一、理论学习
视频链接:
【华为数通路由交换HCIP/HCNP(完)】https://www.bilibili.com/video/BV1u741177K9?p=61&vd_source=074288d86d8ebe37b20564c9a1bc2d47(IPSec VPN)
文章链接:
https://blog.csdn.net/qq_74338624/article/details/134042457(IPSec VPN)
什么是IPSec VPN
IPSec VPN是一种通过公共互联网(如家庭宽带、4G/5G网络)建立一条加密、安全、私密的隧道,将两个或多个私有网络(如公司总部和分公司)安全地连接起来的技术。
可以把它想象成在混乱的公共道路上,为你的数据修建了一条专属的、有装甲保护的秘密隧道,防止任何人偷看、窃听或篡改。
IPSec VPN两大核心协议
AH(认证头协议)和ESP(封装安全载荷协议)
AH:
发送方对整个原始的IP数据包和一个只有发送方和接收方知道的秘密密钥,一起进行哈希计算,生成一个独一无二和固定长度的“指纹”(即ICV,完整性校验值)。将这个“指纹”和一些用于协商的参数(如SPI、序列号)一起,放入一个AH头中,然后将AH头插入到原始IP数据包中。将这个带有AH头的新数据包发送出去。接收方收到数据包后,使用相同的秘密密钥和哈希算法,对收到的数据包(不包括AH头中会被正常改变字段,如TTL)重新计算“指纹”。接收方将自己计算的“指纹”与AH头中携带的“指纹”进行对比。如果两者完全一致,证明数据包在传输过程中既未被篡改,也来自合法的发送方。如果不一致,则丢弃该数据包。
这是理解AH与ESP区别的核心。AH的保护范围涵盖了几乎整个原始IP数据包,包括:
- AH头本身
- 原始IP头(源/目标IP地址等)
- 上层协议数据(如TCP/UDP头和实际数据)
AH的局限性
由于AH对原始的IP头(包含IP地址)也进行了认证,而IP地址在通过NAT设备时是必须被修改的。一旦IP地址被修改,接收方计算的哈希值就会与发送方计算的不同,导致验证失败,数据包被丢弃。因此,AH与NAT不兼容,这极大地限制了它在当今网络环境(普遍使用NAT)中的应用。
ESP:
ESP 是一个功能更全面的协议,它提供以下三种安全服务:
- 加密:对数据载荷进行加密,确保数据的机密性,防止窃听。
- 数据完整性校验:确保数据未被篡改。
- 数据源认证:验证数据来源。
注意:在IPSec标准中,加密和认证在ESP中都是可选的,但在实际应用中,为了安全起见,总是同时启用加密和认证。
ESP的工作方式与AH有显著不同,因为它涉及到对原始数据的封装:
- 加密与认证:发送方将原始IP数据包的数据载荷(在传输模式下)或整个原始IP数据包(在隧道模式下)进行加密。然后,对这个加密后的部分(以及ESP头的一部分)进行认证,生成ICV。
- 封装:将加密后的数据、ESP头(含SPI、序列号)和ESP尾(含填充字节)组合在一起,最后附上ICV。
- 传输:发送这个封装后的新数据包。
- 解密与验证:接收方首先验证ICV,确保数据的完整性和真实性。验证通过后,再对加密部分进行解密,恢复出原始的数据。
保护范围的关键点
ESP的保护范围是“分段”的:
- 仅认证部分:
- ESP头
- 加密后的数据(即被封装的原数据)
- ESP尾
- 仅加密部分:
- 被封装的原数据(即上层协议信息或整个原IP包)
- 不保护部分:
- 新的IP头(在隧道模式下)或原始IP头(在传输模式下)
因为ESP不保护外部的IP头,所以它可以很好地与NAT协同工作(配合NAT-T技术)。
AH就像一个公证人,他检查整个文件的完整性并证明其来源,但不隐藏文件内容。因为它太“较真”(连IP地址变动都不允许),在现代网络中几乎无处容身。
ESP就像一个装甲运钞车,它不仅保护车内货物(加密),还确保车辆在运输途中未被调包(认证),并且它足够灵活,可以适应复杂的路况(如NAT)
IPSec VPN的两种工作模式
隧道模式
隧道模式把原始的数据和原始的IP包头给进行了封装,并且加上了新的IP包头和IPSec包头
传输模式
隧道模式是网络网关之间用来保护整个网络流量的,它给原始数据包套上了一个全新的“外壳”。
传输模式是两台主机之间用来保护他们之间通信内容的,它只保护原始数据包的“内核”,保留原始“外壳”。
特性 | 隧道模式 | 传输模式 |
保护内容 | 整个原始IP数据包(IP头+数据) | 仅原始IP数据包的数据载荷 |
