前情回顾

• 前面介绍的GRE隧道协议，可以字LAN之间通过Internet建立隧道，实现网络间资源共享，但是GRE隧道协议不能实现加密功能，传输的数据不受加密保护，为了实现在隧道间传输数据包收到加密保护，需要使用IPSec隧道协议

什么是LAN

VPN提供的安全服务有哪些方面

• 机密性
• 完整性（即传输的数据不被修改）
• 验证服务

VPN可以在哪些层上实现

• 链路层，例如：点对点隧道协议（PPTP）
• 二层转发，例如：二层转发协议（L2FP）、二层隧道协议（L2TP）
• 网络层，例如：IP安全协议（IPSec）
• 传输层，例如：安全套接字协议（SSL）

IPSec隧道协议

简介

• 一种开放标准的安全框架结构
• 基于AH、ESP等安全协议的基础上网络层隧道协议

使用特性

• 在两台设备之间开始传递数据之前，他们之间通过协商，建立安全联盟（SA）搭建传递数据的安全通道，采用的协议方法可以是手工配置或者采用标准的IKE（Internet Key Exchange）协议方式

IPsec中的两个安全协议

• 鉴别首部AH协议，提供源点身份鉴别和数据完整性检查，但是不提供保密
• ESP除了提供AH那两种特性外海提供了保密功能

常用术语
对等体：参与Ipsece的设备亦或者其他设备，例如网关路由器、计算机
安全联盟
安全参数索引
安全联盟生命周期
交换集
加密映射条目

IPSec连接过程

IPSec启动

• 一个对等体向两一个对等体发送需要保护的数据流量时，则IPSec进程自动启动，也可以通过手动启动

建立管理连接（IKE SA）

• 启动IPSec进程后，首要做的事情就是建立IKE安全联盟，即建立管理连接，在这个阶段完成的主要任务如下：

策略协商

• 确认采用什么样的加密方法(AES-256,AES-192等等），采用 什么样的完整性检查方法（SHA1、MD5），采用什么样的验证方法（KerberosV5、证书或预共享秘钥），采用什么样的创建秘钥方法（DH Group14、DH Group2等）

验证身份

交换参数并创建管理秘钥

• IKE的一个主要特征就是不在网络上传递秘钥，只在网络传递创建秘钥需要的相关参数，然后由通信双方计算机依据交换的相关参数分别产生相同管理秘钥，管理秘钥主要用于对管理连接中交换的数据加密和解密。

建立数据连接（IPSec SA)

• 完成IKE安全联盟建立之后，可以创建IPSec数据连接，在这个阶段主要任务：

策略协商

• 去顶IpSec采用什么安全协议（AH、ESP等）、完整性与验证方法采用什么样的散列方法（MD5、SHA1等），采用什么样的加密方法（AES-256,AES-192等等）

创建会话秘钥

将SA、秘钥以及安全参数索引SPI应用于驱动程序

• SPI是每对SA的标志符、每对SA有唯一的SPI值

传输数据

IPSec配置

• IPSec配置是为了建立IPSec安全联盟

两种方式

• 手工配置IPSec安全联盟，手工配置的不需要IKE介入，加密秘钥由管理员手工设置，但是需要指定更多的参数，安全性低
• 通过IKE协商创建配置IPSec安全联盟，这里面的加密秘钥是由IKE产生，但是需要对IKE参数进行配置，加密秘钥可以定期自动协商更新，安全性较高

IPSec配置过程中主要有以下任务

• 创建加密访问列表
• 定义变换集
• 创建加密映射条目
• 将加密映射条目应用到接口上
• 配置默认生命周期
• 监视和维护IPSec

下次再记录配置的过程