VPN测试用例-IPsec文档版本历史参考文档适用版本参考文档适用版本1.功能说明:支持ESP和AH封装协议;支持隧道模式和传输模式;支持SitetoSite、RemoteAccess两种VPN组网形式;支持预共享密钥和X.509数字证书两种身份认证形式;支持通过IKE自动完成IPSec安全联盟协商;支持DES、3DES、AES128/192/256等多种加密算法;支持MD5、SHA-1等多种哈希验证算法;支持可以基于固定IP地址建立IPSec隧道,支持通过域名方式建立IPSec隧道;支持IPSec报文的UDP封装模式,以保证IPSec能够穿越NAT;支持断线诊断DPD协议;2.工作机制:1)关键词:IPsec(IPSecurity):是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(AuthenticationHeader,认证头)、SP(EncapsulatingSecurityPayload,封装安全载荷)、IKE(InternetKeyExchange,因特网密钥交换)和用于网络认证及加密的一些算法等。AH协议:可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。ESP协议:提可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。ESP保护的是IP包的载荷,不包括IP头部,所以ESP和NAT是不冲突的。SA(安全联盟):是两个IPsec实体(主机或者网关)之间经过协商建立起来的一种协定,包括采用的协议、算法、加密等。SA是构成IPsec的基础。而建立SA需要2个阶段:HUTEICkar恂就FaiwardlnEncryptio第一阶段,协商创建一个通信信道(ISAKMPSA),并对该信道进行认证,为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务;第二阶段,使用已建立的ISAKMPSA建立IPsecSA。IKE(因特网密钥交换):为IPsec提供了自动协商交换密钥、建立SA的服务,能够简化IPsec的使用和管理。IKE是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。通过IKE建立隧道又分为两种模式:主模式(main)和野蛮模式(aggrmode,也叫快速模式)应用场景:在IPsec中,主要有两种应用场景,分别为LAN-to-LAN和Remote(远程连接)。其中LAN-to-LAN需要隧道两端各有一个网关来进行连接,而Remote则是其中一端为PC端,通过IPsec软件来连接VPN。2)工作拓扑图:InbounJtboundHaul1IPsetviriuaJtunnelirit&rfjaffInboundinteriaoi[wcke(E3)工作过程:(1)加封装过程:A.Routerl将从入接口接收到的IP明文送到转发模块进行处理B.转发模块依据路由查询结果,将IP明文发送到IPsec虚拟隧道接口进行加封装:原始IP报文被封装在一个新的IP报文中,新IP头中的源地址和目的地址分别为隧道接口的源地址和目的地址。C.IPsec虚拟隧道接口完成对IP明文的加封装处理后,将IP密文送到转发模块进行处理;D.转发模块进行第二次路由查询后,将IP密文通过隧道接口的实际物理接口转发出去。(2)解封装过程:A.Router将从入接口接收到的IP密文送到转发模块进行处理;B.转发模块识别到此IP密文的目的地为本设备的隧道接口地址且IP协议号为AH或ESP时,会将IP密文送到相应的IPsec虚拟隧道接口进行解封装:将IP密文的外层IP头去掉,对内层IP报文进行解密处理。C.IPsec虚拟隧道接口完成对IP密文的解封装处理之后,将IP明文重新送回转发模块处理;D.转发模块进行第二次路由查询后,将IP明文从隧道的实际物理接口转发出去。4)IPsec报文格式及发送:(1)报文格式:IransponTunn自IAHIPAHIPAHIIPD目怕ESPIPESPCatsESP-7IPESPIP巨沪-TAH-ESPIFAHESPDataESP-TIFAHESPIPDataESP-7(2)报文发送[R1R2(initLatoE")(ReEpcxuleir)N-ego"tiatePoli-cyMainModeFaylosd)Wain{SAPayloEid.)DUEzchiangeWainMods•iKeyjNMIU时HainMode(KeyjNflacs)Phase1〔EmtsblL^tiI5AKMPSA)Auth^nticationLSzchan^eMain口丘1'IdGiLtifi.catLcr:EncTFr'-adZiar^'iWain^DdeUdsntifLcatLcn?EncrsniedDBt£iCenez^teIPlOp0££.1IIL^LCZJfcie:...
