IPSec VPN 基本原理IPSec VPN 就是目前 VPN 技术中点击率非常高得一种技术,同时提供 VPN 与信息加密两项技术,这一期专栏就来介绍一下 IPSec VPN 得原理。IPSec VPN 应用场景 IPSec VPN 得应用场景分为 3 种:1、 SitetoSite(站点到站点或者网关到网关):如弯曲评论得 3 个机构分布在互联网得 3 个不同得地方,各使用一个商务领航网关相互建立 VPN 隧道,企业内网(若干 PC)之间得数据通过这些网关建立得 IPSec 隧道实现安全互联。2、 EndtoEnd(端到端或者 PC 到 PC): 两个 PC 之间得通信由两个 PC 之间得 IPSec 会话保护,而不就是网关。3、 EndtoSite(端到站点或者 PC 到网关):两个 PC 之间得通信由网关与异地 PC 之间得IPSec 进行保护。VPN 只就是 IPSec 得一种应用方式,IPSec 其实就是 IP Security 得简称,它得目得就是为 IP 提供高安全性特性,VPN 则就是在实现这种安全特性得方式下产生得解决方案。IPSec 就是一个框架性架构,具体由两类协议组成:1、 AH 协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH 常用摘要算法(单向 Hash 函数)MD5 与 SHA1 实现该特性。2、 ESP 协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP 通常使用 DES、3DES、AES 等加密算法实现数据加密,使用 MD5 或 SHA1 来实现数据完整性。为何 AH 使用较少呢?因为 AH 无法提供数据加密,所有数据在传输时以明文传输,而 ESP 提供数据加密;其次 AH 因为提供数据来源确认(源 IP 地址一旦改变,AH 校验失败),所以无法穿越 NAT。当然,IPSec 在极端得情况下可以同时使用 AH 与 ESP 实现最完整得安全特性,但就是此种方案极其少见。IPSec 封装模式 介绍完 IPSec VPN 得场景与 IPSec 协议组成,再来瞧一下 IPSec 提供得两种封装模式(传输Transport 模式与隧道 Tunnel 模式)上图就是传输模式得封装结构,再来对比一下隧道模式:可以发现传输模式与隧道模式得区别:1、 传输模式在 AH、ESP 处理前后 IP 头部保持不变,主要用于 EndtoEnd 得应用场景。2、 隧道模式则在 AH、ESP 处理之后再封装了一个外网 IP 头,主要用于 SitetoSite 得应用场景。从上图我们还可以验证上一节所介绍 AH 与 ESP 得差别。下图就是对传输模式、隧道模式适用于何种场景得...
