IPSec協議簡介

1. IPSec協議

IPSec 是一系列網絡安全協議的總稱，它是由 IETF(Internet Engineering Task

Force，Internet工程任務組)開發的，可為通訊雙方提供訪問控制、無連接的完整

性、數據來源認證、反重放、加密以及對數據流分類加密等服務。

IPSec 是網絡層的安全機制。通過對網絡層包信息的保護，上層應用程序即使沒有

實現安全性，也能夠自動從網絡層提供的安全性中獲益。這打消了人們對 ×××

(Virtual Private Network，虛擬專用網絡)安全性的顧慮，使得 ××× 得以廣泛應

用。

2. 加密卡

在實際應用中，IPSec對報文的處理包括進行 ESP協議處理、加密后給報文添加認

證頭、對報文完成認證后刪除認證頭。為了確保信息的安全性，加密/解密、認證的

算法一般比較復雜，路由器 IPSec 軟件進行加密/解密運算將會占用了大量的 CPU

資源，從而影響了整機性能。模塊化路由器還可以使用加密卡(模塊化硬件插卡)

以硬件方式完成數據的加/解密運算，消除了路由器 VRP 主體軟件處理 IPSec 對性

能的影響，提高了路由器的工作效率。

(1)? 加密卡進行加密/解密的工作過程是：路由器主機將需要加密/解密的數據發送

給加密卡，加密卡對數據進行加密/解密運算并給數據添加/刪除加密幀頭，然

后加密卡將完成加密/解密的數據發送回主機，由主機轉發處理后的數據。

(2)? 多塊加密卡分流處理用戶數據：模塊化路由器支持多塊加密卡，主機軟件通過

輪循方式將用戶數據發送給多塊狀態正常的加密卡進行分流處理， 實現多塊加

密卡對用戶數據的同步處理，從而提高了數據加密/解密的處理速度。

(3)? 對于應用于加密卡側的 IPSec，當該路由器所有加密卡都狀態異常則加密卡將

無法進行 IPSec處理，此時若已經打開主機備份處理開關，并且 VRP主體軟

件 IPSec模塊支持該加密卡使用的加密/認證算法，則 VRP主體軟件 IPSec

模塊將替代加密卡進行 IPSec處理，實現對加密卡的備份。

3. IPSec對報文的處理過程

IPSec對報文的處理過程如下(以 AH協議為例)：

(1)? 對報文添加認證頭：從 IPSec隊列中讀出 IP模塊送來的 IP報文，根據配置選

擇的協議模式(傳輸或是隧道模式)對報文添加 AH頭，再由 IP層轉發。

(2)? 對報文進行認證后解去認證頭：IP層收到 IP報文經解析是本機地址，并且協

議號為 51，則查找相應的協議開關表項，調用相應的輸入處理函數。此處理

函數對報文進行認證和原來的認證值比較，若相等則去掉添加的 AH頭，還原

出原始的 IP報文再調用 IP輸入流程進行處理；否則此報文被丟棄。

4. 與 IPSec相關的幾個術語

數據流：在 IPSec中，一組具有相同源地址/掩碼、目的地址/掩碼和上層協議

的數據集稱為數據流。通常，一個數據流采用一個訪問控制列表(acl)來定

義，所有為 ACL 允許通過的報文在邏輯上作為一個數據流。為更容易理解，

數據流可以比作是主機之間一個的 TCP 連接。IPSec 能夠對不同的數據流施

加不同的安全保護，例如對不同的數據流使用不同的安全協議、算法或密鑰。

安全策略：由用戶手工配置，規定對什么樣的數據流采用什么樣的安全措施。

對數據流的定義是通過在一個訪問控制列表中配置多條規則來實現， 在安全策

略中引用這個訪問控制列表來確定需要進行保護的數據流。一條安全策略由

“名字”和“順序號”共同唯一確定。

安全策略組：所有具有相同名字的安全策略的集合。在一個接口上，可應用或

者取消一個安全策略組， 使安全策略組中的多條安全策略同時應用在這個接口

上，從而實現對不同的數據流進行不同的安全保護。在同一個安全策略組中，

順序號越小的安全策略，優先級越高。

安全聯盟(Security Association，簡稱 SA)：IPSec對數據流提供的安全服

務通過安全聯盟 SA來實現，它包括協議、算法、密鑰等內容，具體確定了如

何對 IP 報文進行處理。一個 SA 就是兩個 IPSec 系統之間的一個單向邏輯連

接，輸入數據流和輸出數據流由輸入安全聯盟與輸出安全聯盟分別處理。安全

聯盟由一個三元組(安全參數索引(SPI)、IP 目的地址、安全協議號(AH

或 ESP))來唯一標識。安全聯盟可通過手工配置和自動協商兩種方式建立。

手工建立安全聯盟的方式是指用戶通過在兩端手工設置一些參數， 然后在接口

上應用安全策略建立安全聯盟。自動協商方式由 IKE生成和維護，通信雙方基

于各自的安全策略庫經過匹配和協商，最終建立安全聯盟而不需要用戶的干

預。

安全聯盟超時處理：安全聯盟更新時間有“計時間”(即每隔定長的時間進行

更新)和“計流量”(即每傳輸一定字節數量的信息就進行更新)兩種方式。

安全參數索引(SPI)：是一個 32 比特的數值，在每一個 IPSec 報文中都攜

帶該值。SPI、IP目的地址、安全協議號三者結合起來共同構成三元組，來唯

一標識一個特定的安全聯盟。在手工配置安全聯盟時，需要手工指定 SPI的取

值。 為保證安全聯盟的唯一性， 每個安全聯盟需要指定不同的 SPI值； 使用IKE

協商產生安全聯盟時，SPI將隨機生成。

安全提議： 包括安全協議、 安全協議使用的算法、 安全協議對報文的封裝形式，

規定了把普通的 IP報文轉換成 IPSec報文的方式。在安全策略中，通過引用

一個安全提議來規定該安全策略采用的協議、算法等。

IPSec的配置

IPSec的配置包括：

創建加密訪問控制列表

定義安全提議

選擇加密算法與認證算法

創建安全策略

在接口上應用安全策略組

加密卡實現 IPSec的配置包括：

創建加密訪問控制列表

配置加密卡

使能 VRP主體軟件備份

定義安全提議

選擇加密算法與認證算法

創建安全策略

在接口上應用安全策略組

案例：

功能實現：建立安全隧道?兩條，是10網段可以與20網段通信，10網段可以與30網段通信

首先配置交換機

配置 路由器R1 建立策略，安全提議，設置加密與認證的方式

R2上配置

R3上配置

測試

首先在10網段上進行測試

在20網段的pc上進行測試

在30網段上進行測試

總結

以上是生活随笔為你收集整理的网络服务器安全协议,ipsec 网络安全协议的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。