新IP头 | 有 | 无(使用原始IP头) |
安全性 | 更高(隐藏了内部网络拓扑) | 稍低(原始IP地址可见) |
开销 | 更大(增加了一个新IP头) | 更小 |
常见应用 | 站点到站点VPN | 远程访问VPN |
好记的比喻 | “套娃”或“装甲车运纸箱” | “给信纸加密,但用原信封” |
IPSec VPN工作流程
总结下来就是,两次协商,第一次先协商怎么确认对方身份,建立一个安全的通道;第二次协商以什么方式加密文件
想象一下,你所在的分公司是 “特工A” ,总部是 “接头人B” 。你们要在混乱的互联网大街上传送机密文件。 总目标:建立一个绝对安全的秘密传送通道。 第一步:初次接头,建立安全联络渠道(IKE阶段一) 这个阶段的目标不是传文件,而是确认对方身份,并约定好以后如何秘密沟通。 对暗号,确认能力: 特工A 走过去说:“我能用AES-256加密,SHA-256做指纹,用2048位的密码本,我的身份是‘分公司’,你呢?”(这就是协商IKE SA参数)。 接头人B 一听,和自己会的技能对上了,就回答:“没问题,我们就用这套方案。”(确认IKE SA提议)。 共创一把“主钥匙”: 接下来,A和B不会直接交换真钥匙,而是进行一个神奇的数学魔术(DH交换)。 他们各自拿出一部分秘密数字,通过公开计算,各自独立地得出了同一把“主钥匙”。即使街上的小偷听到了全部对话,也算不出这把钥匙是什么。这把“主钥匙”是未来所有安全的基础。 亮明身份,最终确认: 现在,A和B要用只有他们才知道的终极暗号(预共享密钥PSK) 来确认对方不是冒牌货。 A用“主钥匙”和“终极暗号”对刚才的对话生成一个“签名”递给B。B也用自己的方式验证这个签名。验证通过! 双方身份确认无误。 ✅ 至此,IKE阶段一完成:A和B之间建立了一条安全的、被加密保护的指挥通道。以后他们在这个通道里说话,外人听不见也听不懂。 第二步:敲定细节,建立文件传送机制(IKE阶段二) 现在,在安全的指挥通道里,他们开始商量具体怎么传送真正的机密文件。 商量送货方式: 特工A 在安全通道里说:“我们送文件时,用ESP装甲车,里面用AES-256加密锁,外面用SHA-256封条,走隧道模式,你看行吗?”(这就是协商IPSec SA参数)。 接头人B 回复:“同意!”(确认IPSec SA提议)。 制造一次性密码本: 他们利用之前的“主钥匙”,快速生成一套专门用来加密本次文件的新钥匙(IPSec会话密钥)。 为了更安全,他们甚至可以再做一次简化的数学魔术(PFS完美前向保密),确保即使“主钥匙”哪天泄露了,小偷也无法解开今天传送的文件。 ✅ 至此,IKE阶段二完成:A和B各自手里都拿到了一份完全相同的 《文件传送安全指南》 。这份指南里写明了: 用什么车运:ESP协议 怎么锁:AES-256加密 怎么封箱:SHA-256认证 钥匙是什么:那套新生成的会话密钥 这份指南,就是 IPSec SA。 第三步:正式传送,文件安全往来(数据传输) 现在,万事俱备,可以开始正式传送文件了! 打包发货:当分公司有用户要访问总部的数据时(这被称为 “感兴趣流”),特工A就会出动。他严格按照《文件传送安全指南》,把原始数据(比如一个网页请求)塞进“ESP装甲车”里,用指南里的钥匙加密、贴封条,然后通过互联网大街发送给B。 收货验货:接头人B收到装甲车。 先核对“封条”是否完整,确保没人掉包或篡改(完整性验证)。 用《指南》里的钥匙打开车锁,取出里面的原始文件(解密)。 最后,把这个原始文件交给总部里真正的收件人(比如服务器)。 反向流程完全一样。从此,两个局域网之间的所有通信,都通过这条安全的秘密隧道进行,外面的人既看不到里面发生了什么(加密),也无法篡改内容(认证)。 总结一下,整个流程就三步: 建立安全屋(IKE阶段一):确认对方是“自己人”,并创建一个安全的谈判环境。 制定运输方案(IKE阶段二):在安全屋里,敲定如何武装护送“真实数据”的所有细节。 武装押运(数据传输):按照定好的方案,一遍又一遍地、安全地传送数据。结合实际题目可以知道IPSec需要先进行两次协商,所以可以这道题目中有两次协商配置,还有对端接口配置,我们要将外网internet作为FW和BC的备用链路,又不想让攻击者知道我们之间的沟通,所以使用了IPSec VPN建立了加密通道和传输内容的加密
还可以从题目中得知,双方想要建立连接,老化时间和加密方式必须是一样的
