晚上好，我的网络工作者朋友们。

今天点击的每个人都是真正的学习迷。晚上回来，慢慢学习。你不会亏钱的。

如果您从事网络工程工作很长时间，您可能听说过IPSec 是最复杂的协议之一。

您可能知道IPSec可以满足某些要求并保护数据安全，但您不知道IPSec到底是如何工作的。

今天我们将从概念到封装模式再到实验案例进行系统回顾，一起学习吧。

今日文章查看权限：《IPSec：新一代因特网安全标准.pdf》

一本与IPSec相关的伟大经典书籍。我找到了一本完整的PDF 书，可以传输和保存。要在有限的时间内接收此资源，请记下私人消息和“IPSec”。

01 IPSec概念

IPSec（互联网协议安全）是IETF 定义的一组协议。

通信双方通过IP层的加密、完整性验证、数据源认证等方法，保证网络上发送的IP数据报文的机密性、完整性和不可重放性。

保密性：数据经过加密以保护数据并以密文形式传输。 数据完整性：指验证接收到的数据以确定消息是否被篡改。 防止恶意用户重复发送捕获的数据包。接收方拒绝旧的或重复的数据包的攻击。应用场景：企业分支机构通过IPSec隧道访问企业总部。

02 IPSec VPN应用场景及协议

01 IPSec VPN应用场景分为三类

1. 站点到站点（站点到站点或网关到网关）：

例如，Bend研究的三个组织位于互联网上的三个不同位置，每个组织都使用业务导航网关相互建立VPN隧道，企业内网（多台PC）之间的数据通过IPSec路由安全互连。由这些网关建立的隧道。

2. 端到端（end-to-end或PC-to-PC）：

两台PC 之间的通信由两台PC 之间的IPSec 会话（而不是网关）保护。

3. 端到站点（端到站点或PC到网关）：

两台PC 之间的通信受网关和远程PC 之间的IPSec 保护。

02 IPSec协议

VPN是IPSec（IP Security的缩写）的一种应用，VPN的目的就是为了实现这种安全功能。

IPSec是一个框架架构，由以下协议组成：

IPSec VPN架构主要由以下协议组组成：

AH（身份验证标头）

ESP（安全有效负载封装）

IKE（互联网密钥交换）

AH协议（不太常用）：提供数据源验证、数据完整性验证、消息重放预防等功能。 ESP 协议（广泛使用）：提供AH 协议的所有功能（ESP 的数据完整性检查不包括IP 标头），以及加密IP 消息的能力。自动协商IKE 协议中使用的密码。 AH 和ESP 算法为什么AH 不常用？

