IPSec穿越NAT介绍.
直连IPSEC的野蛮模式NAT穿越
直连IPSEC的野蛮模式NAT穿越IPsec(Internet Protocol Security)是一种网络协议套件,用于实现网络通信的加密和认证。
野蛮模式(Aggressive Mode)是IPsec的一种传输模式,不需要建立安全通道即可交换密钥。
NAT(Network Address Translation)是用于在网络中分配和转换IP地址的技术。
在传统的IPsec通信中,通常使用隧道模式(Tunnel Mode)来传输IP数据包。
但是,当通信双方之间存在NAT设备时,隧道模式会受到限制。
为了解决这个问题,就出现了野蛮模式NAT穿越。
野蛮模式NAT穿越指的是在存在NAT设备的网络环境中,使用IPsec 的野蛮模式进行通信,并成功穿越NAT设备,实现加密和认证的目的。
下面将详细介绍野蛮模式NAT穿越的原理和实现过程。
野蛮模式NAT穿越的原理:1. NAT设备的限制:NAT设备通过转换IP地址和端口号来实现对网络地址的转换,但这会导致IPsec报文中的IP地址和端口号不一致,从而导致通信失败。
2. 野蛮模式的优势:野蛮模式不需要建立安全通道即可交换密钥,因此可以在初始的IKE(Internet Key Exchange)阶段就完成阶段一和阶段二的协商,减少了通信的时间和开销。
3.NAT穿越的技术:为了实现野蛮模式的NAT穿越,需要使用一些技术手段来绕过NAT设备的限制,包括端口映射和引导报文。
野蛮模式NAT穿越的实现步骤:1. 发起方(Initiator)向响应方(Responder)发送IKE_INIT请求。
该请求包含了发起方的随机数和IP地址等信息。
2.响应方收到IKE_INIT请求后,生成响应方的随机数和IP地址等信息,并使用这些信息生成哈希值和共享密钥。
3.发起方收到响应方的IKE_INIT响应后,生成发起方的哈希值和共享密钥。
4.握手阶段一结束后,发起方和响应方交换生成的哈希值和共享密钥。
IPsecNAT穿越协议
IPsecNAT穿越协议IPsecNAT穿越协议是一种用于解决IPsec(Internet Protocol Security)协议在网络地址转换(Network Address Translation,NAT)环境下遇到的问题的技术。
在传统的网络环境中,NAT设备会修改IP数据包的源地址和目的地址,这会影响IPsec协议的功能和安全性。
为了克服这一问题,IPsecNAT穿越协议应运而生。
1. 协议概述IPsecNAT穿越协议是一种允许IPsec协议在NAT环境下正常运行的技术。
它通过在NAT设备上进行特殊处理,使得IPsec协议能够成功建立安全连接,并确保数据的机密性和完整性。
IPsecNAT穿越协议遵循IPsec协议的标准,但在NAT设备上增加了额外的功能来处理与NAT相关的问题。
2. 协议原理IPsecNAT穿越协议的原理是通过在NAT设备的出口和入口处进行地址转换和端口映射,使得经过NAT的IPsec数据包能够正确地传递到目标主机。
具体而言,IPsecNAT穿越协议使用一种称为IPsec封装(IPsec encapsulation)的技术,将原始的IPsec数据包封装在NAT设备的IP包中,并在目标主机上解封装还原,从而绕过了NAT设备对IPsec数据包的修改。
3. 协议实现IPsecNAT穿越协议的实现需要在NAT设备上进行特殊配置和设置。
首先,NAT设备需要支持IPsecNAT穿越协议,并具备相应的功能和算法。
其次,NAT设备需要在NAT表中维护与IPsec会话相关的信息,以便正确地进行地址转换和端口映射。
此外,NAT设备还需要对IPsec数据包进行检查和处理,确保其完整性和安全性。
综上所述,IPsecNAT穿越协议的实现需要NAT设备和IPsec协议栈共同配合。
4. 协议优势IPsecNAT穿越协议的出现,为在NAT环境下使用IPsec提供了便利和可行性。
它解决了IPsec协议无法穿越NAT设备的问题,允许用户在享受IPsec安全性的同时,无需考虑NAT对IPsec数据包的影响。
IPsecVPN协议的NAT穿透与防火墙配置
IPsecVPN协议的NAT穿透与防火墙配置IPsec VPN协议的NAT穿透与防火墙配置在互联网时代,数据传输的安全性与稳定性成为了企业和个人用户所关注的重要问题。
虚拟私人网络(VPN)的出现有效地解决了这一问题,而IPsecVPN协议则在VPN中扮演着重要的角色。
然而,由于网络环境的复杂性,许多用户在使用IPsec VPN时遇到了NAT穿透和防火墙配置的问题。
本文将探讨这些问题,并提供适当的解决方案。
一、NAT穿透的概念及问题1. NAT穿透的概念NAT穿透指的是在网络中使用了网络地址转换(NAT)设备的情况下,如何实现对IPsec VPN的正常通信。
NAT设备通常会对传输的数据包进行源地址和目的地址的转换,以实现多个内部网络与外部网络的通信。
然而,这种地址转换对IPsec VPN的建立和传输过程产生了一定的影响。
2. NAT穿透的问题及解决方案在进行NAT穿透时,常见的问题包括:a) IPsec VPN的建立问题:由于NAT设备对数据包进行了地址转换,使得原始IP地址无法直接访问到VPN服务端。
为了解决此问题,可以使用NAT-T(NAT Traversal)技术,通过在IPsec数据包中封装额外的数据,以绕过NAT设备的限制。
