1,什么是ipsec

ipsec(Internet Protocol Security)是一直种实现vpn的技术之一,为IP网络提供安全和加密。

(由于IP报文本身没有集成任何的安全特性,IP数据包在公用的Internet网络中可能面临被[伪造]、[窃取]、[篡改]的风险)

通信双方通过IPsec建立 一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。

常见的VPN种类有:IPsec、SSL、GRE、PPTP和L2TP等。其中IPsec是通用性较强的一种VPN技术,适用于多种网络互访的场景。

图:IPsec Site to Site(站点到站点)的组网

ipsec保护的是点对点的通信,主机与主机、主机和网关之间,其工作在ip层(网络层),对ip层的数据包进行加密和验证。

2,ipsec如何工作的

大致分为四个阶段:

  • 识别感兴趣流(匹配ipsec规则)

网络设备收到报文后,会将报文中的五元组信息与ipsec规则进行比较,进而判断该报文是否通过Ipsec隧道进行传输。(五源组:Source IP、Dest IP 、Source Port、Dest Port、传输层协议类型)

  • 安全协议协商-Security Association,以下简称SA

SA:通信双方对某些协议要素的约定。

包括:双方使用的安全协议、数据传输的封装模式、协议采用的加密和验证算法、数据传输的密钥,这些在双方协商过程中进行交换。只有SA协商成功,才能进行安全的数据传输。

通信双方通过IKEv1/IKEv2协议,先协商建立IKE SA(用于身份验证和交换密钥信息),然后在此基础上协商建立 IPSEC SA(用于安全的数据传输),数据传输的过程中会所有到Ike SA 中协商的密钥。

  • 数据传输

IPsec SA建立成功后,就可以使用Ipsec隧道进行数据的安全传输了,这一阶段会用到AH、ESP协议或AH+ESP协议对数据进行加密和验证。双方通过相同的加密算法和密钥,将数据进行加密或解密,同时得到数据的完整性校验值ICV,两端的ICV值相同代表数据完整,未被改变,可正常接收。

  • 隧道解除

通常情况下,通信双方之间的会话老化(连接断开)即代表通信双方数据交换已经完成,因此为了节省系统资源,通信双方之间的隧道在空闲时间达到一定值后会自动删除。

3、IPsec 使用的3个重要的协议(基础)

/********************************************************************************/IKE (Internet Key Exchange,因特网密钥交换)基于UDP的应用层协议,用于SA协商,目前主要有两个版本v1/v2,v2在v1的基础上提高了安全性,简化了协商过程,提高了协商效率。IKE SA 的建立主要通过ISAKMP协议进行协商(IKE协议综合了多种协议:ISAKMP协议 Oakley协议 SKEME协议),其提供了DH算法,用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。IKE SA和IPSec SA需要的加密密钥和验证密钥都是通过DH算法生成的,它还支持密钥动态刷新。/********************************************************************************/AH (Authentication Header,认证头)AH协议用来对IP报文进行数据源认证和完整性校验,即用来保证传输的IP报文的来源可信和数据不被篡改,但它并不提供加密功能。AH协议在每个数据包的标准IP报文头后面添加一个AH报文头,AH协议对报文的完整性校验的范围是整个IP报文。/********************************************************************************/ESP(Encapsulating Security Payload,封装安全载荷)ESP协议除了对IP报文进行数据源认证和完整性校验以外,还能对数据进行加密。ESP协议在每一个数据包的标准IP报头后方添加一个ESP报文头,并在数据包后方追加一个ESP尾(ESP Trailer和ESP Auth data)。ESP协议在传输模式下的数据完整性校验范围不包括IP头,因此它不能保证IP报文头不被篡改。AH和ESP可以单独使用,也可以同时使用。AH和ESP同时使用时,报文会先进行ESP封装,再进行AH封装;IPsec解封装时,先进行AH解封装,再进行ESP解封装。

协议总结:

IKE协议用于SA的建立(IKE/IPsec)SA,IkE协议有两个版本,V2版本提供了更好的安全性和协商效率,后面将介绍IKE协商的几个阶段和模式。

AH 验证头,不对数据进行加密,在对IP报文的封装中,在IP报文头前加入一个AH头,验证范围是整个ip报文。

ESP 对数据进行加密,在IP报文头后加入一个ESP头,在数据包后方添加ESP尾。(后面介绍ESP报文封装格式)

IPsec 使用的端口:

IPsec 的建立主要进行IKE的协商,为使IKE协商报文顺利通过,应放开500端口,在nat穿越模式下,还需要放开4500端口。

由于AH和ESP是网络层协议不涉及端口,为了使IPsec隧道能正常建立,通常还要在网关设备上配置安全策略放开AH(IP协议号是51)和ESP(IP协议号是50)服务。

ipsec VPN 技术介绍(基础篇一)相关推荐

  1. ipsec VPN技术(基础篇二)

    1,前言 上次我们介绍了什么是ipsec已经ipsec的工作流程和其中使用的一些协议,下面将讲解一下ipsec的工作模式和协议是如何联系工作的. 2,ipsec 封装模式 AH ,ESP,AH+ESP ...

