可以是随意的，储假设数据包的源、目的IP地及梢有不同，对不起，谛运用隧道模式。IPSec协商发起方响应方确定IPSec会话所使用 身份认方式无铜t办商方式及刷新周期IPSec保沪的澹量称为出陲 AH-ESP组合方式 AH/ESP使用期去兴#流 1专输模式/隧道横式 (TpSeC会话-什AIPSec会话响应端点称为由方发起方、响应放所Wb商出所使用密制.M法、兴IS流等内容称为发起方安全联盥IPseC会i发点称为点起方(SecurityAssociationSA)IPSee除一些怫议原理外,我们更关注的

7、是协议中涉及到方案制定的内容：1. 爱好液：1PSCC是须要消髭资液的爱护措施,并非全部流量都须要IPSeC诳展处理.而须要IPSeC进展爱护的流网就称为爱好洗，嫉终协商出来的爱好流是由发起方和响应方所指定爱好流的交集，如发起方指定鬟好流为，而响应方的爱好流为，那么其交集是，这就是最终会被IPSec所爱护的爱好流.2. 发起方：IniliagrIPSec会话协商的触发方，IPScC会话通常是由指定爱好流触发协商，触发的过程通常是将数据包中的海、目的地址、协议以及源、目的雉口号与提前指定的IPSe爱好流应配模板如AC1.进展K配，假如兀配胜利那么属于指定疫好流。指定好波只是用于触发协商,至于是否

8、会被IPSCC爱护要后是否匹配协商爱好流,但是在通常实施方案过程中，通常会设计成发起方指定爱好流属于协商爱好流.3. 响应方：ReSPonder,IPSee会话协商的接收方，响应方是被动协商，响应方可以指定爱好流，也可以不指定(完全由发起方指定)。4. 发起力和仙：，、“方协商的内容主要包括：双方身份的确认和密钥柠力刷新周期、AHJESP的祖合方式及各自运用的豫法，还包括爱好流、封奘模式等.5. SA；发起方、响应方协商的结果就是嵯光率很高的SA,SA通肺是包括密钥及玄钥生存期、尊法、封装模式、发起方、响应方地址、爱好流等内容。我们以最常见的IPSCC隧道模式为例，说明一下IPSa的协商过程：

9、IPSec隧道横式交互过程:发起方响Internet企业内业内晌由方2.17.1.2内网PC10.1.1.2内网PC192.168.1.2*192.168.1.2且的10.1.1.26.24.1.2匹配兴趣流源192.168.1.0/24目的10.0.0.0/8如果该兴趣海对应SA已依存在剜无需协商，SA协商条件：SA不存在SA过期SA不可用人为原因协育IKE协商一舱段SA二二二IKE一新段安全金诱/0道簪方、响应方身份要认IKE协商二鼾段SA-A兴趣流明文-AIKE协商掖文-A兴趣流田文对兴趣澎迸行加密X7fIKE二舱段安全会话N即玲3啕成方IKEWftZWRSA-发追万-响应足-二AU二一

10、方内网PC10.1.1.2解空兴埋灌检查源192,168.1.2目的10.1.1.2IKE协育二航段SAy呼发电瓦_兴流格查*10.1.1.2gj192J68.1_IPSec会话/Bifl发起方一响5方S10.1.1.2192.168J.2._对兴趣流进行加密从I.图可以发觉,在协商其次阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应放到发起方SA是单独协商的,这样做的好处在于即使某个方向的SA彼破解并不会涉及到另一个方向的SA,这种设计类似于双向车道设计，IPSec虽然只是5个字母的排列玳合，但其所涉及的协议功能众多、方案又极其献捷，本期主要介绍IPScc的根本原理在后续专栏还会接著介绍IPScc的其它方面学问.