您当前的位置:首页 > 电脑百科 > 网络技术 > 网络知识

IPSec VPN基本原理及案例

时间:2020-05-15 10:46:50  来源:  作者:

一、基本原理介绍:

 

IPSec VPN是目前VPN技术中点击率较高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。

 

一.IPSec VPN应用场景

网络课堂:IPSec VPN基本原理及案例

 

1.IPSec VPN的应用场景分为3种:

1). Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。

2). End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。

3). End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架架构,具体由两类协议组成:

1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。

2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。

为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。

2.IPSec封装模式

介绍完IPSec VPN的场景和IPSec协议组成,再来看一下IPSec提供的两种封装模式(传输Transport模式和隧道Tunnel模式)

网络课堂:IPSec VPN基本原理及案例

 

上图是传输模式的封装结构,再来对比一下隧道模式:

网络课堂:IPSec VPN基本原理及案例

 

可以发现传输模式和隧道模式的区别:

1. 传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。

2. 隧道模式则在AH、ESP处理之后再封装了一个外网IP,主要用于Site-to-Site的应用场景。

从上图我们还可以验证上一节所介绍AH和ESP的差别。下图是对传输模式、隧道模式适用于何种场景的说明。

网络课堂:IPSec VPN基本原理及案例

 

从这张图的对比可以看出:

1. 隧道模式可以适用于任何场景

2. 传输模式只能适合PC到PC的场景

隧道模式虽然可以适用于任何场景,但是隧道模式需要多一层IP头(通常为20字节长度)开销,所以在PC到PC的场景,建议还是使用传输模式。

为了使大家有个更直观的了解,我们看看下图,分析一下为何在Site-to-Site场景中只能使用隧道模式:

网络课堂:IPSec VPN基本原理及案例

 

如上图所示,如果发起方内网PC发往响应方内网PC的流量满足网关的兴趣流匹配条件,发起方使用传输模式进行封装:

1. IPSec会话建立在发起方、响应方两个网关之间。

2. 由于使用传输模式,所以IP头部并不会有任何变化,IP源地址是92.168.1.2,目的地址是10.1.1.2。

3. 这个数据包发到互联网后,其命运注定是杯具的,为什么这么讲,就因为其目的地址是10.1.1.2吗?这并不是根源,根源在于互联网并不会维护企业网络的路由,所以丢弃的可能性很大。

4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们指望响应方网关进行解密工作吗?凭什么,的确没什么好的凭据,数据包的目的地址是内网PC的10.1.1.2,所以直接转发了事。

5. 最杯具的是响应方内网PC收到数据包了,因为没有参与IPSec会话的协商会议,没有对应的SA,这个数据包无法解密,而被丢弃。

我们利用这个反证法,巧妙地解释了在Site-to-Site情况下不能使用传输模式的原因。并且提出了使用传输模式的充要条件:兴趣流必须完全在发起方、响应方IP地址范围内的流量。比如在图中,发起方IP地址为6.24.1.2,响应方IP地址为2.17.1.2,那么兴趣流可以是源6.24.1.2/32、目的是2.17.1.2/32,协议可以是任意的,倘若数据包的源、目的IP地址稍有不同,对不起,请使用隧道模式。

3.IPSec协商

网络课堂:IPSec VPN基本原理及案例

 

IPSec除了一些协议原理外,我们更关注的是协议中涉及到方案制定的内容:

1. 兴趣流:IPSec是需要消耗资源的保护措施,并非所有流量都需要IPSec进行处理,而需要IPSec进行保护的流量就称为兴趣流,最后协商出来的兴趣流是由发起方和响应方所指定兴趣流的交集,如发起方指定兴趣流为192.168.1.0/24→10.0.0.0/8,而响应方的兴趣流为10.0.0.0/8→192.168.0.0/16,那么其交集是192.168.1.0/24←→10.0.0.0/8,这就是最后会被IPSec所保护的兴趣流。

2. 发起方:Initiator,IPSec会话协商的触发方,IPSec会话通常是由指定兴趣流触发协商,触发的过程通常是将数据包中的源、目的地址、协议以及源、目的端口号与提前指定的IPSec兴趣流匹配模板如ACL进行匹配,如果匹配成功则属于指定兴趣流。指定兴趣流只是用于触发协商,至于是否会被IPSec保护要看是否匹配协商兴趣流,但是在通常实施方案过程中,通常会设计成发起方指定兴趣流属于协商兴趣流。

