1、 什麼是IPSec VPN?
IPSec VPN是一種互聯網級VPN,其主要作用是在不安全的互聯網上傳輸加密的數據報文。
2、 IPSec組成部分
IPSec主要由三種協議組成:ESP協議、AH協議和IKE協議,其中ESP和AH協議是來加密傳輸數據的,ESP和AH加密數據時需要一個預共享密鑰,密鑰的安全交換就需要IKE協議來完成。
3、 IPSec的工作模式
IPSec的工作模式有兩種:傳輸模式和隧道模式
3.1 傳輸模式
傳輸模式不增加新的IP頭部,僅在IP報文後使用ESP或AH協議封裝添加IPSec報文頭(尾)部。
實例分析:
如上圖所示,客戶端及服務器均有公網IP地址,客戶端發送給服務器的數據報文中IP頭部與荷載數據之間添加了IPSec報文,使用AH或ESP封裝荷載數據,併發送給接收方服務器。
傳輸模式即為通信雙方均有全局可路由的公網IP地址時,為了起到數據報文在公網傳輸過程中對數據的加密及防篡改時使用,使用AH封裝的數據僅保證數據無篡改,使用ESP封裝的數據在保證數據無篡改的情況下對數據進行了加密,對AH及ESP協議的詳細介紹將在下一章節進行講解。
3.2隧道模式
隧道模式增加新的IP頭部,在新IP報文後使用ESP或AH協議封裝添加IPSec報文頭(尾)部。
實例分析:
1、 站點到站點VPN實例
由上圖可見,左側網絡內部網段192.168.1.0/24,右側網絡內部網段192.168.2.0/24,使用IPSecVPN隧道模式通過互聯網進行互訪。
如圖所示,左側PC訪問右側PC時會發送一個原IP為192.168.1.10,目標地址為192.168.2.10的IP數據報文,如果在出口路由器上沒有配置IPSec VPN,則數據包會不進行任何操作發往運營商提供的網關,運營商收到數據報文後發現目標地址不是公網路由可達地址將丟棄此報文。如果開啟IPSec VPN,如圖所示,匹配IPSec通信點的報文在通過加密點時會進行隧道封裝,新添如圖所示新IP地址頭部並添加IPSec報文,由用戶選擇使用AH或ESP封裝原始數據報文。全局可達的新IP地址數據包通過互聯網的路由到達對端網絡出口,對端路由器接收到報文後進行解封裝操作,還原原始數據包後將數據包發送給192.168.2.10。
2、 遠程接入VPN解決方案
如上圖所示,出差用戶擁有公網地址後通過VPN客戶端撥入公司內部,獲取VPN服務器分配的地址池中的地址192.168.10.10。此IP地址分配至VPN客戶端虛擬網卡中,如下圖為思科anyconnect VPN客戶端創建的虛擬網卡:
出差用戶在撥號獲取到IP地址後與企業內部服務器通信,將使用隧道模式與內部服務器進行通信,在原有數據通信IP報文(出差用戶VPN撥號客戶端虛擬網卡地址192.168.10.10到企業內部服務器192.168.1.0/24網段的數據,即通信點IP地址)使用IPSec的AH或者ESP進行封裝後,增加互聯網全局可路由的新IP報文頭部,即使用加密點IP地址進行通信。
知識擴展:一般情況下,互聯網出接口被配置為加密點,在加密點上配置map,需要傳輸的IP真實地址為通信點,通信點與加密點不同時為隧道模式。反之則為傳輸模式。
此文章為IPSec VPN基礎理論知識的第一部分IPSec的組成及工作模式,下一部分將通過對ESP及AH協議的詳細介紹更深層次的學習IPSec VPN的工作原理。
以上內容均為本人對所掌握知識的總結歸納所創作的原創文章,希望能給大家的學習過程帶來幫助,如有技術理解錯誤希望能夠及時得到大家的指正,大家共同學習,共同進步。
閱讀更多 網工加油站 的文章
