通俗易懂 IPSec

本文轉自https://wenku.baidu.com/view/8626c9146edb6f1aff001f1e.html#

 

通俗講解什么是ipsecvpn  

IPSEC是一套比較完整成體系的VPN技術，它規定了一系列的協議標准。如果不深入探究IPSEC的過於詳細的內容，我們對於IPSEC大致按照以下幾個方面理解。

　　1. 為什么要導入IPSEC協議  

　　　導入IPSEC協議，原因有2個，一個是原來的TCP/IP體系中間，沒有包括基於安全的設計，任何人，只要能夠搭入線路，即可分析所有的通訊數據。IPSEC引進了完整的安全機制，包括加密、認證和數據防篡改功能。  另外一個原因，是因為Internet迅速發展，接入越來越方便，很多客戶希望能夠利用這種上網的帶寬，實現異地網絡的的互連通。  IPSEC協議通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網絡的IP地址，實現異地網絡的互通。  

　　2. 包封裝協議 

　　　設想現實一種通訊方式。假定發信和收信需要有身份證（成年人才有），兒童沒有身份證，不能發信收信。有2個兒童，小張和小李，他們的老爸是老張和老李。現在小張和小李要寫信互通，怎么辦？  一種合理的實現方式是：小張寫好一封信，封皮寫上 "小張-->小李", 然后給他爸爸，老張寫一個信封，寫上“老張-->老李”，把前面的那封信套在里面，發給老李，老李收到信以后，打開，發現這封信是給兒子的，就轉給小李了。小李回信也一樣，通過他父親的名義發回給小張。  

　　這種通訊實現方式要依賴以下幾個因素：  

　　* 老李和老張可以收信發信  

　　* 小張發信，把信件交給老張。  

　　* 老張收到兒子的來信以后，能夠正確的處理（寫好另外一個信封），並且重新包裝過的信封能夠正確送出去。  

　　* 另外一端，老李收到信拆開以后，能夠正確地交割小李。 

 　  * 反過來的流程一樣。  

　　把信封的收發人改成Internet上的IP地址，把信件的內容改成IP的數據，這個模型就是IPsec的包封裝模型。小張小李就是內部私網的IP主機，他們的老爸就是VPN網關，本來不能通訊的兩個異地的局域網，通過出口處的IP地址封裝，就可以實現局域網對局域網的通訊。  引進這種包封裝協議，實在是有點不得已。理想的組網方式，當然是全路由方式。任意節點之間可達（就像理想的現實通訊方式是任何人之間都可以直接寫信互通一樣）。  Internet協議最初設計的時候，IP地址是32位，當時是很足夠了，沒有人能夠預料到將來Internet能夠發展到現在的規模（相同的例子發生在電信短消息上面，由於160字節的限制，很大地制約了短消息的發展）。按照2的32次方計算，理論上最多能夠容納40億個左右IP地址。這些IP地址的利用是很不充分的，另外大約有70％左右的IP地址被美國分配掉了（誰讓人家發明並且管理Internet呢？）所以對於中國來說，可供分配的IP地址資源非常有限。  既然IP地址有限，又要實現異地lan-lan通訊，包封包，自然是最好的方式了。 

　　 3.安全協議（加密）

　　   依然參照上述的通訊模型。  假定老張給老李的信件要通過郵政系統傳遞，而中間途徑有很多好事之徒，很想偷看小張和小李（小張小李作生意，通的是買賣信息）通訊，或者破壞其好事。  解決這個問題，就要引進安全措施。安全可以讓小李和小張自己來完成，文字用暗號來表示，也可以讓他們的老爸代勞完成，寫好信，交給老爸，告訴他傳出去之前重新用暗號寫一下。  IPSEC協議的加密技術和這個方式是一樣的，既然能夠把數據封裝，自然也可以把數據變換，只要到達目的地的時候，能夠把數據恢復成原來的樣子就可以了。這個加密工作在Internet出口的VPN網關上完成。  

　　4.安全協議（數據認證） 

　　  還是以上述通訊模型為例，僅僅有加密是不夠的。  把數據加密，對應這個模型中間，是把信件的文字用暗號表示。  好事之徒無法破解信件，但是可以偽造一封信，或者胡亂把信件改一通。這樣，信件到達目的地以后，內容就面目全非了，而且收信一方不知道這封信是被修改過的。  為了防止這種結果，就要引入數據防篡改機制。萬一數據被非法修改，能夠很快識別出來。這在現實通訊中間可以采用類似這樣的算法，計算信件特征（比如統計這封信件的筆划、有多少字），然后把這些特征用暗號標識在信件后面。收信人會檢驗這個信件特征，由於信件改變，特征也會變。所以，如果修改人沒有暗號，改了以后，數據特征值就不匹配了。收信人可以看出來。  實際的IPSEC通訊的數據認證也是這樣的，使用md5算法計算包文特征，報文還原以后，就會檢查這個特征碼，看看是否匹配。證明數據傳輸過程是否被篡改。 

　　5.安全協議（身份認證） 

 　　 還是假定小張小李通訊模型。  由於老張和老李不在一個地方，他們互相不能見面，為了保證他們兒子通訊的安全。老張和老李必須要相互確認對方是否可信。這就是身份認證問題。  假定老李老張以前見過面，他們事先就約定了通訊暗號，比如1234567890對應abcdefghij， 那么寫個255，對應就是一個bee。  常見的VPN身份認證可以包括預共享密鑰，通訊雙方實現約定加密解密的密碼，直接通訊就可以了。能夠通訊就是朋友，不能通訊就是壞人，區分很簡單。其他復雜的身份認證機制包括證書（電子證書比如x509之類的） 如果有身份認證機制.