IPSec VPN

IPSec是為實現VPN功能而使用的協議。IPSec給出了應用于IP層上網絡數據安全的一整套體系結構。該體系結構包括認證頭協議（Authentication Header，簡稱為AH）、封裝安全負載協議（Encapsulating Security Payload，簡稱為ESP）、密鑰管理協議（Internet Key Exchange，簡稱為IKE）和用于網絡認證及加密的一些算法等。IPSec規定了如何在對等體之間選擇安全協議、確定安全算法和密鑰交換，向上提供了訪問控制、數據源認證、數據加密等網絡安全服務。

IPSec VPN基礎概念

1. 安全聯盟
2. 封裝方式
3. 協商方式
4. 引用IPSec VPN

安全聯盟

IPSec在兩個端點之間提供安全通信，兩個端點被稱為IPSec ISAKMP網關。安全聯盟（Security Association, 簡稱為SA）是IPSec的基礎，也是IPSec的本質。SA是通信對等體間對某些要素的約定，例如使用哪種協議、協議的操作模式、加密算法（DES、3DES、AES-128、AES-192和AES-256）、特定流中保護數據的共享密鑰以及SA的生存周期等。

安全聯盟是單向的，在兩個對等體之間的雙向通信，最少需要兩個安全聯盟來分別對兩個方向的數據流進行安全保護。

建立安全聯盟的方式有兩種，一種是手工方式（Manual），一種是IKE自動協商（ISAKMP）方式。

封裝方式

IPSec有如下兩種工作模式：

• 隧道（tunnel）模式：用戶的整個IP數據包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常，隧道模式應用在兩臺設備之間的通訊。
• 傳輸（transport）模式：只是傳輸層數據被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭后面。通常，傳輸模式應用在兩臺主機之間的通訊，或一臺主機和一臺設備之間的通訊。

協商方式

手工方式配置比較復雜，創建安全聯盟所需的全部信息都必須手工配置，而且IPSec的一些高級特性（例如定時更新密鑰）不能被支持，但優點是可以不依賴IKE而單獨實現IPSec功能。該方式適用于當與之進行通信的對等體設備數量較少的情況，或是IP地址相對固定的環境中。

IKE自動協商方式相對比較簡單，只需要配置好IKE協商安全策略的信息，由IKE自動協商來創建和維護安全聯盟。該方式適用于中、大型的動態網絡環境中。該方式建立SA的過程分兩個階段。第一階段，協商創建一個通信信道（ISAKMP SA），并對該信道進行認證，為雙方進一步的IKE通信提供機密性、數據完整性以及數據源認證服務；第二階段，使用已建立的ISAKMP SA建立IPSec SA。分兩個階段來完成這些服務有助于提高密鑰交換的速度。

引用IPSec VPN

設備通過“基于策略的VPN”和“基于路由的VPN”兩種方式把配置好的VPN隧道調用到設備上，實現流量的加密解密安全傳輸。

• 基于策略的VPN：將配置成功的VPN隧道名稱引用到策略規則中，使符合條件的流量通過指定的VPN隧道進行傳輸。
• 基于路由的VPN：將配置成功的VPN隧道與隧道接口綁定；配置靜態路由時，將隧道接口指定為下一跳路由。

總結

以上就是

感謝閱讀，歡迎在評論區中發表自己不同的觀點，若有其他問題請在評論區留言，喜歡的朋友請多多關注轉發支持一下。