b) IPsec数据包的加密问题:NAT穿透过程中,由于对数据包进行了地址转换,导致IPsec头部中的源地址和目的地址无法与实际通信双方相匹配。
为了解决此问题,可以使用NAT设备支持的IPsec Passthrough功能,将IPsec头部从转换中豁免,保证加密的完整性。
c) NAT设备与IPsec VPN设备的兼容性问题:不同厂商的NAT设备和IPsec VPN设备对NAT穿透的支持程度各不相同,可能存在兼容性问题。
解决此问题的方法是选择厂商间兼容性较好的设备,或者升级设备的固件以支持更高级的协议。
二、防火墙配置和IPsec VPN协议1. 防火墙的作用防火墙是网络安全的重要组成部分,通过规则配置来控制网络流量的进出,保护内部网络免受外部威胁。
IPSec的NAT穿越详细介绍
IPSec的NAT穿越详细介绍1. 前言IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。
关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。
NAT穿越(NATTraversal,NAT-T)就是为解决这个问题而提出的,在RFC3947,3948中定义,在RFC4306中也加入了NAT-T的说明,但并没废除RFC3947,3948,只是不区分阶段1和阶段2。
该方法将ESP协议包封装到UDP包中(在原ESP协议的IP包头外添加新的IP头和UDP 头),使之可以在NAT环境下使用的一种方法,这样在NAT的内部网中可以有多个IPSec 主机建立VPN通道进行通信。
2. IKE协商使用UDP封装RFC3947主要描述如何检测是否存在NAT设备,并如何在IKE中协商使用UDP来封装IPSec 数据包。
本帖隐藏的内容2.1 检测功能是检测通信中是否存在NAT设备和对方是否支持NAT-T。
正常的IKE协商使用的UDP包的源和目的端口都是500,如果存在NAT设备,大多数情况下该UDP包的源端口部分会改变,只有少数情况不改。
接收方如果发现UDP源端口不是500,那可以确定数据是经过了NAT设备。
另外,确定NAT的位置也是重要的,在检测对方失效(DPD)时,应该尽量由在NAT设备后面的一方主动进行DPD探测,而从另一方探测有可能会失败。
检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的,如果自身支持NAT-T,在IKE 开始交互就要发送这种载荷,载荷内容是“RFC 3947”的MD5值,也就是十六进制的“4a131c81070358455c5728f20e95452f”。
判断是否在NAT设备后面是通过发送NAT-D(NAT-Discovery)载荷来实现的,载荷内容是IP 地址和UDP端口的HASH值,NAT-D载荷格式如下,载荷类型值是20:1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8+---------------+---------------+---------------+---------------+| Next Payload | RESERVED | Payload length |+---------------+---------------+---------------+---------------+~ HASH of the address and port ~+---------------+---------------+---------------+---------------+HASH值的计算方法如下,具体HASH是根据协商来确定的:HASH = HASH(CKY-I | CKY-R | IP | Port)CKY-I和CKY-R是协商发起方和响应方的cookie。
ipsec nat穿越原理
IPsec NAT穿越原理什么是IPsec?IPsec(Internet Protocol Security)是一种网络协议,用于在IP网络上提供安全的数据传输。
它通过加密和认证机制来保护数据的完整性、机密性和身份验证。
IPsec可以在两个主机之间或两个子网之间建立安全的通信链路。
它可以用于远程访问VPN(Virtual Private Network)连接、站点到站点VPN连接以及移动设备的安全通信。
为什么需要NAT穿越?NAT(Network Address Translation)是一种网络技术,用于将私有IP地址转换为公共IP地址,以实现多个设备共享同一个公网IP地址。
然而,由于NAT会改变IP头部信息,导致加密后的数据包无法正确解析。
这就给使用IPsec进行加密通信的应用程序带来了困扰。
因此,需要一种方法来克服NAT 对IPsec的限制,实现安全的通信。
IPsec NAT穿越原理1. NAT Traversal为了解决NAT对IPsec的限制问题,提出了NAT Traversal技术。
NAT Traversal 允许在经过NAT设备时建立和维护安全通道。
a. UDP封装NAT Traversal使用UDP封装技术将原始的IPsec数据包封装在UDP数据包中。
由于UDP是一种无连接的协议,它可以通过NAT设备传输到目标主机。
在发送IPsec数据包之前,发送方会将IPsec数据包封装在UDP数据包中,并将目的端口设置为特定的值(通常是4500)。
这样,NAT设备就会将整个UDP数据包转发到目标主机。
b. NAT检测NAT Traversal还引入了一种称为”keepalive”的机制来检测是否经过了NAT设备。