3. 响应方:Responder,IPSec会话协商的接收方,响应方是被动协商,响应方可以指定兴趣流,也可以不指定(完全由发起方指定)。

4. 发起方和响应方协商的内容主要包括:双方身份的确认和密钥种子刷新周期、AH/ESP的组合方式及各自使用的算法,还包括兴趣流、封装模式等。

5. SA:发起方、响应方协商的结果就是曝光率很高的SA,SA通常是包括密钥及密钥生存期、算法、封装模式、发起方、响应方地址、兴趣流等内容。

我们以最常见的IPSec隧道模式为例,解释一下IPSec的协商过程:

网络课堂:IPSec VPN基本原理及案例

 

上图描述了由兴趣流触发的IPSec协商流程,原生IPSec并无身份确认等协商过程,在方案上存在诸多缺陷,如无法支持发起方地址动态变化情况下的身份确认、密钥动态更新等。伴随IPSec出现的IKE(Internet Key Exchange)协议专门用来弥补这些不足:

1. 发起方定义的兴趣流是源192.168.1.0/24目的10.0.0.0/8,所以在接口发送发起方内网PC发给响应方内网PC的数据包,能够得以匹配。

2. 满足兴趣流条件,在转发接口上检查SA不存在、过期或不可用,都会进行协商,否则使用当前SA对数据包进行处理。

3. 协商的过程通常分为两个阶段,第一阶段是为第二阶段服务,第二阶段是真正的为兴趣流服务的SA,两个阶段协商的侧重有所不同,第一阶段主要确认双方身份的正确性,第二阶段则是为兴趣流创建一个指定的安全套件,其最显著的结果就是第二阶段中的兴趣流在会话中是密文。

IPSec中安全性还体现在第二阶段SA永远是单向的:

网络课堂:IPSec VPN基本原理及案例

 

从上图可以发现,在协商第二阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应到发起方SA是单独协商的,这样做的好处在于即使某个方向的SA被破解并不会波及到另一个方向的SA。这种设计类似于双向车道设计。

 

二、案例分析:

 

1、拓扑

网络课堂:IPSec VPN基本原理及案例

 

2、要求:

1.R2、R3、R4 模拟运营商网络,运行 ISIS 协议。

2.R1、R5 分别模拟企业网的边界路由器,其分别具备公网 IP 地址 12.1.1.1/24 和 45.1.1.5/24。

3. R1、R5 之间配置 IPSEC,保证企业数据可以通过加密安全传输。

4. R1、R5 背后的企业网可以正常访问 Internet。

 

3、配置

1.基本配置(省略)。

2.在 R2、R3、R4 上配置 ISP 网络。

① R3 上的配置

网络课堂:IPSec VPN基本原理及案例

 

② R2 上的配置

网络课堂:IPSec VPN基本原理及案例

 

③ R4 上的配置

网络课堂:IPSec VPN基本原理及案例

 

配置完成之后,在 R3 上查看 ISIS 邻居关系。

网络课堂:IPSec VPN基本原理及案例

 

使用 R2 的 e0/0 接口测试 R4 的 e0/1 接口,查看公网路由的连通性。

网络课堂:IPSec VPN基本原理及案例

 

可以看到公网路由完好。

3. 企业边界路由器 R1、R5 上的配置

① R1 上配置Gre Tunnel

在配置 Gre Tunnel 前,必须保证企业边界路由器 R1、R5 之间的互通,并且要保证企业内的PC 可以正常访问 ISP 的公网,所以在 R1 和 R5 上配置缺省路由。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

② R5 上配置Gre Tunnel

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

此时在 R1 和 R5 上测试 tunnel 的连通性。

网络课堂:IPSec VPN基本原理及案例

 

③ 在 R1 和 R5 上配置 NAT 功能

因为企业网内部的 PC 要访问 ISP 上的公网,并且不需要加密,故需配置NAT 功能。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

配置完 NAT 后,在 R1 上使用 loopback 访问 ISP 网络地址。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