AH 无法提供数据加密，因此所有数据在传输过程中均以明文形式发送，而ESP 提供数据加密。

其次，由于AH提供了数据源的验证（如果源IP地址发生变化，AH验证失败），因此无法穿越NAT。

当然，IPSec在极端情况下可以同时使用AH和ESP来实现最完整的安全功能，但这种方案极为罕见。

03 安全联盟SA

SA（安全关联） 安全关联定义了IPSec 通信对等体之间使用的数据封装模式、认证和加密算法、密钥以及其他参数。

介绍了建立SA的两种方法：手工协商和IKE动态协商。

1.手动方法

安全关联所需的所有信息都必须手动配置。优点：不依赖IKE，自行实现IPSec功能。

对于小型静态环境，可以手动配置SA。

2.IKE动态协商方法

IKE 协商参数在通信对等体之间配置，SA 通过IKE 自动协商创建和维护。

在大中型动态网络环境中，建议使用IKE协商建立SA。

04 IPSec协议的封装模式

介绍完IPSec VPN场景和IPSec协议配置后，我们再来看看IPSec提供的两种封装模式：传输模式和隧道模式。

01 IPsec传输模式

在IP包头和上层协议之间插入AH或ESP头。

传输模式AH或ESP主要为上层协议数据提供保护。

1、AH处于传输模式：

在IP头后面插入AH头，对整个IP数据包进行完整性检查。

2. ESP处于传输模式：

ESP 标头插入在IP 标头之后，尾部和验证字段插入在数据字段之后。

加密高级数据和ESP 尾部，并对IP 数据包中的ESP 标头、高级数据和ESP 尾部执行完整性检查。

3. AH+ESP 处于发送模式：

在IP 标头之后插入AH 和ESP 标头，在数据字段之后插入尾部和认证字段。

02 IPSec隧道模式

AH或ESP报头被封装在原始IP数据包报头之前，并且生成新的IP报头并封装在AH或ESP报头之前。

隧道模式完全验证和加密原始IP 数据报，并可以使用IPSec 对等方的IP 地址隐藏客户端的IP 地址。

1. 隧道模式下的AH：

提供对整个原始IP报文的完整性检查和认证，认证能力优于ESP

2. 隧道模式下的ESP：

加密整个原始IP 消息和ESP 尾部，并对ESP 标头、原始IP 消息和ESP 尾部执行完整性检查。

3. 隧道模式下的AH+ESP：

它对整个原始IP消息和ESP尾部进行加密，AH和ESP对不同部分进行完整性检查。

05 IPSec VPN配置步骤及实验

01 IPSec VPN配置步骤

(1)配置网络可达性

(2) 设置ACL相关的流程

(3) 担保提案的创建

(4) 安全策略的制定

(五)安全策略的应用

02 IPSec VPN实验示例

(1)配置网络可达性

[AR1]int g0/0/1[AR1-GigabitEthernet0/0/1]ip add 10.1.1.254 24[AR1]int g0/0/0[AR1-GigabitEthernet0/0/0]ip add 12.1.1.1 24[AR2 ] ]int g0/0/0[AR2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[AR2]int g0/0/1[AR2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[AR3] int g0/0/0[AR3-GigabitEthernet0/0/0]ip add 23.1.1.3 24[AR3]int g0/0/1[AR3-GigabitEthernet0/0/1]ip add 10.2.1.254 24[AR1]ospf 1 [ AR1-ospf-1] 区域0[AR1-ospf-1-area-0.0.0.0] 网络12.1.1.1 0.0.0.0[AR2]ospf 1[AR2-ospf-1] 区域0[AR2-ospf-1- [AR2-ospf-1-area-0.0.0.0]网络23.1.1.2 0.0.0.0[AR2-ospf-1-area-0.0.0.0]网络12.1.1.2 0.0.0.0[AR3]ospf 1[AR3-ospf-1]区域0[AR3 -ospf]-1-area-0.0.0.0]网络23.1.1.3 0.0.0.0[AR3]ip路由静态10.1.1.0 255.255.255.0 12.1.1.1

(2) 设置ACL相关的流程

[AR1]ACL 编号3000[AR1-acl-adv-3000]规则5 允许IP 源10.1.1.0 0.0.0.255 目标10.2.1.0 0.0.0.255[AR3]ACL 编号3000[AR3-acl-adv-3000]规则5 允许IP 源10.2.1.0 0.0.0.255 目标10.1.1.0 0.0.0.255

(3) 担保提案的创建

[AR1]ipsec 提案1[AR3]ipsec 提案1

(4) 安全策略的制定

[AR1] ipsec 策略shida 1 手册[AR1-ipsec-policy-manual-shida-1] 安全ACL 3000 [AR1-ipsec-policy-manual-shida-1] 提案1 [AR1-ipsec-policy-manual-shida- 1]隧道本地12.1.1.1[AR1-ipsec-policy-manual-shida-1]隧道远程23.1.1.3[AR1-ipsec-policy-manual-shida-1]sa spi 接收esp 12345[AR1-ipsec-policy- Manual-shida-1]sa 字符串密钥接收ESP Simple 123[AR1-ipsec-policy-manual-shida-1]SA SP 发送ESP 54321[AR1-ipsec-policy-manual-shida-1]SA 字符串密钥发送esp simple 123[AR3]ipsec 策略shida 1 手册[AR3-ipsec-policy-manual-shida-1]安全acl 3000[AR3-ipsec-policy-manual-shida-1]提案1[AR3-ipsec-policy-manual -shida -1]隧道本地23.1.1.3[AR3-ipsec-policy-manual-shida-1]隧道远程12.1.1.1[AR3-ipsec-policy-manual-shida-1]sa spi 接收esp 54321[AR3-ipsec -policy -manual-shida-1]sa 字符串密钥接收esp 简单123[AR3-ipsec-policy-manual-shida-1]sa spi 发送esp 12345[AR3-ipsec-policy-manual-shida-1]sa 字符列密钥出站esp simple 123 (5) 应用安全策略

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ipsec策略shida

[AR3]int g0/0/0

[AR3-GigabitEthernet0/0/0]ipsec策略shida

主办：老杨丨10年资深网络工程师，更多如何提升网络工程知识，请关注公众号：网络工程师俱乐部。