详解IPSec介绍 _IPSec

定义IPSec是Internet工程任务组（IETF）制定的一个开放的网络层安全框架协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合。IPSec主要包括安全协议AH（Authentication Header）和ESP（Encapsulating Security Payload），密钥管理交换协议IKE（Internet Key Exchange）以及用于网络认证及加密的一些算法等。
目的在IPv4协议诞生之时，Internet网络的规模还非常小，Internet网络的安全完全可以通过物理隔离的方式来保证。另一方面，所有人都未预料到以后Internet网络会爆炸式的增长，所以在设计和开发IPv4协议时，没有考虑IPv4协议的安全保护手段。
由于IP报文本身并不集成任何安全特性，恶意用户很容易便可伪造IP报文的地址、修改报文内容、重播以前的IP数据包以及在传输途中拦截并查看数据包的内容。因此，传统IP层协议不能担保收到的IP数据包的安全。在应用层保证网络安全的方法只对特定的应用有效，不够通用。人们迫切需要能够在IP层提供安全服务的协议，这样可以使TCP/IP高层的所有协议受益。IPSec（Internet Protocol Security）正是用来解决IP层安全性问题的技术。
IPSec主要通过加密与验证等方式，为IP数据包提供安全服务。IPSec可以提供的安全服务包括：

数据加密通过数据加密提供数据私密性。
数据源验证通过对发送数据的源进行身份验证，保证数据来自真实的发送者。
防止数据重放通过在接收方拒绝重复的数据包防止恶意用户通过重复发送捕获到的数据包进行攻击。

受益IPSec具有以下优点：

所有使用IP协议进行协议报文传输的应用系统和服务都可以使用IPsec，而不必对这些应用系统和服务本身做任何修改。
对协议报文的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高协议报文的安全性，可以有效防范网络攻击。

运营商场景
点到点VPN（Site-to-Site VPN）IPSec可以为任何基于IP的通信提供安全保护，既可以保护传统的固定网络，也可以保护LTE等移动网络。
点到点VPN也称网关到网关VPN（Gateway to Gateway VPN），可以保证两个网关之间IP流量的安全性。典型组网如图1所示。图1 点到点VPN组网

文章插图

点到点VPN部署非常灵活，而且当两个IPSec网关之间存在NAT设备时，支持IPSec NAT穿越。
企业场景
企业场景里IPSec主要用于公司之间通过IPSec VPN网络互连，典型应用是点到点VPN 。企业场景里IPSec的组网更加灵活多样。
点到点VPN（Site-to-Site VPN）点到点VPN主要用于公司总部与分支机构之间建立IPSec隧道，从而实现局域网之间互通。典型组网如图1所示。图1 点到点VPN组网

文章插图

点到多点VPN（Hub-Spoke VPN）实际组网中最常见的是公司总部与多个分支机构通过点到多点IPSec VPN互通，典型组网如图2所示。图2 Hub-Spoke VPN组网

文章插图

在这种组网中，用户可以根据实际需求配置IPSec 。
此时网络内数据流量可能存在如下两种情况：

各分支机构之间不需要通信只有总部和分支之间部署IPSec VPN，也只有总部和分支之间存在业务流量。如图3所示。图3 Hub-Spoke VPN组网应用一
各分支机构之间需要通信分支机构之间通过总部进行通信，如图4所示。图4 Hub-Spoke VPN组网应用二

分支机构用户上网控制在点到点或点到多点VPN中，分支机构用户上网可以通过两种方式来实现。

分支机构用户通过总部接入Internet为进行统一管理和监控，分支机构用户不允许通过自身的网关接入Internet，只能通过VPN接入到总部，然后通过总部访问Internet 。分支访问Internet的流量一般需要在总部做NAT才能到公网。如图5所示。图5 分支机构用户通过总部接入Internet
分支机构用户自行接入Internet对分支机构的上网流量不做控制，如图6所示。图6 分支机构用户自行接入Internet

安全协议
IPSec通过AH（Authentication Header，验证头）和ESP（Encapsulating Security Payload，封装安全载荷）两个安全协议实现IP报文的封装/解封装。