IPSec VPN

IPSec是为实现VPN功能而使用的协议。IPSec给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（Authentication Header，简称为AH）、封装安全负载协议（Encapsulating Security Payload，简称为ESP）、密钥管理协议（Internet Key Exchange，简称为IKE）和用于网络认证及加密的一些算法等。IPSec规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

IPSec VPN基础概念

1. 安全联盟
2. 封装方式
3. 协商方式
4. 引用IPSec VPN

安全联盟

IPSec在两个端点之间提供安全通信，两个端点被称为IPSec ISAKMP网关。安全联盟（Security Association, 简称为SA）是IPSec的基础，也是IPSec的本质。SA是通信对等体间对某些要素的约定，例如使用哪种协议、协议的操作模式、加密算法（DES、3DES、AES-128、AES-192和AES-256）、特定流中保护数据的共享密钥以及SA的生存周期等。

安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。

建立安全联盟的方式有两种，一种是手工方式（Manual），一种是IKE自动协商（ISAKMP）方式。

封装方式

IPSec有如下两种工作模式：

• 隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两台设备之间的通讯。
• 传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一台设备之间的通讯。

协商方式

手工方式配置比较复杂，创建安全联盟所需的全部信息都必须手工配置，而且IPSec的一些高级特性（例如定时更新密钥）不能被支持，但优点是可以不依赖IKE而单独实现IPSec功能。该方式适用于当与之进行通信的对等体设备数量较少的情况，或是IP地址相对固定的环境中。

IKE自动协商方式相对比较简单，只需要配置好IKE协商安全策略的信息，由IKE自动协商来创建和维护安全联盟。该方式适用于中、大型的动态网络环境中。该方式建立SA的过程分两个阶段。第一阶段，协商创建一个通信信道（ISAKMP SA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的ISAKMP SA建立IPSec SA。分两个阶段来完成这些服务有助于提高密钥交换的速度。

引用IPSec VPN

设备通过“基于策略的VPN”和“基于路由的VPN”两种方式把配置好的VPN隧道调用到设备上，实现流量的加密解密安全传输。

• 基于策略的VPN：将配置成功的VPN隧道名称引用到策略规则中，使符合条件的流量通过指定的VPN隧道进行传输。
• 基于路由的VPN：将配置成功的VPN隧道与隧道接口绑定；配置静态路由时，将隧道接口指定为下一跳路由。

总结

以上就是

感谢阅读，欢迎在评论区中发表自己不同的观点，若有其他问题请在评论区留言，喜欢的朋友请多多关注转发支持一下。