IPSec VPN 基本原理IPSec VPN 是目前 VPN 技术中点击率非常高的一种技术,同时提供 VPN 和信息加密两项技术,这一期专栏就来介绍一下 IPSec VPN 的原理。IPSec VPN 应用场景 IPSec VPN 的应用场景分为 3 种:1。 Site-to-Site(站点到站点或者网关到网关):如弯曲评论的 3 个机构分布在互联网的3 个不同的地方,各使用一个商务领航网关相互建立 VPN 隧道,企业内网(若干 PC)之间的数据通过这些网关建立的 IPSec 隧道实现安全互联。2. End—to-End(端到端或者 PC 到 PC): 两个 PC 之间的通信由两个 PC 之间的 IPSec会话保护,而不是网关.3. End-to—Site(端到站点或者 PC 到网关):两个 PC 之间的通信由网关和异地 PC 之间的 IPSec 进行保护.VPN 只是 IPSec 的一种应用方式,IPSec 其实是 IP Security 的简称,它的目的是为 IP 提供高安全性特性,VPN 则是在实现这种安全特性的方式下产生的解决方案.IPSec 是一个框架性架构,具体由两类协议组成:1。 AH 协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH 常用摘要算法(单向 Hash 函数)MD5 和 SHA1 实现该特性。2. ESP 协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP 通常使用 DES、3DES、AES 等加密算法实现数据加密,使用 MD5 或 SHA1 来实现数据完整性.为何 AH 使用较少呢?因为 AH 无法提供数据加密,所有数据在传输时以明文传输,而ESP 提供数据加密;其次 AH 因为提供数据来源确认(源 IP 地址一旦改变,AH 校验失败),所以无法穿越 NAT.当然,IPSec 在极端的情况下可以同时使用 AH 和 ESP 实现最完整的安全特性,但是此种方案极其少见。IPSec 封装模式 介绍完 IPSec VPN 的场景和 IPSec 协议组成,再来看一下 IPSec 提供的两种封装模式(传输Transport 模式和隧道 Tunnel 模式)上图是传输模式的封装结构,再来对比一下隧道模式:可以发现传输模式和隧道模式的区别:1。 传输模式在 AH、ESP 处理前后 IP 头部保持不变,主要用于 End-to-End 的应用场景。2. 隧道模式则在 AH、ESP 处理之后再封装了一个外网 IP 头,主要用于 Site—to-Site 的应用场景。从上图我们还可以验证上一节所介绍 AH 和 ESP 的差别。下图是对传输模式、隧道模...
