IPSec-VPN中隧道模式和传输模式区别

IPSecVPN基本原理IPSecVPN就是目前VPN技术中点击率非常高得一种技术,同时提供VPN与信息加密两项技术,这一期专栏就来介绍一下IPSecVPN得原理。IPSecVPN应用场景IPSecVPN得应用场景分为3种:1、   SitetoSite(站点到站点或者网关到网关):如弯曲评论得3个机构分布在互联网得3个不同得地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间得数据通过这些网关建立得IPSec隧道实现安全互联。2、   EndtoEnd(端到端或者PC到PC):两个PC之间得通信由两个PC之间得IPSec会话保护,而不就是网关。3、   EndtoSite(端到站点或者PC到网关):两个PC之间得通信由网关与异地PC之间得IPSec进行保护。VPN只就是IPSec得一种应用方式,IPSec其实就是IPSecurity得简称,它得目得就是为IP提供高安全性特性,VPN则就是在实现这种安全特性得方式下产生得解决方案。IPSec就是一个框架性架构,具体由两类协议组成:1、   AH协议(AuthenticationHeader,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash 函数 excel方差函数excelsd函数已知函数     2 f x m x mx m      2 1 4 2拉格朗日函数pdf函数公式下载 )MD5与SHA1实现该特性。2、   ESP协议(EncapsulatedSecurityPayload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。为何AH使用较少呢？因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端得情况下可以同时使用AH与ESP实现最完整得安全特性,但就是此种方案极其少见。IPSec封装模式介绍完IPSecVPN得场景与IPSec协议组成,再来瞧一下IPSec提供得两种封装模式(传输Transport模式与隧道Tunnel模式)上图就是传输模式得封装结构,再来对比一下隧道模式:可以发现传输模式与隧道模式得区别:1、   传输模式在AH、ESP处理前后IP头部保持不变,主要用于EndtoEnd得应用场景。2、   隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于SitetoSite得应用场景。从上图我们还可以验证上一节所介绍AH与ESP得差别。下图就是对传输模式、隧道模式适用于何种场景得说明。从这张图得对比可以瞧出:1、   隧道模式可以适用于任何场景2、   传输模式只能适合PC到PC得场景隧道模式虽然可以适用于任何场景,但就是隧道模式需要多一层IP头(通常为20字节长度)开销,所以在PC到PC得场景,建议还就是使用传输模式。为了使大家有个更直观得了解,我们瞧瞧下图,分析一下为何在SitetoSite场景中只能使用隧道模式:如上图所示,如果发起方内网PC发往响应方内网PC得流量满足网关得兴趣流匹配条件,发起方使用传输模式进行封装:1、   IPSec会话建立在发起方、响应方两个网关之间。2、   由于使用传输模式,所以IP头部并不会有任何变化,IP源地址就是192、168、1、2,目得地址就是10、1、1、2。3、   这个数据包发到互联网后,其命运注定就是杯具得,为什么这么讲,就因为其目得地址就是10、1、1、2吗？这并不就是根源,根源在于互联网并不会维护企业网络得路由,所以丢弃得可能性很大。4、   即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们指望响应方网关进行解密工作吗？凭什么,得确没什么好得凭据,数据包得目得地址就是内网PC得10、1、1、2,所以直接转发了事。5、   最杯具得就是响应方内网PC收到数据包了,因为没有参与IPSec会话得协商会议,没有对应得SA,这个数据包无法解密,而被丢弃。我们利用这个反证法,巧妙地解释了在SitetoSite情况下不能使用传输模式得原因。并且提出了使用传输模式得充要条件:兴趣流必须完全在发起方、响应方IP地址范围内得流量。比如在图中,发起方IP地址为6、24、1、2,响应方IP地址为2、17、1、2,那么兴趣流可以就是源6、24、1、2/32、目得就是2、17、1、2/32,协议可以就是任意得,倘若数据包得源、目得IP地址稍有不同,对不起,请使用隧道模式。IPSec协商IPSec除了一些协议原理外,我们更关注得就是协议中涉及到方案制定得内容:1、   兴趣流:IPSec就是需要消耗资源得保护措施,并非所有流量都需要IPSec进行处理,而需要IPSec进行保护得流量就称为兴趣流,最后协商出来得兴趣流就是由发起方与响应方所指定兴趣流得交集,如发起方指定兴趣流为192、168、1、0/24à10、0、0、0/8,而响应方得兴趣流为10、0、0、0/8à192、168、0、0/16,那么其交集就是192、168、1、0/24ßà10、0、0、0/8,这就就是最后会被IPSec所保护得兴趣流。2、   发起方:Initiator,IPSec会话协商得触发方,IPSec会话通常就是由指定兴趣流触发协商,触发得过程通常就是将数据包中得源、目得地址、协议以及源、目得端口号与提前指定得IPSec兴趣流匹配模板如ACL进行匹配,如果匹配成功则属于指定兴趣流。指定兴趣流只就是用于触发协商,至于就是否会被IPSec保护要瞧就是否匹配协商兴趣流,但就是在通常实施方案过程中,通常会设计成发起方指定兴趣流属于协商兴趣流。3、   响应方:Responder,IPSec会话协商得接收方,响应方就是被动协商,响应方可以指定兴趣流,也可以不指定(完全由发起方指定)。4、   发起方与响应方协商得内容主要包括:双方身份得确认与密钥种子刷新周期、AH/ESP得组合方式及各自使用得算法,还包括兴趣流、封装模式等。5、   SA:发起方、响应方协商得结果就就是曝光率很高得SA,SA通常就是包括密钥及密钥生存期、算法、封装模式、发起方、响应方地址、兴趣流等内容。我们以最常见得IPSec隧道模式为例,解释一下IPSec得协商过程:上图描述了由兴趣流触发得IPSec协商流程,原生IPSec并无身份确认等协商过程,在方案上存在诸多缺陷,如无法支持发起方地址动态变化情况下得身份确认、密钥动态更新等。伴随IPSec出现得IKE(InternetKeyExchange)协议专门用来弥补这些不足:1、   发起方定义得兴趣流就是源192、168、1、0/24目得10、0、0、0/8,所以在接口发送发起方内网PC发给响应方内网PC得数据包,能够得以匹配。2、   满足兴趣流条件,在转发接口上检查SA不存在、过期或不可用,都会进行协商,否则使用当前SA对数据包进行处理。3、   协商得过程通常分为两个阶段,第一阶段就是为第二阶段服务,第二阶段就是真正得为兴趣流服务得SA,两个阶段协商得侧重有所不同,第一阶段主要确认双方身份得正确性,第二阶段则就是为兴趣流创建一个指定得安全套件,其最显著得结果就就是第二阶段中得兴趣流在会话中就是密文。IPSec中安全性还体现在第二阶段SA永远就是单向得:从上图可以发现,在协商第二阶段SA时,SA就是分方向性得,发起方到响应方所用SA与响应放到发起方SA就是单独协商得,这样做得好处在于即使某个方向得SA被破解并不会波及到另一个方向得SA。这种设计类似于双向车道设计。IPSec虽然只就是5个字母得排列组合,但其所涉及得协议功能众多、方案又极其灵活,本期主要介绍IPSec得基本原理,在后续专栏还会继续介绍IPSec得其它方面知识。。