VPN技术之IPsec VPN技术介绍-6W100-整本手册.pdf

李华

112

1页

4次

2022-06-26

免费下载

IKEv2 （ Internet Key Exchange

Version 2，互联网密钥交换协议第2版）

是IKE协议的增强版本。相对于IKE，

IKEv2具有更强的抗攻击能力和密钥交换

能力，且交互的报文数量更少。

IPsec

技术介绍

IPsec（IP Security，IP安全）是IETF制定的一个开放的IP层安全框架协议，它通过在特定通信方之间建立

IPsec隧道，为网络中传输的数据提供高质量、基于密码学的安全保证。IPsec是一种传统的实现三层VPN

（Virtual Private Network，虚拟专用网络）的安全技术。

运行机制

简介

应用场景

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

局域网之间的安全互联

远程接入是指，出差员工或合作伙伴在非固定场所，通过不安全的网络接入核心网络，并访问核心网络的内部资

源。移动用户可通过L2TP方式远程接入企业总部网络，但是L2TP没有加密功能，安全性较低。通过部署L2TP

over IPsec VPN，在用户终端和IPsec网关之间建立L2TP over IPsec隧道可以保障通信数据的安全性。

企业分支与总部之间、企业分支与分支之间通过在各自的IPsec网关之间建立IPsec隧道，实现局域网之间的安

全互联。局域网之间的安全互联主要包括如下三种组网方式：

 点到点VPN - IPsec tunnel：IPsec网关之间建立IPsec隧道，保障局域网之间IP报文的安全性。

 点到点VPN - L2TP over IPsec tunnel：IPsec网关之间的报文先进行L2TP封装，再用IPsec封装，借

助IPsec保障局域网之间L2TP报文的安全性。

 点到点VPN - GRE over IPsec tunnel：先对报文进行GRE封装，再进行IPsec封装，借助IPsec保障局

域网之间GRE报文的安全性。

移动用户远程安全接入

AH（Authentication Header，认证头）

协议可提供数据来源认证、数据完整性检

查和抗重放功能，但不能对数据进行加密。

AH协议

ESP （ Encapsulating Security

Payload，封装安全载荷）协议可提供

数据来源认证、数据完整性检查和抗重

放功能，且能够对数据进行加密。

IKE（Internet Key Exchange，互联网

密钥交换）协议采用DH（Diffie Hellman）

交换技术实现在不安全的网络中安全地传

输密钥，可为IPsec提供密钥交换服务，并

能管理和维护IPsec隧道，简化管理员配置。

Internet Protocol Security

技术价值

IPsec采用对称密钥系统对数据进行加密，保

证数据的机密性。用于加密和解密的对称密钥

可以手工配置，也可以通过IKE协议自动协商生

成。常用的对称加密算法包括DES、3DES、

AES、SM4等。

保护数据的机密性

重放报文是指已经被IPsec处理过的重复报文。

对重放报文的处理没有实际意义，且解封装会

消耗设备大量资源。IPsec通过抗重放窗口机

制检查重放报文，将重放报文在解封装之前丢

弃，降低设备资源消耗。

认证数据的真实性

防御重放报文攻击动态智能切换IPsec隧道

IPsec可以在网络存在多条链路的情况下，

选择高质量的链路建立IPsec隧道，实现多

条优质IPsec隧道动态切换，有效提高网络

稳定性和可靠性。

IPsec通过认证算法对IP通信发送方进行数据

来源认证和数据完整性检查，从而保证数据

真实可靠。用于认证的对称密钥可以手工配

置，也可以通过IKE协议自动协商生成。常用

的认证算法包括MD5、SHA1、SM3等。

IPsec基本运行机制如下：

1. 通信两端通过如下方式确认数据保护及认证策略（主要包括安全协议、认证算法、加密算法、共享密钥以

及密钥的生存时间等），并建立IPsec隧道：

 静态手工方式：通过命令行配置IPsec隧道的所有信息，配置完成后，隧道即建立。

 IKE自动协商方式：通过IKE动态协商IPsec策略，完成IKE配置后，由发送的数据流触发建立隧道。

 量子加密方式：通过从量子密钥服务器获取的量子密钥自动协商建立隧道，配置完成后，由发送的数

据流触发建立隧道。

2. 通过安全协议对IPsec隧道上发送和接收的报文进行加密和认证，实现对特定数据的安全传输。

L2TP over IPsec tunnel

GRE over IPsec tunnel

IPsec协议不是一个单独的协议，它是一系列为IP网络提供安全保障的协议和服务的集合，主要包括通信保护协

议（AH、ESP）和密钥交换管理协议（IKE、IKEv2）。

协议框架

IP报文

L2TP头

IPsec头

IP报文

IPsec头

IP报文

GRE头

IPsec tunnel

IP报文

IPsec头

IP报文

IKE协议

ESP协议

IKEv2协议

Internet

IPsec tunnel

加密密钥

比较签名是

否相同

是

否

使用密钥加密

使用密钥解密

需要保护的数据流

认证密钥

计算签名计算签名

签名

签名签名

签名

IPsec网关

企业总部

企业分支

IPsec网关

Internet

IPsec网关

