IPSec-VPN中隧道模式和传输模式区别.docx

IPSecVPN根本原理IPSeCVPM是目前VPN技术中点击率特别高的种技术，同时供应VPN和信息加密两项技木，这一期专栏就来介绍一下IPSIXVPN的原理.IPSeCVPN应用场戏IPSecVPN应用需求IPSecVPN的应用场景分为3种；1. Site-Io-Sile（站点到站点或者网关到网关）：如对曲评论的3个机构分布在互联网的3个不同的地方，各运用一个商务领航网关相互建立VPN隧道，企业内网（假设干PC）之间的数据通过这些网关建立的IPSecl道实现平安互联.2. EndgEnd（端到端或者PC到PC）：两个PC之间的通信由两个PC之间的IPSeC会话护，而不是网关。3. End-S-Sitc（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSCC进展爱护.VPN只是IPSeC的种应用方式，IPSec其实是IPSecurity的简称，它的目的是为IP供应海平安性特性，VPN刖么是在实现这种平安特性的方式下产生的解决方案。IPSc是个框架性架构，详细由两类协议如成：1. AH协议（AuthenticationHeader,运用较少）：可以同时供应数据完整性确认、数据来源确认、防田放等平安特性；AH常用箱要算法（单向HaSh函数）MD5和SHAl实现该特性。2. ESP协议（EncapsulatedSecurityPayload.运用较广）：可以同时供应数据完整性确认、致他;加密、防重放等平安特性：ESP通常运用DES、3DES、AES等加密算法实现数据加密，运用MD5或SHAl来实现数据完整性。为何AH运用较少呢？因为AH无法供应数据加率，全部数据在传输时以明文传猿，而ESP供应数据加密：其次AH因为供应数据来源确认（源IP地址TJ.变更AH校验失败）,所以无法穿越NAT.当然IPScc在极端的状况下可以同时运用AH和ESP实现最完整的平安特性，但是此种方案极其少见。IPSCC封装模式介绍完IPSecVPN的场景和IPs<x协议组成,再来存一下IPScc供应的两种封装模式（传谕Transport模式利隧道Tunncl模式）IPSec的两种应用方式一传输模式IP头.»目的碰IIPJHiIAuthenticationH*drTCPUDPCMP一懦2头部IP头源.目的地址AH认证头TCP/UDP/1CMP上图是传输模式的封装构造，再来比照下隧道模式:外网IP头内网IP头'ITPR®源、目的地».目的碱TCPUDPICMP，AuthenticationHeader'证头部一EncapsulatedSecurityPayload安金封ltt荷内网IP头I-IP数熨源.1山地址ITCP/UDP/ICMP_DES/3DES/AES加更可以发觉传情模式和隧道模式的区分：1. 传输模式在AH.ESP处埋前后IP头部保持不变,主要用于End-to-End的应用场景.2. 隧道馍式那么在AH、ESP处理之后再封装了一个外网IP头，主要用于SiieSie的应用场景。从卜.图我们还可以验证上一节所介纲AH和ESP的差异.下列图是对传输模式、隧道模式适用于何种场景的说明.从这张图的比照可以看出：1, 隧道模式可以适用于任何场景2, 传输模式只能适合Pe到PC的场景隧道模式虽然可以适用于任何场景，但是l道模式须要多一层IP头（通常为20字节长度）开销,所以在PC到PC的场景.建议还是运用传耕模式.为了使大家有个更直观的了解,我们看看下列图，分析一下为何在SiatISitC场景中只能运用隧道模式：192.168.1.210.1.1.2IPSeC会话源192.168.1.2目的10.1.1.2KK兴趣流对兴趣流进行加密使用耍道模式,问Ii迎刃而解；可以使用信模式的充费条件：兴Sa（浅检方.IPittt）如兴流为M>iK:IP/GRE/TCP/UDP普：6.24.1.2/32目的：2.17.1.2/323192.168.1.2目的10.1.1.2源、目的他址都是私有地址,因为祐网路由问题.该数据包在互联网中坡丢弃3192.168.1.2目的10.1.1.2教设数里包成功穿越了互联网,因为目的地址是不是响应方网关2.17.12,所以峋应方并不进行解密,而是直接耨发给内网PC二一#响应方内网pc因为笈、有进行IPSeCM>商,所以密文数据无去解变而破PC丢弃如卜.图所示,假如发起方内网PC发往响应方内网PC的流贵满意网关的爱好方匹配条件.发起方运用传给模式诳展封装：1. IPSeC会话建立在发起方、响应方两个网关之间。2. 由于运用传输模式，所以IP头部并不会有任何变更，IP说比川.是，目的地址是。3. 这个数据包发到互联网后,其命运注定是杯具的为什么这么讲,就因为其目的地址是吗？这并不是根源.根源在于互联网并不会维护企业网络的路由，所以丢弃的可能性很大。4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关，那么我们希望响应方网关进展耨密工作吗？凭什么的确没什么好的凭据.数据包的目的地址是内刈PCffJ.所以干脆转发了事.5. 以杯具的是响应方内网PC收到数据包了，因为没有参加IPSeC会话的协商会议，没有对应的SA,这个数据包无法解玄，而被丢弃.