IPSec協(xié)議簡(jiǎn)介

1. IPSec協(xié)議

IPSec 是一系列網(wǎng)絡(luò)安全協(xié)議的總稱，它是由 IETF(Internet Engineering Task

Force，Internet工程任務(wù)組)開發(fā)的，可為通訊雙方提供訪問控制、無連接的完整

性、數(shù)據(jù)來源認(rèn)證、反重放、加密以及對(duì)數(shù)據(jù)流分類加密等服務(wù)。

IPSec 是網(wǎng)絡(luò)層的安全機(jī)制。通過對(duì)網(wǎng)絡(luò)層包信息的保護(hù)，上層應(yīng)用程序即使沒有

實(shí)現(xiàn)安全性，也能夠自動(dòng)從網(wǎng)絡(luò)層提供的安全性中獲益。這打消了人們對(duì) ×××

(Virtual Private Network，虛擬專用網(wǎng)絡(luò))安全性的顧慮，使得 ××× 得以廣泛應(yīng)

用。

2. 加密卡

在實(shí)際應(yīng)用中，IPSec對(duì)報(bào)文的處理包括進(jìn)行 ESP協(xié)議處理、加密后給報(bào)文添加認(rèn)

證頭、對(duì)報(bào)文完成認(rèn)證后刪除認(rèn)證頭。為了確保信息的安全性，加密/解密、認(rèn)證的

算法一般比較復(fù)雜，路由器 IPSec 軟件進(jìn)行加密/解密運(yùn)算將會(huì)占用了大量的 CPU

資源，從而影響了整機(jī)性能。模塊化路由器還可以使用加密卡(模塊化硬件插卡)

以硬件方式完成數(shù)據(jù)的加/解密運(yùn)算，消除了路由器 VRP 主體軟件處理 IPSec 對(duì)性

能的影響，提高了路由器的工作效率。

(1)? 加密卡進(jìn)行加密/解密的工作過程是：路由器主機(jī)將需要加密/解密的數(shù)據(jù)發(fā)送

給加密卡，加密卡對(duì)數(shù)據(jù)進(jìn)行加密/解密運(yùn)算并給數(shù)據(jù)添加/刪除加密幀頭，然

后加密卡將完成加密/解密的數(shù)據(jù)發(fā)送回主機(jī)，由主機(jī)轉(zhuǎn)發(fā)處理后的數(shù)據(jù)。

(2)? 多塊加密卡分流處理用戶數(shù)據(jù)：模塊化路由器支持多塊加密卡，主機(jī)軟件通過

輪循方式將用戶數(shù)據(jù)發(fā)送給多塊狀態(tài)正常的加密卡進(jìn)行分流處理， 實(shí)現(xiàn)多塊加

密卡對(duì)用戶數(shù)據(jù)的同步處理，從而提高了數(shù)據(jù)加密/解密的處理速度。

(3)? 對(duì)于應(yīng)用于加密卡側(cè)的 IPSec，當(dāng)該路由器所有加密卡都狀態(tài)異常則加密卡將

無法進(jìn)行 IPSec處理，此時(shí)若已經(jīng)打開主機(jī)備份處理開關(guān)，并且 VRP主體軟

件 IPSec模塊支持該加密卡使用的加密/認(rèn)證算法，則 VRP主體軟件 IPSec

模塊將替代加密卡進(jìn)行 IPSec處理，實(shí)現(xiàn)對(duì)加密卡的備份。

3. IPSec對(duì)報(bào)文的處理過程

IPSec對(duì)報(bào)文的處理過程如下(以 AH協(xié)議為例)：

(1)? 對(duì)報(bào)文添加認(rèn)證頭：從 IPSec隊(duì)列中讀出 IP模塊送來的 IP報(bào)文，根據(jù)配置選

擇的協(xié)議模式(傳輸或是隧道模式)對(duì)報(bào)文添加 AH頭，再由 IP層轉(zhuǎn)發(fā)。

(2)? 對(duì)報(bào)文進(jìn)行認(rèn)證后解去認(rèn)證頭：IP層收到 IP報(bào)文經(jīng)解析是本機(jī)地址，并且協(xié)

議號(hào)為 51，則查找相應(yīng)的協(xié)議開關(guān)表項(xiàng)，調(diào)用相應(yīng)的輸入處理函數(shù)。此處理

