IPsec ×××

IPsec ×××是一種點對點，兩端設備通過網絡建立的安全通道
主要目的是將多個分支機構單獨的局域網，通過虛擬通道連接爲一個虛擬局域網環境,解決了安全問題。
通信雙方在IP層通過加密、完整性校驗、數據認證等方式保證數據傳輸的機密性、完整性和防重性
IPsec架構：

IPsec ×××主要由AH、ESP、IKE協議套件組成
AH：認證數據源、數據完整性但不加密數據報文
ESP:既提供認證也提供加密功能
IKE:用於自動協商AH和ESP使用的密碼算法
SA:安全聯盟，定義×××兩端設備使用的數據封裝協議，認證和加密算法、密鑰等。它是單向的，兩邊要通信至少需要兩個SA

---

IPsec協議有兩種封裝模式：

1. 傳輸模式
   
   AH：ip頭部後面插入AH頭
   ESP:ip頭部後面插入ESP頭，數據字段後插入ESP尾部
   AH+ESP:ip頭部後插入AH頭和ESP頭，數據字段後插入ESP尾部
2. 隧道模式
   
   AH、ESP、AH+ESP:對整個ip包提供加密認證，IPsec會另外生成一個新的ip報頭，封裝在AH和ESP之前。
   隧道模式通常AH+ESP聯合使用

---

配置IPSec ×××步驟：
兩端都要配置

1. 配置網絡可達
   省略
2. 配置ACL識別興趣流
   省略
3. 創建安全提議
   [RTA]ipsec proposal tran1 創建IPSec提議並進入提議試圖
   [RTA-acl-proposal-tran1]esp authentication-algorithm sha1 採用ESP安全協議、sha1認證算法和隧道模式(默認情況下使用ESP安全協議、MD5認證算法和隧道模式)
   在IPSec提議試圖下這些都可以更改：
   transform {ah | ah-esp | esp} 重新配置採用的安全協議
   encapsulation-mode {transport | trunnel} 配置傳輸模式或隧道模式
   esp authentication-algorithm {md5 | sha1 | sha2-256 | sha2-348 | sha2-512} 配置ESP認證算法
   esp encryption-algorithm {des | 3des | aes-128 | aes-192 | aes-256} 配置ESP加密算法
   ah authentication-algorithm {md5 | sha1 | sha2-256 | sha2-348 | sha2-512} 配置AH認證算法
   display ipsec proposal 驗證查看IPSec提議中配置的參數
4. 創建安全策略
   [RTA]ipsec policy p1 10 manual 創建策略
   這裏需要說明一下 p1 是策略名字(多個相同名字的策略可以組成一個策略組)
   10 是策略號(一個策略組可以最多可以有16條安全策略，策略號越高優先級越高)
   manual 是指手動建立sa(如果要自動建立需要執行ipsec-policy-template配置指定參數)
   [RTA-ipsec-policy-manual-p1-10]security acl 3001 指定策略引用的訪問控制列表
   [RTA-ipsec-policy-manual-p1-10]proposal tran1 引用上面建立的安全提議
   [RTA-ipsec-policy-manual-p1-10]trunnel remote 20.1.1.2 設置安全隧道對端地址
   [RTA-ipsec-policy-manual-p1-10]trunnel local 20.1.1.1 設置安全地址本端地址
   [RTA-ipsec-policy-manual-p1-10]sa spi outbound esp 54321 配置安全聯盟出向(outbound)參數索引spi，必須與對端設備入向(inbound)參數索引相同
   [RTA-ipsec-policy-manual-p1-10]sa spi outbound esp 12345 配置安全聯盟入向(inbound)參數索引spi，必須與對端設備出向(outbound)參數索引相同
   [RTA-ipsec-policy-manual-p1-10]sa string-key outbound esp simple huawei 配置安全聯盟出向認證密鑰，與對端入向相同
   [RTA-ipsec-policy-manual-p1-10]sa string-key inbound esp simple huawei 配置安全聯盟入向認證密鑰，與對端出向相同
5. 應用安全策略
   [RTA]interface gi0/0/1 進入設備外網接口
   [RTA-GigabitEthernet0/0/1]ipsec policy p1 端口上應用安全策略組

驗證命令：
display ipsec policy 查看IPSec策略

---

遠程用戶或移動用戶訪問本地網絡，叫VPDN
子公司和總部連接，叫內部×××
兩個聯盟公司連接，叫擴展×××

IPsec ××× 就是點對點，兩端的設備通過公網建立的一種×××。
其主要目的是將多個分支機構單獨的局域網，通過虛擬通道連接爲一個虛擬局域網環境,解決了安全問題。
2tp ××× 則是客戶端和服務端的關係，是一種撥入連接方式，一種協議，除了L2tp 還有 ppp ssl 都屬於撥入連接方式。
其主要目的是爲了使外網終端訪問內網資源，方便移動辦公，同樣解決安全問題。
MPLS ××× 則是一種運營商骨幹網上的MPLS 和 ××× 相結合的產品，對用戶來說完全透明。
其主要目的是既解決了安全問題的同時還可以通過MPLS的能力來解決兩端通信質量的問題。

傳輸模式：不隱藏源和目的ip
隧道模式：真是的源和目的被×××保護