Internet

企业总部移动用户

IKEv2 （ Internet Key Exchange

Version 2，互联网密钥交换协议第2版）

是IKE协议的增强版本。相对于IKE，

IKEv2具有更强的抗攻击能力和密钥交换

能力，且交互的报文数量更少。

IPsec

技术介绍

IPsec（IP Security，IP安全）是IETF制定的一个开放的IP层安全框架协议，它通过在特定通信方之间建立

IPsec隧道，为网络中传输的数据提供高质量、基于密码学的安全保证。IPsec是一种传统的实现三层VPN

（Virtual Private Network，虚拟专用网络）的安全技术。

运行机制

简介

应用场景

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

局域网之间的安全互联

远程接入是指，出差员工或合作伙伴在非固定场所，通过不安全的网络接入核心网络，并访问核心网络的内部资

源。移动用户可通过L2TP方式远程接入企业总部网络，但是L2TP没有加密功能，安全性较低。通过部署L2TP

over IPsec VPN，在用户终端和IPsec网关之间建立L2TP over IPsec隧道可以保障通信数据的安全性。

企业分支与总部之间、企业分支与分支之间通过在各自的IPsec网关之间建立IPsec隧道，实现局域网之间的安

全互联。局域网之间的安全互联主要包括如下三种组网方式：

 点到点VPN - IPsec tunnel：IPsec网关之间建立IPsec隧道，保障局域网之间IP报文的安全性。

 点到点VPN - L2TP over IPsec tunnel：IPsec网关之间的报文先进行L2TP封装，再用IPsec封装，借

助IPsec保障局域网之间L2TP报文的安全性。

 点到点VPN - GRE over IPsec tunnel：先对报文进行GRE封装，再进行IPsec封装，借助IPsec保障局

域网之间GRE报文的安全性。

移动用户远程安全接入

AH（Authentication Header，认证头）

协议可提供数据来源认证、数据完整性检

查和抗重放功能，但不能对数据进行加密。

AH协议

ESP （ Encapsulating Security

Payload，封装安全载荷）协议可提供

数据来源认证、数据完整性检查和抗重

放功能，且能够对数据进行加密。

IKE（Internet Key Exchange，互联网

密钥交换）协议采用DH（Diffie Hellman）

交换技术实现在不安全的网络中安全地传

输密钥，可为IPsec提供密钥交换服务，并

能管理和维护IPsec隧道，简化管理员配置。

Internet Protocol Security

技术价值

IPsec采用对称密钥系统对数据进行加密，保

证数据的机密性。用于加密和解密的对称密钥

可以手工配置，也可以通过IKE协议自动协商生

成。常用的对称加密算法包括DES、3DES、

AES、SM4等。

保护数据的机密性

重放报文是指已经被IPsec处理过的重复报文。

对重放报文的处理没有实际意义，且解封装会

消耗设备大量资源。IPsec通过抗重放窗口机

制检查重放报文，将重放报文在解封装之前丢

弃，降低设备资源消耗。

认证数据的真实性

防御重放报文攻击动态智能切换IPsec隧道

IPsec可以在网络存在多条链路的情况下，

选择高质量的链路建立IPsec隧道，实现多

条优质IPsec隧道动态切换，有效提高网络

稳定性和可靠性。

IPsec通过认证算法对IP通信发送方进行数据

来源认证和数据完整性检查，从而保证数据

真实可靠。用于认证的对称密钥可以手工配

置，也可以通过IKE协议自动协商生成。常用

的认证算法包括MD5、SHA1、SM3等。

IPsec基本运行机制如下：

1. 通信两端通过如下方式确认数据保护及认证策略（主要包括安全协议、认证算法、加密算法、共享密钥以

及密钥的生存时间等），并建立IPsec隧道：

 静态手工方式：通过命令行配置IPsec隧道的所有信息，配置完成后，隧道即建立。

 IKE自动协商方式：通过IKE动态协商IPsec策略，完成IKE配置后，由发送的数据流触发建立隧道。

 量子加密方式：通过从量子密钥服务器获取的量子密钥自动协商建立隧道，配置完成后，由发送的数

据流触发建立隧道。

2. 通过安全协议对IPsec隧道上发送和接收的报文进行加密和认证，实现对特定数据的安全传输。

L2TP over IPsec tunnel

GRE over IPsec tunnel

IPsec协议不是一个单独的协议，它是一系列为IP网络提供安全保障的协议和服务的集合，主要包括通信保护协

议（AH、ESP）和密钥交换管理协议（IKE、IKEv2）。

协议框架

IP报文

L2TP头

IPsec头

IP报文

IPsec头

IP报文

GRE头

IPsec tunnel

IP报文

IPsec头

IP报文

IKE协议

ESP协议

IKEv2协议

Internet

IPsec tunnel

加密密钥

比较签名是

否相同

是

否

使用密钥加密

使用密钥解密

需要保护的数据流

认证密钥

计算签名计算签名

签名

签名签名

签名

IPsec网关

企业总部

企业分支

IPsec网关

Internet

IPsec网关

Internet

企业总部移动用户

of 1

免费下载

h3c 数据安全

关注

评论