1. 速盾网络Home
  2. 行业资讯

IPSec VPN技术原理:你一定要知道的几个真相

小条 行业资讯

晚上好,我的网工朋友。今天点开的人都是学习的真爱粉哈哈哈,玩得开心了,晚上回来抽空学习学习,稳赚不赔啊。在网工这行久了,应该都听过 IPSec 吧,算是比较复杂

晚上好,我的网络工作者朋友们。

今天点击的每个人都是真正的学习迷。晚上回来,慢慢学习。你不会亏钱的。

如果您从事网络工程工作很长时间,您可能听说过IPSec 是最复杂的协议之一。

您可能知道IPSec可以满足某些要求并保护数据安全,但您不知道IPSec到底是如何工作的。

今天我们将从概念到封装模式再到实验案例进行系统回顾,一起学习吧。

今日文章查看权限:《IPSec:新一代因特网安全标准.pdf》

57542616b1314d4594073323070327f7~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=NtZ7zq%2BhbEa5gtHNmOH1ZrLPHxY%3D

一本与IPSec相关的伟大经典书籍。我找到了一本完整的PDF 书,可以传输和保存。要在有限的时间内接收此资源,请记下私人消息和“IPSec”。

01 IPSec概念

IPSec(互联网协议安全)是IETF 定义的一组协议。

通信双方通过IP层的加密、完整性验证、数据源认证等方法,保证网络上发送的IP数据报文的机密性、完整性和不可重放性。

保密性:数据经过加密以保护数据并以密文形式传输。 数据完整性:指验证接收到的数据以确定消息是否被篡改。 防止恶意用户重复发送捕获的数据包。接收方拒绝旧的或重复的数据包的攻击。应用场景:企业分支机构通过IPSec隧道86bd7a1d6c924ae3aff9e6e3b4bb68c9~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=n0e687xdui0q2w%2BlexZw9h0y%2Bas%3D访问企业总部。

02 IPSec VPN应用场景及协议

01 IPSec VPN应用场景分为三类

459dd6d49c8f46718665855b239a7dd3~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=eftxe7Jz14nwj6v5MyfUQ1eseLw%3D

1. 站点到站点(站点到站点或网关到网关):

例如,Bend研究的三个组织位于互联网上的三个不同位置,每个组织都使用业务导航网关相互建立VPN隧道,企业内网(多台PC)之间的数据通过IPSec路由安全互连。由这些网关建立的隧道。

2. 端到端(end-to-end或PC-to-PC):

两台PC 之间的通信由两台PC 之间的IPSec 会话(而不是网关)保护。

3. 端到站点(端到站点或PC到网关):

两台PC 之间的通信受网关和远程PC 之间的IPSec 保护。

02 IPSec协议

VPN是IPSec(IP Security的缩写)的一种应用,VPN的目的就是为了实现这种安全功能。

IPSec是一个框架架构,由以下协议组成:

d1b4b3f4b3724e6897b58486671ec3d8~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=9UuGVGTjGU5iOE6WoLwnzsWLQG8%3D

IPSec VPN架构主要由以下协议组组成:

AH(身份验证标头)

ESP(安全有效负载封装)

IKE(互联网密钥交换)

AH协议(不太常用):提供数据源验证、数据完整性验证、消息重放预防等功能。 ESP 协议(广泛使用):提供AH 协议的所有功能(ESP 的数据完整性检查不包括IP 标头),以及加密IP 消息的能力。自动协商IKE 协议中使用的密码。 AH 和ESP 算法为什么AH 不常用?

AH 无法提供数据加密,因此所有数据在传输过程中均以明文形式发送,而ESP 提供数据加密。

其次,由于AH提供了数据源的验证(如果源IP地址发生变化,AH验证失败),因此无法穿越NAT。

当然,IPSec在极端情况下可以同时使用AH和ESP来实现最完整的安全功能,但这种方案极为罕见。

03 安全联盟SA

SA(安全关联) 安全关联定义了IPSec 通信对等体之间使用的数据封装模式、认证和加密算法、密钥以及其他参数。

介绍了建立SA的两种方法:手工协商和IKE动态协商。

1.手动方法

安全关联所需的所有信息都必须手动配置。优点:不依赖IKE,自行实现IPSec功能。

对于小型静态环境,可以手动配置SA。

2.IKE动态协商方法

IKE 协商参数在通信对等体之间配置,SA 通过IKE 自动协商创建和维护。

在大中型动态网络环境中,建议使用IKE协商建立SA。

04 IPSec协议的封装模式

介绍完IPSec VPN场景和IPSec协议配置后,我们再来看看IPSec提供的两种封装模式:传输模式和隧道模式。

01 IPsec传输模式

在IP包头和上层协议之间插入AH或ESP头。

传输模式AH或ESP主要为上层协议数据提供保护。

1、AH处于传输模式:

在IP头后面插入AH头,对整个IP数据包进行完整性检查。

842d1e37b14240acb17fdd98da56e05d~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=t6BuHOFbowfqNZNfbzxZm7y9r1o%3D

2. ESP处于传输模式:

ESP 标头插入在IP 标头之后,尾部和验证字段插入在数据字段之后。

加密高级数据和ESP 尾部,并对IP 数据包中的ESP 标头、高级数据和ESP 尾部执行完整性检查。

49fce5ff024b47109cde033810ede491~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=qeUUlJaZnZTOSHkSDgCawBOUNKo%3D

