IPSec *** 原理(講解）

本章主要講解 IPSec *** 相關理論概念
講解了 IPSec 在 *** 對等體設備實現的安全特性，如數據的機密性、數據的完整性、數據驗證等。重點分析了 IKE 階段 1 和階段 2 的協商建立過程，爲 *** 對等體間故障排查打下堅實的理論基礎。最後，在 Cisco 的路由器上實現 IPSec *** 的應用及配置，並結合企業需求進行案例講解。

*** 技術起初是爲了解決明文數據在網絡上傳輸所帶來的安全隱患而產生的。TCP/IP 協議族中的很多協議都採用明文傳輸，如 Telnet、FTP、TFTP 等。一些***可能爲了獲取非法利益，通過諸如竊聽、僞裝等***方式截獲明文數據，使企業或個人蒙受損失。
*** 技術可以從某種程度上解決該問題。例如，它可以對公網上傳輸的數據進行加密，即使***通過某種竊聽工具截獲到數據，也無法瞭解數據信息的含義；也可以實現數據傳輸雙方的身份驗證，避免***僞裝成網絡中的合法用戶***網絡資源。
那麼，什麼是 *** 技術呢？
1.1.1 *** 的定義
***（Virtual Private Network，虛擬專用網）就是在兩個網絡實體之間建立的一種受保護的連接，這兩個實體可以通過點到點的鏈路直接相連，但通常情況下它們會相隔較遠的距離。
對於定義中提到的“受保護”一詞，可以從以下幾個方面理解。  通過使用加密技術防止數據被竊聽。
 通過數據完整性驗證防止數據被破壞、篡改。

 通過認證機制實現通信方身份確認，來防止通信數據被截獲和回放。 此外，*** 技術還定義了：  何種流量需要被保護。
 數據被保護的機制。  數據的封裝過程。
實際工作環境中的 *** 解決方案不一定包含上述所有功能，這要由具體的環境需求和實現方
式決定。而且很多企業可能採用不止一種的 *** 解決方案。

1.1.2 *** 的模式與類型
1．*** 的連接模式
*** 技術有兩種基本的連接模式：隧道模式和傳輸模式。這兩種模式實際上定義了兩臺實體設備之間傳輸數據時所採用的不同的封裝過程。
1）傳輸模式
如圖 1.1 所示，傳輸模式一個最顯著的特點就是：在整個 *** 的傳輸過程中，IP 包頭並沒有被封裝進去，這就意味着從
源端到目的端數據始終使用原有的 IP 地址進行通信。而傳輸的實際數據載荷被封裝在 *** 報文中。對於大多數 *** 傳輸而言，*** 的報文封裝過程就是數據的加密過程，因此，***者截獲數據後將無法破解數據內容，但卻可以清晰地知道通信雙方的地址信息。
由於傳輸模式封裝結構相對簡單（每個數據報文較隧道模式封裝結構節省 20 字節），因此傳2 輸效率較高，多用於通信雙方在同一個局域網內的情況。例如，網絡管理員通過網管主機登錄公司內網的服務器進行維護管理，就可以選用傳輸模式 *** 對其管理流量進行加密。

圖 1.1 傳輸模式原理

2）隧道模式
如圖 1.2 所示，隧道模式與傳輸模式的區別顯而易見，*** 設備將整個三層數據報文封裝在 *** 數據內，再爲封裝後的數據報文添加新的 IP 包頭。由於在新 IP 包頭中封裝的是 *** 設備的 IP 地址信息，所以當***者截獲數據後，不但無法瞭解實際載荷數據的內容，同時也無法知道實際通信雙方的地址信息。
圖 1.2 隧道模式原理

由於隧道模式的 *** 在安全性和靈活性方面具有很大的優勢，在企業環境中應用十分廣泛，
總公司和分公司跨廣域網的通信、移動用戶在公網訪問公司內部資源等很多情況，都會應用隧道模式的 *** 對數據傳輸進行加密。
2．*** 的類型
通常情況下，*** 的類型分爲站點到站點 *** 和遠程訪問 ***。
1）站點到站點 *** 站點到站點 *** 就是通過隧道模式在 *** 網關之間保護兩個或更多的站點之間的流量，站點間的流量通常是指局域網之間（L2L）的通信流量。L2L *** 多用於總公司與分公司、分公司之間在公網上傳輸重要業務數據。
如圖 1.3 所示，對於兩個局域網的終端用戶來說，在 *** 網關中間的網絡是透明的，就好像通過一臺路由器連接的兩個局域網。總公司的終端設備通過 *** 連接訪問分公司的網絡資源，數據包封裝的 IP 地址都是公司內網地址（一般爲私有地址），而 *** 網關對數據包進行的再次封裝過程，客戶端是全然不知的。
圖 1.3 站點到站點 ***
2）遠程訪問 ***
遠程訪問 *** 通常用於單用戶設備與 *** 網關之間的通信連接，單用戶設備一般爲一臺 PC或小型辦公網絡等。*** 連接的一端爲 PC，可能會讓很多人誤解遠程訪問 *** 使用傳輸模式，但因爲該種 *** 往往也是從公網傳輸關鍵數據，而且單一用戶更容易成爲***的***對象，所以遠程訪問 *** 對於安全性的要求較高，更適用於隧道模式。
要想實現隧道模式的通信，就需要給遠程客戶端分配兩個 IP 地址：一個是它自己的 NIC 地址，另一個是內網地址。也就是說遠程客戶端在 *** 建立過程中同時充當 *** 網關（使用 NIC 地址）和終端用戶（使用內網地址）。
如圖 1.4 所示，當遠端的移動用戶與總公司的網絡實現遠程訪問 *** 連接後，就好像成爲總公司局域網中一個普通用戶，不僅使用總公司網段內的地址訪問公司資源，而且因爲其使用隧道模式，真實的 IP 地址被隱藏起來，實際公網通信的一段鏈路對於遠端移動用戶而言就像是透明的。
圖 1.4 遠程訪問 ***