  2. GPU技术支持-基础篇-包管理工具

    GPU技术支持-基础篇-包管理工具 目录 GPU技术支持-基础篇-包管理工具 前言 概述 包管理工具简介 dpkg「Debian Package」 rpm「RPM Package Manager」 依 ...

  3. 机器学习(四):剪枝技术(基础篇)

    机器学习(四):剪枝技术(基础篇) 相关的决策树文章: 机器学习(四)ID3决策树 机器学习(四)C4.5决策树 机器学习(四)CART分类树 机器学习(四)CART回归树 机器学习(四)决策树绘图 ...

  4. 数字视频测量应用技术(基础篇)

    数字视频测量应用技术(基础篇) 第三章 数字分量视频信号测量 3.1 串行分量数字信号 P101 3.1.1 演播室数字分量信号标准 3.1.1.1 标清(SDTV)部分 3.1.1.2 高清(HDT ...

  5. 网络技术学习基础篇。

    提示:大多以华为为例.真难学艹 前言 记录我学习网络技术,希望对大家有所帮助. 目录 第一章.基础知识 第一节,计算机网络概述 1,定义: 2,基本功能: 3,类型: 4,网络简介 5,网络设备的架构 ...

  6. 测试需要了解的技术之基础篇四__UI自动化测试体系

    UI自动化测试体系 1.Andriod 自动化测试:Appium 环境安装与架构介绍.Appium Desktop用例录制.Appium测试用例流程.元素定位方法 IA/AID/XPATH/UISel ...

  7. CVX介绍——基础篇

    CVX的介绍主要是记录CVX的使用文件:http://web.cvxr.com/cvx/doc/intro.html#what-is-disciplined-convex-programming 中的 ...

  8. DirectX技术----D2D基础篇(一)

    这一篇主要谈谈如何创建简单的D2D窗口并绘制一个进行sin移动矩形出来. 首先,我们需要有个比较清楚的思路来进行D2D的开发. 开发Direct2D程序的一般步骤 l  包含 Direct2D 头文件 ...

  9. Spring+SpringMVC+MyBatis+easyUI整合基础篇(一)项目简述及技术选型介绍

    作者:13 GitHub:https://github.com/ZHENFENG13 版权声明:本文为原创文章,未经允许不得转载. 萌芽阶段 很久之前就开始打算整理一下自己的技术博客了,由于各种原因( ...

最新文章

  1. 分享一个 org.w3c.dom XML 封装
  2. hdu3665 水最短路
  3. SAP成本收集器两则
  4. R学习_multitaper包解析1:子函数centre,dpss
  5. 获取页面可见区域,屏幕区域的尺寸
  6. ASP.NET Core 导入导出Excel xlsx 文件
  7. 查看数据库 MySQL 的版本信息的命令语句
  8. 不重启修改计算机名称,批处理不重启快速修改计算机名
  9. 刚过去不到一个月 QQ又更新了
  10. Synopsys MetaWare for Linux 安装与编译指南
  11. AttributeError: ‘Polygon‘ object has no property ‘normed‘
  12. 【转】C# 过滤HTML,脚本,数据库关键字,特殊字符
  13. 计算机网络第二章-----物理层
  14. 服务器电脑安装Centos7操作系统
  15. 韩立刚计算机网络——第五章:应用层
  16. 无线模块的参数介绍和选型要点
  17. webstorm2020背景和字体_怎么为WebStorm更换主题 修改字体样式
  18. html [JS]随机密码生成[运维工具]
  19. 小米刷机OTA、 Recovery、 FASTBOOT三种方法直接的区别和联系
  20. 爆笑!你知道msdn与csdn的意思吗?

热门文章

  1. 【ABAQUS2022】ABAQUS2022安装+汉化+帮助文档下载教程
  2. BootDo架构-基于 Springboot 和 Mybatis 的后台管理系统
  3. SpringMvc学习日记-基础知识
  4. 计算机毕业设计Java“小蜜蜂”校园代取快递系统(源码+系统+mysql数据库+lw文档)
  5. 提升网站运营效果的方法有哪些?网站运营有什么方法和技巧?
  6. 无法启动此程序,因为计算机中丢失api-ms-win-crt-runtime-l1-1-0.dll。尝试重新安装该程序以解决此问题。
  7. 如何用python画一个美队盾牌
  8. 新零售新模式:完整了解「快闪店」运作
  9. 搬家公司怎么收费 搬家收费标准
  10. LaTeX设置图片左对齐