VPN与IPSec

VPN与IPSec

VPN，即虚拟专用网络，是一种在公用网络上建立专用网络的技术。关键技术包括：隧道技术，加解密技术，密钥管理技术以及身份认证技术。

其中最关键的是在公网上建立虚信道，由隧道技术完成。隧道的建立可以在链路层和网络层完成

关于隧道技术：

• 二层隧道技术：PPTP，L2TP

•   PPTP：点对点隧道协议。用于远程用户拨号连接到本地ISP。PPTP使用TCP建立，维护，终止隧道。并利用GRE将PPP帧封装成隧道数据。
  

• 三层隧道技术：IPSec

• 四层隧道技术：SSL VPN以及TLS VPN

关于IPSec：

def：是通过对IP协议分组进行加密和认证来保护IP协议的网络传输协议簇，由建立安全分组流的密钥交换协议和保护分组流的协议两部分组成。前者就是IKE协议，后者包含AH和ESP

IKE：IPSec使用IKE协议实现安全协议的自动安全参数协商
AH：鉴别首部，它为IP数据报提供完整性检查和数据源认证，并防止重访攻击。AH不支持数据加密，常用摘要算法MD5 和SHA1 实现摘要和认证，确保数据完整性。AH将每个数据报中的数据和一个变化的数字签名结合起来共同验证发送方的身份，使得通信一方能够确认发送数据的另一方的身份，并能够确认数据在传输过程中没有被篡改，防止受到第三方的攻击。
ESP：封装安全载荷，可以同时提供数据完整性确认和数据加密等服务。ESP 通常采用DES，3DES，AES等加密算法实现数据加密，使用MD5 或SHA1实现数据摘要和认证。

两种工作模式：
传输模式保护原始 IP 头部后面的数据，在原始 IP 头和 payload 间插入 IPSec 头部（ESP 或 AH）。典型应用为端到端的会话，并且要求原始 IP 头部全局可路由。
隧道模式保护所有 IP 数据并封装新的 IP 头部，不使用原始 IP 头部进行路由。在 IPSec 头部前加入新的 IP 头部，源目为 IPSec peer 地址。并允许 RFC 1918（私有地址）规定的地址参与 VPN 穿越互联网。

两者的区别在于 IP 数据报的 ESP 负载部分的内容不同。在隧道模式中，整个 IP 数据报都在 ESP 负载中进行封装和加密。当这完成以后，真正的 IP 源地址和目的地址都可以被隐藏为 Internet 发送的普通数据。这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP 等）被放到加密后的 IP 数据报的 ESP 负载部分。在这种模式中，源和目的 IP 地址以及所有的 IP 包头域都是不加密发送的。
简单的说，加密点不等于通信点的时候就是 tunnel 模式，如果加密点等于通信点的话就是传输模式。但是要注意，默认情况下都是 tunnel 模式的需要你更改一下，这个你在 show crypto ipsec sa 中可以看到，因为传输模式比 tunnel 模式少了一个头，这样提供了更大的负载空间，所以尽量使用传输模式。
应用场景：网关到网关；端到端；网关到端