39-1 3 9 IPsec VPN 配置 本文所涉及的路由器和路由器图标,代表了一般意义下的路由器或运行了路由协议的三层交换机。 39.1 IPsec 简介 IPsec(IP Security)是 IETF 制定的三层隧道加密协议,它为 Internet 上数据的传输提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在 IP 层通过加密与数据源认证等方式,提供了以下的安全服务: z 数据机密性(Confidentiality):IPsec 发送方在通过网络传输包前对包进行加密。 z 数据完整性(Data Integrity):IPsec 接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。 z 数据来源认证(Data Authentication):IPsec 在接收方可以认证发送 IPsec 报文的发送方是否合法。 z 防重放(Anti-Replay):IPsec 接收方可检测并拒绝接收过时或重复的报文。 IPsec 具有以下优点: z 支持 IKE(Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过 IKE 建立和维护 SA 的服务,简化了 IPsec 的使用和管理。 z 所有使用IP 协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。 z 对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高 IP 数据包的安全性,可以有效防范网络攻击。 39.1.1 IPsec 的协议实现 IPsec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange ,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。关于IKE的详细介绍请参见“39.2 IKE简介”。 IPsec 提供了两种安全机制:认证和加密。认证机制使IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。 IPsec 协议中的 AH 协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP 协议定义了加密和可选认证的应用方法,提供数据可靠性保证。 z AH 协议(IP 协议号为 51)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通...
