-
IPSEC VPN
基本原理(一)
IPS
EC
是一套比较完整成体系的
VPN
技
术,它规定了一系列的协议标准。如果不深入探究
I
PSEC<
/p>
的过于详细的内容,我们对于
IPSEC
大致按照以下几个方面理解。
1.
为什么要导入
IPSEC
协议
导入
IPSEC
协议,
原因有
2
个,
一个是原来的
TCP/IP
体系中间,
没有包括基于安全的设计,
任何人,只要能够搭入线路,即可分析所有的通讯
数据。
IPSEC
引进了完整的安全机制,包
< br>括加密、认证和数据防篡改功能。
另外一个原因,是因为
Internet
迅速发展,接
入越来越方便,很多客户希望能够利用这种
上网的带宽,实现异地网络的的互连通。
IPSEC
协议通过包封装技术,能够利用
Internet
可路由的地址
,封装内部网络的
IP
地址,
实现异地
网络的互通。
2.
包封装协议
设想现实一种通讯方式。假定发信和收信需要有身份证(成年人才有),儿童没有身份证,
不能发信收信。
有
2
个儿童,小张
和小李,他们的老爸是老张和老李。
现在小张和小李要写
信互通
,怎么办?
一种合理的实现方式
是:
小张写好一封信,
封皮写上
小张
-->
小李
<
/p>
然后给他爸爸,
老张
写一个信封,写上“
老张
-->
老李”,
把前面的那封信套在里面,发给老李,老李收到信以
后,打开,发现这封信是给
儿子的,就转给小李了。小李回信也一样,通过他父亲的名义发
回给小张。
这种通讯实现方式要依赖以下几个因素:
*
老李和老张可以收信发信
*
小张发信,把信件交给老张。
*
老张收到儿子的来信以后,能够正确的处理
(写好另外一个信封),
并且重新包装过的信
封能够正
确送出去。
*
另外一端,老李收到信拆开以后,能够正确地交割小李。
*
反过来的流程一样。
把信封的收发人改成
Internet
上的
IP
地址,把信件的内容改成
IP
的数据,这个模型就是
IPsec
的包封装模型
。小张小李就是内部私网的
IP
主机,他们的老爸就是
VPN
网关,本来
不能通讯的两个异地的局域网
,通过出口处的
IP
地址封装,就可以实现局域网对局域网的<
/p>
通讯。
引
进这种包封装协议,实在是有点不得已。理想的组网方式,
当然是全路由方式。
任意节点
之间可达(就像理想的现实通讯方式是任何人之间都可以直接写
信互通一样)。
Interne
t
协议最初设计的时候,
IP
地址是<
/p>
32
位,
当时是很足够了,
没有人能够预料到将来
Internet
能够发展到
现在的规模(相同的例子发生在电信短消息上面,由于
160
字
节的限
制,很大地制约了短消息的发展)。
按照
2
的
32
次方计算,理论上最
多能够容纳
40
亿个左
右
IP
地址。这些
IP
地址的
利用是很不充分的,另外大约有
70
%左右的
< br>IP
地址被美国分配
掉了
(谁让
人家发明并且管理
Internet
呢?)
所以对于中国来说,
可供分配的
IP
地址资源
非常有限。
既然
IP
地址有限,又要实现异地
lan-
lan
通讯,包封包,自然是最好的方式了。
3.
安全协议(加密)
依然参照上述的通讯模型。
假定老
张给老李的信件要通过邮政系统传递,
而中间途径有很多好事之徒,
很想偷看小张和
小李(小张小李作生意,通的是买卖信息)通讯,或者破坏其好事。
解决这个问题,
就要引进安全措施
。
安全可以让小李和小张自己来完成,
文字用暗号来表示,
也可以让他们的老爸代劳完成,写好信,交给老爸,告诉他传出去之前重新用暗号写一下
IPSEC
协
议的加密技术和这个方式是一样的,
既然能够把数据封装,
自然
也可以把数据变换,
只要到达目的地的时候,能够把数据恢复成原来的样子就可以了。这
个加密工作在
Interne
t
出口的
VPN
网关上完成。
4.
安全协议(数据认证)
还是以上述通讯模型为例,仅仅有加密是不够的。
把数据加密,对应这个模型中间,是把信件的文字用暗号表示。
好事之徒无法破解信件,
但是可以伪
造一封信,或者胡乱把信件改一通。这样,信件到达目
的地以后,内容就面目全非了,而
且收信一方不知道这封信是被修改过的。
为了防止这种结果,就要引入数据防篡改机制。万一数据被非法修改,能够很快识别出来。
这在现实通讯中间可以采用类似这样的算法,
计算信件特征
< br>(比如统计这封信件的笔划、
有
多少字),
然后把这些特征用暗号标识在信件后面。收信人会检验这个信件特征,
由于信
件
改变,特征也会变。所以,如果修改人没有暗号,改了以后,数据特征值就不匹配了。
收信
人可以看出来。
实际的
IPSEC
通讯的数据认证也是这样的,<
/p>
使用
md5
算法计算包文特征,
报文还原以后,
就
会检查这个特征码,看看是否
匹配。证明数据传输过程是否被篡改。
5.
安全协议(身份认证)
还是假定小张小李通讯模型。
<
/p>
由于老张和老李不在一个地方,
他们互相不能见面,
为了保证他们儿子通讯的安全。
老张和
老李必须要相
互确认对方是否可信。这就是身份认证问题。
假定老李老张以前见过面,
他们事先就约定了通讯暗号,
< br>比如
1234567890
对应
abcdefghij
,
那么写个<
/p>
255
,对应就是一个
bee
。
常见的
VPN
身份认证可以包括预共享密钥,
通讯双方
实现约定加密解密的密码,
直接通讯就
可以了。能够通讯就是朋
友,不能通讯就是坏人,区分很简单。
-
-
-
-
-
-
-
-
-
上一篇:LTE中SON是什么意思
下一篇:招投标中各个时间节点的时限规定