3. AH+ESP 处于发送模式:

在IP 标头之后插入AH 和ESP 标头,在数据字段之后插入尾部和认证字段。

f7c6e9a32ef844a7b2355f96ed4c51d4~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=9S9UDniWEP1y3enkyZT37JiXWqE%3D

02 IPSec隧道模式

AH或ESP报头被封装在原始IP数据包报头之前,并且生成新的IP报头并封装在AH或ESP报头之前。

隧道模式完全验证和加密原始IP 数据报,并可以使用IPSec 对等方的IP 地址隐藏客户端的IP 地址。

1. 隧道模式下的AH:

提供对整个原始IP报文的完整性检查和认证,认证能力优于ESP

2b4a84369684478ca3ad9e8e544084f9~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=aY1g0VpicPFIfBGZNMGNzALrpsU%3D

2. 隧道模式下的ESP:

加密整个原始IP 消息和ESP 尾部,并对ESP 标头、原始IP 消息和ESP 尾部执行完整性检查。

00e7dc9a415e4993b1ae2fcff1d21965~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=IQHKMvUQhxwF8oki8IvI9RCmOtE%3D

3. 隧道模式下的AH+ESP:

它对整个原始IP消息和ESP尾部进行加密,AH和ESP对不同部分进行完整性检查。

b69d40eb4a8a4dee9cc9a3d9e4e80ca4~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=JxJAPdJxZHrp0CtKVI1t3imzVQc%3D

05 IPSec VPN配置步骤及实验

01 IPSec VPN配置步骤

(1)配置网络可达性

(2) 设置ACL相关的流程

(3) 担保提案的创建

(4) 安全策略的制定

(五)安全策略的应用

02 IPSec VPN实验示例

560fdb77618f43f5bcc097a18b33f207~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769550&x-signature=V7wSOognK4omfgciM%2Bopx8qKDIM%3D

(1)配置网络可达性

[AR1]int g0/0/1[AR1-GigabitEthernet0/0/1]ip add 10.1.1.254 24[AR1]int g0/0/0[AR1-GigabitEthernet0/0/0]ip add 12.1.1.1 24[AR2 ] ]int g0/0/0[AR2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[AR2]int g0/0/1[AR2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[AR3] int g0/0/0[AR3-GigabitEthernet0/0/0]ip add 23.1.1.3 24[AR3]int g0/0/1[AR3-GigabitEthernet0/0/1]ip add 10.2.1.254 24[AR1]ospf 1 [ AR1-ospf-1] 区域0[AR1-ospf-1-area-0.0.0.0] 网络12.1.1.1 0.0.0.0[AR2]ospf 1[AR2-ospf-1] 区域0[AR2-ospf-1- [AR2-ospf-1-area-0.0.0.0]网络23.1.1.2 0.0.0.0[AR2-ospf-1-area-0.0.0.0]网络12.1.1.2 0.0.0.0[AR3]ospf 1[AR3-ospf-1]区域0[AR3 -ospf]-1-area-0.0.0.0]网络23.1.1.3 0.0.0.0[AR3]ip路由静态10.1.1.0 255.255.255.0 12.1.1.1

(2) 设置ACL相关的流程

[AR1]ACL 编号3000[AR1-acl-adv-3000]规则5 允许IP 源10.1.1.0 0.0.0.255 目标10.2.1.0 0.0.0.255[AR3]ACL 编号3000[AR3-acl-adv-3000]规则5 允许IP 源10.2.1.0 0.0.0.255 目标10.1.1.0 0.0.0.255

(3) 担保提案的创建

[AR1]ipsec 提案1[AR3]ipsec 提案1

(4) 安全策略的制定

[AR1] ipsec 策略shida 1 手册[AR1-ipsec-policy-manual-shida-1] 安全ACL 3000 [AR1-ipsec-policy-manual-shida-1] 提案1 [AR1-ipsec-policy-manual-shida- 1]隧道本地12.1.1.1[AR1-ipsec-policy-manual-shida-1]隧道远程23.1.1.3[AR1-ipsec-policy-manual-shida-1]sa spi 接收esp 12345[AR1-ipsec-policy- Manual-shida-1]sa 字符串密钥接收ESP Simple 123[AR1-ipsec-policy-manual-shida-1]SA SP 发送ESP 54321[AR1-ipsec-policy-manual-shida-1]SA 字符串密钥发送esp simple 123[AR3]ipsec 策略shida 1 手册[AR3-ipsec-policy-manual-shida-1]安全acl 3000[AR3-ipsec-policy-manual-shida-1]提案1[AR3-ipsec-policy-manual -shida -1]隧道本地23.1.1.3[AR3-ipsec-policy-manual-shida-1]隧道远程12.1.1.1[AR3-ipsec-policy-manual-shida-1]sa spi 接收esp 54321[AR3-ipsec -policy -manual-shida-1]sa 字符串密钥接收esp 简单123[AR3-ipsec-policy-manual-shida-1]sa spi 发送esp 12345[AR3-ipsec-policy-manual-shida-1]sa 字符列密钥出站esp simple 123 (5) 应用安全策略

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ipsec策略shida

[AR3]int g0/0/0

[AR3-GigabitEthernet0/0/0]ipsec策略shida

主办:老杨丨10年资深网络工程师,更多如何提升网络工程知识,请关注公众号:网络工程师俱乐部。

原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/83285.html

Like (0)
小条的头像小条
0 0
Previous 2024年5月31日 下午10:12
Next 2024年5月31日 下午10:12

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注