IPsec学习笔记
目录
虚拟专用网络简介
IPSec概述
IPSec 可以理解成一个框架,通过这个框架来实现建立虚拟专用网
通信安全要求
SA
SA的建立方式
安全协议
AH协议
ESP协议
IPSec数据传输模式
传输模式
- 传输模式中的AH:在IP头部之后插入AH头,对整个IP数据包进行完整性校验。
- 传输模式中的ESP:在IP头部之后插入ESP头,在数据字段后插入尾部以及认证字段。对高层数据和ESP尾部进行加密, 对IP数据包中的ESP报文头,高层数据和ESP尾部进行完整性校验。
- 传输模式中的AH+ESP:在IP头部之后插入AH和ESP头,在数据字段后插入尾部以及认证字段。
隧道模式
- 隧道模式中的AH:对整个原始IP报文提供完整性检查和认证,认证功能优于ESP。
- 隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。
- 隧道模式中的AH+ESP:对整个原始IP报文和ESP尾部进行加密,AH、ESP分别会对不同部分进行完整性校验。
IPSec通信过程
建立IPSec首要任务是保证其安全性,安全性的具体要求在前文可找到。根据上图我们可以知道IPsec的通信过程如下:先进行SA协商,然后再用安全协议对报文进行加密。保证安全的第一步是IPsec SA。
IPsec SA生成的原材料是传输数据的一些参数+网络管理员的key,SA就像一个盒子,这个盒子里面包含了各种算法,IKE根据这些算法生成IPsec SA。IPsec SA里面包含各种流量保护策略,只有两端完全匹配才能进行通信。
SA协商成功了便是用安全协议对所要传输的数据进行加密,然后传输数据。