IPSec:
What:是一个开放的安全通信协议族
目的:在IPV4和IPV6网络环境中为网络层流量提供灵活的安全服务
IPsec 未皮恩:
What:基于IPsec协议族在IP层实现的安全虚拟专用网
How:通过在数据包中插入一个预定义头部的方式,来保障上层协议数据的安全
提供的安全服务:访问控制、机密性、完整性、数据源鉴别、重传攻击保护、不可否认性
工作模式
传输模式和隧道模式
传输模式:用于主机和主机的端到端通信的数据保护
封装:在原始包头与IP数据之间插入IPsec包头
隧道模式:用于私网与私网之间,建立安全未皮恩通道
封装:在新IP包头与原始IP包头之间插入IPsec包头
通信保护协议:
AH协议(鉴别头)和ESP协议(封装安全载荷)
协议的区别:主要区别是AH不加密所保护的数据包,只是通过校验保证完整性
两个安全数据库:
SPD(安全策略数据库)和 SAD(安全关联数据库)
IKE:秘钥交换管理;分为两个阶段:
阶段一:作用:建立经过身份验证和安全保护的通道,称为IKE SA
两种模式:主模式和野蛮模式
主模式:发送六个数据包,前四个都是明文
野蛮模式:仅发送三个数据包,前两个是明文
主要区别在于:身份ID;主模式只能是通过IP地址作为身份ID,而野蛮模式,IP、字符串等都可以
阶段二:作用:用阶段一建立的IKE SA协商安全服务,最终建立IPsec SA工作原理
与机制:首 先在使用IPSEc时,需要建立安全可靠的通信连接(安全联盟SA):使
用IKE可以动态的建立SA(安 全联盟),省去繁琐的手工配置,SA建立后,则可以
使用ESP或者AH协议进行数据通讯。
DPD
What:死亡对等体检测
目的:防止标准IPsec出现隧道黑洞和在隧道异常时,可以重连隧道
工作原理:设置空闲计时器,对端每发送一个加密的IPsecs数据包,则会重置空闲计时器,
如果空闲计时器计时结束,下次发包之前,会发送DPD包检测对方是否存活,默认发出5次。
NAT
What:网络地址转换
干什么的:解决了私网不能访问公网的问题
原理:私网地址访问公网时,NAT设备上会对源IP地址修改为自己的公网IP地址,并分配一个闲置的空闲
端口号,然后记录下转化IP地址时的这个映射关系。
分类有三种: 静态NAT、动态地址NAT、网络地址端口转化NAPT
静态NAT:通过手动设置,可以使得通信能够映射到某个特定的私有网络和端口
动态NAT:它有一个地址池,可以解决多个地址的映射问题,实现多对一映射
NAPT:包含两种转换方式:SNAT和DNAT
SNAT:修改数据包的源地址
DNAT:修改数据包的目的地址
缺陷:不能解决公网访问私网,解决方法:nat server
TCP/UDP的伪首部校验机制:它会对源地址、目的地址、保留字节、传输层协议、TCP/UDP的报文进行校验。如果传输过程中校验和出现差错,则会丢弃
Nat 下的 未批恩 部署:由于nat下会改变IP包头中的源地址,鉴于这种情况下
Nat设备还需要改变伪首部校验和
在双 未皮恩 设备的nat情况下出现的问题:
AH:
传输模式:改变源地址时,会与插入的IPsec AH头部的摘要不一致,接收方肯定会校验失败并且丢弃
隧道模式:与上面类似
ESP:
传输模式:修改源地址后,但是对于IP数据里面的校验和无法修改,因为已经被加密
隧道模式:它修改的源地址只是新的IP头部,并不会对原始的IP产生影响
所以这种情况下只能使用ESP的隧道模式
在多 未皮恩 设备的nat情况下出现的问题;
在多台未皮恩设备情况下,采用ESP的隧道模式时,IKE在协商时,规定了源端口和目的端口必须为500,所以多台情况下,必有协商失败的设备
这种情况下的解决办法;NAT-T技术
原理:在使用NAT-T解决IPsec 未皮恩 时,在ESP的增加了新的UDP头部,以此来解决端口复用问题,它可以允许源端口为非500端口,目的端口是UDP4500端口