函數(shù)對(duì)報(bào)文進(jìn)行認(rèn)證和原來的認(rèn)證值比較，若相等則去掉添加的 AH頭，還原

出原始的 IP報(bào)文再調(diào)用 IP輸入流程進(jìn)行處理；否則此報(bào)文被丟棄。

4. 與 IPSec相關(guān)的幾個(gè)術(shù)語

數(shù)據(jù)流：在 IPSec中，一組具有相同源地址/掩碼、目的地址/掩碼和上層協(xié)議

的數(shù)據(jù)集稱為數(shù)據(jù)流。通常，一個(gè)數(shù)據(jù)流采用一個(gè)訪問控制列表(acl)來定

義，所有為 ACL 允許通過的報(bào)文在邏輯上作為一個(gè)數(shù)據(jù)流。為更容易理解，

數(shù)據(jù)流可以比作是主機(jī)之間一個(gè)的 TCP 連接。IPSec 能夠?qū)Σ煌臄?shù)據(jù)流施

加不同的安全保護(hù)，例如對(duì)不同的數(shù)據(jù)流使用不同的安全協(xié)議、算法或密鑰。

安全策略：由用戶手工配置，規(guī)定對(duì)什么樣的數(shù)據(jù)流采用什么樣的安全措施。

對(duì)數(shù)據(jù)流的定義是通過在一個(gè)訪問控制列表中配置多條規(guī)則來實(shí)現(xiàn)， 在安全策

略中引用這個(gè)訪問控制列表來確定需要進(jìn)行保護(hù)的數(shù)據(jù)流。一條安全策略由

“名字”和“順序號(hào)”共同唯一確定。

安全策略組：所有具有相同名字的安全策略的集合。在一個(gè)接口上，可應(yīng)用或

者取消一個(gè)安全策略組， 使安全策略組中的多條安全策略同時(shí)應(yīng)用在這個(gè)接口

上，從而實(shí)現(xiàn)對(duì)不同的數(shù)據(jù)流進(jìn)行不同的安全保護(hù)。在同一個(gè)安全策略組中，

順序號(hào)越小的安全策略，優(yōu)先級(jí)越高。

安全聯(lián)盟(Security Association，簡(jiǎn)稱 SA)：IPSec對(duì)數(shù)據(jù)流提供的安全服

務(wù)通過安全聯(lián)盟 SA來實(shí)現(xiàn)，它包括協(xié)議、算法、密鑰等內(nèi)容，具體確定了如

何對(duì) IP 報(bào)文進(jìn)行處理。一個(gè) SA 就是兩個(gè) IPSec 系統(tǒng)之間的一個(gè)單向邏輯連

接，輸入數(shù)據(jù)流和輸出數(shù)據(jù)流由輸入安全聯(lián)盟與輸出安全聯(lián)盟分別處理。安全

聯(lián)盟由一個(gè)三元組(安全參數(shù)索引(SPI)、IP 目的地址、安全協(xié)議號(hào)(AH

或 ESP))來唯一標(biāo)識(shí)。安全聯(lián)盟可通過手工配置和自動(dòng)協(xié)商兩種方式建立。

手工建立安全聯(lián)盟的方式是指用戶通過在兩端手工設(shè)置一些參數(shù)， 然后在接口

上應(yīng)用安全策略建立安全聯(lián)盟。自動(dòng)協(xié)商方式由 IKE生成和維護(hù)，通信雙方基

于各自的安全策略庫經(jīng)過匹配和協(xié)商，最終建立安全聯(lián)盟而不需要用戶的干

預(yù)。

安全聯(lián)盟超時(shí)處理：安全聯(lián)盟更新時(shí)間有“計(jì)時(shí)間”(即每隔定長的時(shí)間進(jìn)行

更新)和“計(jì)流量”(即每傳輸一定字節(jié)數(shù)量的信息就進(jìn)行更新)兩種方式。

安全參數(shù)索引(SPI)：是一個(gè) 32 比特的數(shù)值，在每一個(gè) IPSec 報(bào)文中都攜

帶該值。SPI、IP目的地址、安全協(xié)議號(hào)三者結(jié)合起來共同構(gòu)成三元組，來唯

一標(biāo)識(shí)一個(gè)特定的安全聯(lián)盟。在手工配置安全聯(lián)盟時(shí)，需要手工指定 SPI的取

值。 為保證安全聯(lián)盟的唯一性， 每個(gè)安全聯(lián)盟需要指定不同的 SPI值； 使用IKE

協(xié)商產(chǎn)生安全聯(lián)盟時(shí)，SPI將隨機(jī)生成。

安全提議： 包括安全協(xié)議、 安全協(xié)議使用的算法、 安全協(xié)議對(duì)報(bào)文的封裝形式，

規(guī)定了把普通的 IP報(bào)文轉(zhuǎn)換成 IPSec報(bào)文的方式。在安全策略中，通過引用

一個(gè)安全提議來規(guī)定該安全策略采用的協(xié)議、算法等。

IPSec的配置

IPSec的配置包括：

創(chuàng)建加密訪問控制列表

定義安全提議

選擇加密算法與認(rèn)證算法

創(chuàng)建安全策略

在接口上應(yīng)用安全策略組

加密卡實(shí)現(xiàn) IPSec的配置包括：

創(chuàng)建加密訪問控制列表

配置加密卡

使能 VRP主體軟件備份

定義安全提議

選擇加密算法與認(rèn)證算法

創(chuàng)建安全策略

在接口上應(yīng)用安全策略組

案例：

功能實(shí)現(xiàn)：建立安全隧道?兩條，是10網(wǎng)段可以與20網(wǎng)段通信，10網(wǎng)段可以與30網(wǎng)段通信

首先配置交換機(jī)

配置 路由器R1 建立策略，安全提議，設(shè)置加密與認(rèn)證的方式

R2上配置

R3上配置

測(cè)試

首先在10網(wǎng)段上進(jìn)行測(cè)試

在20網(wǎng)段的pc上進(jìn)行測(cè)試

在30網(wǎng)段上進(jìn)行測(cè)試

總結(jié)

以上是生活随笔為你收集整理的网络服务器安全协议,ipsec 网络安全协议的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。