IPSec VPN 是很多用户在选择异地组网时经常使用的技术。在 VPN 技术中,IPSec VPN 的点击率非常高。它的应用场景主要分为三种:
1. Site-to-Site(站点到站点或网关到网关):例如,弯曲评论的三个机构分布在互联网的三个不同地点,它们各自使用一个商务领航网关来相互建立 VPN 隧道。通过这些网关建立的 IPSec 隧道,企业内网(包括若干 PC)之间的数据可以实现安全互联。
2. End-to-End(端到端或 PC 到 PC):在这种场景中,两个 PC 之间的通信是通过两个 PC 之间的 IPSec 会话来保护的,而不需要通过网关。
3. End-to-Site(端到站点或 PC 到网关):在这种场景中,两个 PC 之间的通信是由网关和异地 PC 之间的 IPSec 来保护的。
IPSec VPN 的核心是 IPSec 协议,它是一个框架性架构,由两类协议组成:
1. AH 协议(Authentication Header):使用较少,因为它无法提供数据加密。AH 协议通常使用 MD5 和 SHA1 等摘要算法来实现数据完整性、数据来源确认和防重放等功能。
2. ESP 协议(Encapsulated Security Payload):使用较广,因为它可以同时提供数据完整性、数据加密和防重放等功能。ESP 协议通常使用 DES、3DES、AES 等加密算法来实现数据加密,并使用 MD5 或 SHA1 来实现数据完整性。
IPSec VPN 提供了两种封装模式:传输模式和隧道模式。传输模式在 AH、ESP 处理前后保持 IP 头部不变,主要用于 End-to-End 的应用场景。而隧道模式则在 AH、ESP 处理之后再封装了一个外网 IP 头,主要用于 Site-to-Site 的应用场景。
在 Site-to-Site 的场景中,由于内网 PC 可能不直接连接互联网,因此需要使用隧道模式来确保数据包能够正确地穿过互联网并到达目的地。而在 PC 到 PC 的场景中,则建议使用传输模式,因为这样可以避免额外的 IP 头开销。
IPSec VPN 的协商过程包括兴趣流的定义、发起方和响应方的角色以及安全联盟(SA)的创建。兴趣流是指需要 IPSec 保护的流量,而发起方和响应方则负责协商 SA 的内容,包括密钥、密钥生存期、算法、封装模式等。为了确保安全性,第二阶段的 SA 永远是单向的,这意味着从发起方到响应方和从响应方到发起方的 SA 是单独协商的。