④ R1、R5 上配置 loopback0 互访的路由,用于模拟企业网中的 PC 互访,亦即需要加密的流量部分。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

此时再测试 R1、R5 的 loopback0 的连通性。

网络课堂:IPSec VPN基本原理及案例

 

此时说明 R1、R5 背后的企业网可以互通,我们下面对其进行加密。

⑥ R1 上的 IPSEC 配置

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

⑦ R5 上的 IPSEC 配置

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

此时 IPSEC 配置完成。

 

4、测试

① 测试 R1、R5 背后的企业网互访时是否加密。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

明显看到 R1、R5 背后的企业网互访时是加密的。

② 测试 R1、R5 背后的企业网访问 ISP 网络时是否加密。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

由于要 R5 的 e0/1 上进行了 NAT 转换,故抓包时使用的是 R5 的 e0/1 接口上的地址做为源地址。

③ 使用 R1 的 loopback0 访问 R5 的公网地址(即 R5 的 e0/1 接口)。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

明显看到 R1 背后的企业网访问另一侧的边界路由器 R5 的公网 IP 时,还是加密的。

网络课堂:IPSec VPN基本原理及案例

 


网络课堂:IPSec VPN基本原理及案例

 

从抓包中可以看,企业网内部的 PC 访问公网中的任何地址时,不会对流量加密。

至此,带 NAT 功能的 IPSEC 配置完成,并且保证了该加密的流量,不该加密的不加密,综合考虑了效率和安全的需求。

 

最后思考:为什么可以在 GRE OVER IPSEC 中可以带上 NAT?

因为当 R1 背后的企业网访问公网中时,经过 NAT 转换,源 IP 地址转换为 R1 的公网 IP— —12.1.1.1/24,而目标地址却为公网中的 IP 地址,即并非为 R5 侧的企业网地址 5.5.5.0/24,故不会被访问控制列表 R1TOR5 抓取,这样就不会被加密。

而当 R1 背后的企业网访问 R5 背后的企业网时,则由于 R1 上定义了去往 R5 背后企业网的静态路由Ip route 5.5.5.0 255.255.255.0 tunnel 15 。故该流量会走 tunnel15,而走 tunnel15 时,必会带上 GRE 头部和 tunnel15 的源、目地址,即会加上 R1 的 e0/0 和 R5 的 e0/1 地址,这样,就会被 R1TOR5 抓取,这样就会进行加密。



