一、IPSec VPN概述
RFC 2401描述了IPSec(IP Security)的體系結構
IPSec是一種網絡層安全保障機制
IPSec可以實現訪問控制、機密性、完整性校驗、數據源驗證、拒絕重播報文等安全功能
IPSec可以引入多種驗證算法、加密算法和密鑰管理機制
IPSecVPN是利用IPSec隧道實現的L3 VPN
IPSec也具有配置復雜、消耗運算資源較多、增加延遲、不支持組播等缺點
二、IPSec體系結構
- 安全協議
- 負責保護數據
- AH/ESP
- 工作模式
- 傳輸模式:實現端到端保護
- 隧道模式:實現站點到站點保護
- 密鑰管理
- 手工配置密鑰
- 通過IKE協商密鑰
IPSec傳輸模式
IPSec隧道模式
IPSec SA
- SA(Security Association,安全聯盟)
- 由一個(SPI,IP目的地址,安全協議標識符)三元組唯一標識
- 決定了對報文進行何種處理
- 協議、算法、密鑰
- 每個IPSecSA都是單向的
- 手工建立/IKE協商生成
- SPD(Security Policy Database)安全策略數據庫
- SAD(Security Association Database)安全聯盟數據庫
IPSec出站處理流程
IPSec入站包處理流程
三、AH
AH介紹
- AH(Authentication Header驗證頭)IPSec兩種安全協議之一,可以工作於傳輸模式和隧道模式
- 提供數據的完整性校驗和源驗證
- 不能提供數據加密功能
- 可提供有限的抗重播能力
傳輸模式AH封裝
隧道模式AH封裝
四、ESP
ESP介紹
- ESP(Encapsulating Security Payload封裝安全載荷)
- RFC 2406
- 可提供數據的機密性保證
- 可提供數據的完整性校驗和源驗證
- 可提供一定的抗重播能力
ESP頭和尾格式
傳輸模式ESP封裝
隧道模式ESP封裝
五、IKE
IKE(因特網秘鑰交換)介紹
- 無論是AH還是ESP,其對一個IP包執行操作之前,首先要建立一個IPSecSA。IPSecSA可以手工建立,也可以動態協商。IKE就是用於這種動態協商的的協議。
- 使用Diffie-Hellman交換,在不安全的網絡上安全地分發密鑰,驗證身份
- 定時更新SA和密鑰,實現完善的前向安全性
- 允許IPSec提供抗重播服務
- 降低手工布署的復雜度
- UDP端口500
IKE與IPSec的關系
- IKE為IPSec提供自動協商交換密鑰、建立SA的服務
- IPSec安全協議負責提供實際的安全服務
IKE協商的兩個階段
階段1
- 在網絡上建立一個IKE SA,為階段2協商提供保護
- 主模式(Main Mode)和野蠻模式(Aggressive Mode)
階段2 - 在階段1建立的IKE SA的保護下完成IPSec SA的協商
- 快速模式(Quick Mode)
IKE主模式
IKE野蠻模式
IPSec配置
- 配置安全ACL
- 配置IPsec安全提議(指定安全協議、加密算法、認證算法、封裝模式等)
- 配置IKE(因特網秘鑰交換)預共享密碼
- 配置IKE協商文件
- 配置IPsec安全策略(將ACL、安全提議進行關聯,並指定IPsec SA(安全聯盟)的生成方式
(ike協商方式)、對等體(對端)ip地址、ike協商文件等) - 配置對端內網的靜態路由
- IPsec安全策略應用於接口