我们利用这个反证法，奇妙地说明了在Sitc-to-Sitc状况下不能运用传输模式的缘由,并且提出了运用传给模式的充要条件：爱好流必需完全在发起方、响应方IP地址范用内的流A1.比方在图中，发起方IP地址为，响应方IP胞址为，JE么爱好流可以是源、目的是，防议可以是随意的，储假设数据包的源、目的IP地及梢有不同，对不起，谛运用隧道模式。IPSec协商发起方响应方确定IPSec会话所使用 身份认方式无铜t办商方式及刷新周期IPSec保沪的澹量称为出陲 AH-ESP组合方式 AH/ESP使用期去兴#流 1专输模式/隧道横式 (TpSeC会话-什AIPSec会话响应端点称为由方发起方、响应放所Wb商出所使用密制.M法、兴IS流等内容称为发起方安全联盥IPseC会i发¾点称为点起方(SecurityAssociationSA)IPSee除一些怫议原理外,我们更关注的是协议中涉及到方案制定的内容：1. 爱好液：1PSCC是须要消髭资液的爱护措施,并非全部流量都须要IPSeC诳展处理.而须要IPSeC进展爱护的流网就称为爱好洗，嫉终协商出来的爱好流是由发起方和响应方所指定爱好流的交集，如发起方指定鬟好流为，而响应方的爱好流为，那么其交集是，这就是最终会被IPSec所爱护的爱好流.2. 发起方：IniliagrIPSec会话协商的触发方，IPScC会话通常是由指定爱好流触发协商，触发的过程通常是将数据包中的海、目的地址、协议以及源、目的雉口号与提前指定的IPSe爱好流应配模板如AC1.进展K配，假如兀配胜利那么属于指定疫好流。指定好波只是用于触发协商,至于是否会被IPSCC爱护要后是否匹配协商爱好流,但是在通常实施方案过程中，通常会设计成发起方指定爱好流属于协商爱好流.3. 响应方：ReSPonder,IPSee会话协商的接收方，响应方是被动协商，响应方可以指定爱好流，也可以不指定(完全由发起方指定)。4. 发起力和仙：，、“方协商的内容主要包括：双方身份的确认和密钥柠力刷新周期、AHJESP的祖合方式及各自运用的豫法，还包括爱好流、封奘模式等.5. SA；发起方、响应方协商的结果就是嵯光率很高的SA,SA通肺是包括密钥及玄钥生存期、尊法、封装模式、发起方、响应方地址、爱好流等内容。我们以最常见的IPSCC隧道模式为例，说明一下IPSa的协商过程：IPSec隧道横式交互过程:发起方响Internet企业内业内晌由方2.17.1.2内网PC10.1.1.2内网PC192.168.1.2*192.168.1.2且的10.1.1.26.24.1.2匹配兴趣流源192.168.1.0/24目的10.0.0.0/8如果该兴趣海对应SA已依存在剜无需协商，SA协商条件：SA不存在SA过期SA不可用人为原因协育IKE协商一舱段SA二二二IKE一新段安全金诱/0道簪方、响应方身份要认IKE协商二鼾段SA-A兴趣流明文-AIKE协商掖文-A兴趣流田文对兴趣澎迸行加密X7fIKE二舱段安全会话N即玲3<:会话/展解密对解密后流量进行兴趣流怆杳源192.168.1.2,amq.1.2_A上图描述了由爱好流触发的IPSCC协商流程，原生IPSeC并无身份确认等协商过程，在方案上存在诸多缺陷，如无法支持发起方胞址动态变更状况下的身份确认、密钥动态更新等，伟随IPSa出现的IKE(InternetKeyEXChange)协议特地用来弥补这的缺乏：1. 发起方定义的爱好流是源目的,所以在接口发送发起方内网PC发给响应方内网PC的数据包，能够得以匹配.2. 满意爱好流条件，在转发接口上检杳SA不存在、过期或不行用，都会进展协fii,否那么运用当前SA对数据包进展处理，3. 物商的过程通常分为两个阶段.第一阶段是为其次阶段效劳,其次阶段是真正的为爱好流效劳的SA,两个阶段协商的侧重有所不同，第一阶段主要确认双方身份的正确性，其次阶段那么是为爱好流创立一个指定的平安套件,其域显著的结果就是其次阶段中的爱好流在会话中是密文.IPSec中平安性还表达在其次阶段SA恒久是单向的：内网PC192.168.1.2源192.168.1.2目的10.1.1.26.24.1.2Internet发Ii方、，WIS方2.17.1.2使用单向隧道设计实现更好的安全性对兴趣诞进行加宓IPSec&iSIO发起方->啕成方IKEWftZWRSA-发追万->响应足-二AU二一方内网PC10.1.1.2解空兴埋灌检查源192,168.1.2目的10.1.1.2IKE协育二航段SAy呼发电瓦_兴流格查*10.1.1.2gj192J68.1_IPSec会话/Bifl发起方一响£5方S10.1.1.2192.168J.2._对兴趣流进行加密从I.图可以发觉,在协商其次阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应放到发起方SA是单独协商的,这样做的好处在于即使某个方向的SA彼破解并不会涉及到另一个方向的SA,这种设计类似于双向车道设计，IPSec虽然只是5个字母的排列玳合，但其所涉及的协议功能众多、方案又极其献捷，本期主要介绍IPScc的根本原理在后续专栏还会接著介绍IPScc的其它方面学问.