Tags:IPSec VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Tags: IPSec VPN  点击:(39)  评论:(0)  加入收藏
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Tags: IPSec VPN  点击:(508)  评论:(0)  加入收藏
IPSec VPN高可用性解决方案需要用到DPD、RRI、路由、SLA等技术组合使用才能做到简单的高可用性,缺点是使用场景单一且配置繁琐。由于IPSec VPN的局限性,思科基于IPSec VPN和动...【详细内容】
2020-11-12  Tags: IPSec VPN  点击:(854)  评论:(0)  加入收藏
1、 为什么要用到GRE over IPSec、IPSec over GRE或SVTI为什么要使用GRE over IPSec、IPSec over GRE或SVTI,其中最主要的原因是IPSec不支持组播传输,无法实现动态路由之间的...【详细内容】
2020-11-10  Tags: IPSec VPN  点击:(406)  评论:(0)  加入收藏
一、基本原理介绍: IPSec VPN是目前VPN技术中点击率较高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 一.IPSec VPN应用场景 1.IPSec V...【详细内容】
2020-05-15  Tags: IPSec VPN  点击:(106)  评论:(0)  加入收藏
拓扑: 需求,Beijing作为总部,需要与Company进行连接,同时SH部分采用双线介入ISP保证网络高可用性,现需求,在SH1down的情况下,SH2接替SH1的工作保证VPN连接的持续有效性. Be...【详细内容】
2020-05-12  Tags: IPSec VPN  点击:(151)  评论:(0)  加入收藏
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。IPSec VPN应用场景 IPSec VPN的应用场景分为3种:1....【详细内容】
2020-03-19  Tags: IPSec VPN  点击:(386)  评论:(0)  加入收藏
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,今天就来介绍一下IPSec VPN的原理。IPSec VPN的应用场景 Site-to-Site(站点到站点或者网关...【详细内容】
2020-03-10  Tags: IPSec VPN  点击:(1182)  评论:(0)  加入收藏
我们知道VPN相当于是基于Internet上建立了一个虚拟的专用通道,和物理专线还是不一样,数据其实还是通过Internet在传输的,那这样还是不能够保证这些私有的数据传输安全,所以VPN是...【详细内容】
2019-10-17  Tags: IPSec VPN  点击:(139)  评论:(0)  加入收藏
IPSec VPNIPSec是为实现VPN功能而使用的协议。IPSec给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全...【详细内容】
2019-07-29  Tags: IPSec VPN  点击:(930)  评论:(0)  加入收藏
▌简易百科推荐
以京训钉开发平台接口文档为例,使用HttpClient类请求调用其接口,对数据进行增删改查等操作。 文档地址: https://www.yuque.com/bjjnts/jxd/bo1oszusing System;using System.C...【详细内容】
2021-12-28  Wednes    Tags:HttpClient   点击:(1)  评论:(0)  加入收藏
阿里云与爱快路由安装组网教程一、开通好阿里云轻量服务器之后在服务器运维-远程连接处进行远程 二、进入控制台后在root权限下根据需要安装的固件位数复制下面命令。32位:wg...【详细内容】
2021-12-28  ikuai    Tags:组网   点击:(1)  评论:(0)  加入收藏
HTTP 报文是在应用程序之间发送的数据块,这些数据块将通过以文本形式的元信息开头,用于 HTTP 协议交互。请求端(客户端)的 HTTP 报文叫做请求报文,响应端(服务器端)的叫做响应...【详细内容】
2021-12-27  程序员蛋蛋    Tags:HTTP 报文   点击:(5)  评论:(0)  加入收藏
一 网络概念:1.带宽: 标识网卡的最大传输速率,单位为 b/s,比如 1Gbps,10Gbps,相当于马路多宽2.吞吐量: 单位时间内传输数据量大小单位为 b/s 或 B/s ,吞吐量/带宽,就是网络的使用率...【详细内容】
2021-12-27  码农世界    Tags:网络   点击:(3)  评论:(0)  加入收藏
1.TCP/IP 网络模型有几层?分别有什么用? TCP/IP网络模型总共有五层 1.应用层:我们能接触到的就是应用层了,手机,电脑这些这些设备都属于应用层。 2.传输层:就是为应用层提供网络...【详细内容】
2021-12-22  憨猪哥08    Tags:TCP/IP   点击:(35)  评论:(0)  加入收藏
TCP握手的时候维护的队列 半连接队列(SYN队列) 全连接队列(accepted队列)半连接队列是什么?服务器收到客户端SYN数据包后,Linux内核会把该连接存储到半连接队列中,并响应SYN+ACK报...【详细内容】
2021-12-21  DifferentJava    Tags:TCP   点击:(10)  评论:(0)  加入收藏
你好,这里是科技前哨。 随着“元宇宙”概念的爆火,下一代互联网即将到来,也成了互联网前沿热议的话题,12月9日美国众议院的听证会上,共和党议员Patrick McHenry甚至宣称,要调整现...【详细内容】
2021-12-17  王煜全    Tags:Web3   点击:(14)  评论:(0)  加入收藏
一、demopublic static void main(String[] args) throws Exception { RetryPolicy retryPolicy = new ExponentialBackoffRetry( 1000, 3);...【详细内容】
2021-12-15  程序员阿龙    Tags:Curator   点击:(22)  评论:(0)  加入收藏
一、计算机网络概述 1.1 计算机网络的分类按照网络的作用范围:广域网(WAN)、城域网(MAN)、局域网(LAN);按照网络使用者:公用网络、专用网络。1.2 计算机网络的层次结构 TCP/IP四层模...【详细内容】
2021-12-14  一口Linux    Tags:网络知识   点击:(31)  评论:(0)  加入收藏
无论是在外面还是在家里,许多人都习惯了用手机连接 WiFi 进行上网。不知道大家有没有遇到过这样一种情况, 明明已经显示成功连接 WiFi,却仍然提示“网络不可用”或“不可上网”...【详细内容】
2021-12-14  UGREEN绿联    Tags:WiFi   点击:(25)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条