IPSEC的實現方式
在IPSEC通信中涉及到一個重要方面,那就是如何定義要保護的數據流(又稱爲感興趣流)。這不僅涉及到IPSEC最終要保護哪部分數據,還關係到IPSEC的實現方式,因此有必要把感興趣流的定義方式進行詳細說明。
1. 感興趣流的定義方式
“感興趣流”指的是哪些數據可以進入IPsec隧道進行傳輸,哪些數據不能進入IPsec隧道傳輸。在現有的IPsec 實現過程中,最常用的實現方式有兩種:“基於ACL”、“基於虛擬隧道接口”。下面我們對這兩中方式進行詳細的介紹。
2. 基於ACL(訪問控制)方式
我們知道,高級IP ACL可以基於源/目的IP地址、源/目的端口、協議等信息對數據報文進行過濾, 而這IPsec正好可以使用ACL的方式來確定哪些數據報文需要隧道保護。
當使用當採用ACL的方式來定義“感興趣流”時,手動方式和IKE協商方式建立的IPsec 隧道是由高級ACL來指定需要保護的數據流範圍,並從中過濾出需要進行IPsec隧道的報文。ACL規則允許的報文(permit)將被保護;ACL規則拒絕的報文(deny)將不會被保護。
因爲這裏的ACL爲高級IP ACL, 所以可以明確的指定數據報文中的源/目的IP地址**、源/目的端口、**協議類型等參數。但是這裏的源、目的IP地址指數據發送方和接收方的主機IP地址,通常是兩端內部網絡中的私網地址。
這種基於ACL方式定義感興趣流的方式的優點是:
可以利用ACL配置的靈活性,根據IP地址、端口信息、協議類型(TCP, UDP, ICMP, IP等)等信息對報文進行過濾從而指定靈活的IPSec保護方法。
3. 基於虛擬隧道接口方式
基於虛擬隧道接口來定義需要保護的數據流,首先需要在兩端的IPsec設備創建一個虛擬的隧道接口Tunnel, 然後通過配置以該Tunnel接口爲出接口的靜態路由,以此來將到達某一個子網的數據流量通過IPSec隧道進行轉發。因爲Tunnel接口爲點對點類型的接口,是運行PPP鏈路層協議的,因此以該接口爲出接口的靜態路由是可以不指定下一跳IP地址的。
IPsec虛擬隧道接口是一種三層邏輯接口,採用這種方式時,所有路由到IPsec虛擬隧道接口上的報文都將進行IPSec保護,而不再對數據流類型進行細分。使用IPSec虛擬隧道接口有如下諸多優點:
-
簡化配置
只需要將IPSec保護的數據流引到虛擬隧道接口上,無需再通過ACL來定義加解密流量的特徵。這使得IPSec的配置不會受到網絡規劃的影響,增加了網絡規劃的可擴展性,降低了網絡維護的成本。
-
較小開銷
在保護遠程接入用戶流量的組網中,只需要在IPSec虛擬隧道接口處進行IPSec報文封裝,與IPSec over GRE 或者 IPSec over L2TP方式的隧道封裝相比,較少了封裝層次,節省了帶寬。
-
支持範圍更廣
點對點IPSec虛擬隧道接口可以支持動態路由協議,同時還可以支持對組播流量的報文。另外,IPSec虛擬隧道接口在實施過程中明確的區分出“加密前”和“加密後”兩個階段,用戶可以根據不同的組網需求靈活的選擇其他業務(例如NAT, QoS)實施的階段。 例如用戶希望對加密前的報文進行QoS,則可以在IPSec虛擬隧道接口上應用QoS策略;如果希望對IPSec封裝後的報文應用QoS,則可以在報文發送的物理接口上應用QoS策略。
4. 虛擬隧道接口
IPSec 虛擬隧道接口(即Tunnel接口),是一種支持路由的三層邏輯接口,它可以支持動態路由協議、所有路由到IPSec虛擬隧道接口的報文都將進行IPSec保護,同時可以支持對組播流量的保護。
下面簡單介紹下IPSec隧道兩端的虛擬隧道接口上報文處理流程:
4.1 IPSec虛擬隧道接口上封裝和加密流程
用戶數據到達IPSec設備(如路由器),需要被IPSec保護的報文(感興趣流)會被轉發到IPSec虛擬隧道接口上進行封裝和加密。如下圖所示:
- Router將從入接口上收到的明文IP報文後發送到轉發模塊進行處理
- 轉發模塊依據路由表查詢結果進行轉發,如果爲相應的感興趣流,會被引到IPSec虛擬隧道接口上進行AH或ESP封裝;
- IPSec虛擬隧道接口完成對明文的封裝處理後,根據建立的IPSec SA安全策略再將封裝後的報文進行加密,然後再將加密後的報文交由轉發模塊進行處理
- 轉發模塊通過第二次轉發查詢後,將已經封裝完畢的加密IPSec報文通過相應的物理接口發送出去,最終密文到達對端的IPSec設備的虛擬隧道接口上。
4.2 IPSec虛擬隧道接口上解封裝和解密流程
數據經過IPSec隧道傳輸到達對端IPSec設備時,需要對數據包進行解密、解封裝處理。它的處理流程如下所示:
- Router將從入接口上收到的加密的IP報文發送到轉發模塊進行處理
- 轉發模塊識別到此密文的目的IP地址爲本設備的隧道接口IP地址,且IP報文協議號爲ESP、AH、UDP時,會將此報文發送到相應的虛擬隧道接口上進行解密和解封裝處理;
- IPSec虛擬隧道接口完成對密文的解封裝處理後,再將解封裝後的報文交由轉發模塊進行處理
- 轉發模塊通過第二次轉發查詢後,將IP明文通過相應的物理接口發送出去,最終密文到達相應的主機上。