当IPsec设备与对等方建立连接时,它会周期性地向对等方发送keepalive消息。
如果对等方收到了keepalive消息,则说明没有经过NAT设备。
如果对等方未收到keepalive消息,则说明可能经过了NAT设备,并且需要使用UDP封装技术。
NAT_T实现IPSEC穿越NAT的全面分析
502005.8网络安全网络安全技术与应用0 引言IPSEC作为网络实时通信的安全协议,已经成为INTERNET的实际安全标准;而NAT也有效解决了目前IPV4地址的严重不足。
当IPSEC数据包穿越NAT设备时,会产生严重的兼容性问题。
NAT-T(NAT-Traversal)是目前较为流行的一种解决两者兼容性问题的方案,并越来越被广泛采用。
1 IPSEC、NAT工作原理1.1 IPSECIPSEC是IETF制定的保障INTERNET通信安全的标准。
该标准主要由安全协议AH(Authentication)和ESP(EncapsulatingSecurity Payload),密钥交换协议IKE(Internet Key Exchange)两大部份组成。
为在Internet上进行数据通讯的用户提供加密、数据完整性、认证IP报文及防止重放攻击等安全服务。
IPSEC规范定义了两种保护通信数据包的模式:传输模式(Transport Mode):在数据包的IP报头和其余部分之间插入IPSEC信息。
图1 传输模式隧道模式(Tunnel Mode):保留原有的IP数据包,然后在数据包外面封装新的IP报头和IPSEC信息。
图2 隧道模式1.2 NAT(Network Address Translation)NAT是为了缓解日益紧张的Internet公网地址匮乏的问题,而采用的一种将内部私有网络IP地址映射为外部公网IP地址的技术标准。
主要可以划分为静态NAT,动态NAT和网络地址端口转换NAPT三种类型。
其基本工作原理(以NAPT为例)为:NAT设备接受内部主机的数据包,将该包的内部IP地址和TCP/UDP端口号转换为自身的公网IP地址和特定的端口号,然后将数据包送往目标主机;同时,将此映射关系存表。
当NAT收到目标主机的应答后,查表,修改目标主机的IP地址和端口号并回送给相应的客户端。
2 IPSEC、NAT的兼容性问题IPSEC和NAT的设计思想存在矛盾。
NAT穿越
TURN方式解决NAT问题的思路与STUN相似,也是私中的VOIP终端通过某种机制预先得公上的服务(STUN方式 得到的为出口NAT上外部,TURN方式得到为TURN Server上的公),然后在报文净载中所要求的信息就直接填写 该公。[Page]
TURN的全称为Traversal Using Relay NAT,即通过Relay方式穿越NAT.TURN应用模型通过分配TURN Server的和端口作为私中VOIP终端对外的接受和端口,即私终端发出的报文都要经过TURN Server进行Relay转 发,这种方式除了具有STUN方式的优点外,还解决了STUN应用无法穿透对称NAT(Symmetric NAT)以及类似的 Firewall设备的缺陷,同时TURN支持基于TCP的应用,如H323协议。此外TURN Server控制分配和端口,能分配 RTP/RTCP对(RTCP端口号为RTP端口号加1)作为私终端用户的接受,避免了STUN方式中出口NAT对RTP/RTCP端口 号的任意分配,使得客户端无法收到对端发来的RTCP报文(对端发RTCP报文时,目的端口号缺省按RTP端口号加 1发送)。
STUN协议最大的优点是无需现有NAT/FW设备做任何改动。由于实际应用中,已有大量的NAT/FW,并且这些 NAT/FW并不支持VoIP的应用,如果用MIDCOM或NAT/ALG方式来解决此问题,需要替换现有的NAT/FW,这是不太容 易的。而采用STUN方式无需改动NAT/FW,这是其最大优势,同时STUN方式可在多个NAT串联的络环境中使用,但 MIDCOM方式则无法实现对多级NAT的有效控制。
STUN的全称是Simple Traversal of UDP Through Network Address Translators,即UDP对NAT的简单 穿越方式。应用程序(即STUN CLIENT)向NAT外的STUN SERVER通过UDP发送请求STUN消息,STUN SERVER收到 请求消息,产生响应消息,响应消息中携带请求消息的源端口,即STUN CLIENT在NAT上对应的外部端口。然后响 应消息通过NAT发送给STUN CLIENT,STUN CLIENT通过响应消息体中的内容得知其NAT上的外部,并将其填入以 后呼叫协议的UDP负载中,告知对端,本端的RTP接收和端口号为NAT外部的和端口号。由于通过STUN协议已在NAT 上预先建立媒体流的NAT映射表项,故媒体流可顺利穿越NAT.
IPSEC NAT穿越配置举例
下,配置ACL规则
port1 [ port2 ] ] [ icmp-type {icmp-type icmp-code | icmp-message} ]
[ precedence precedence ] [ dscp dscp ] [ established ] [ tos tos ] [ time-
Copyright © 2007 杭州华三通信技术有限公司
IPsec NAT穿越配置举例
3.2 配置步骤
配置野蛮模式下IPsec穿越NAT,需要以下步骤:
z 配置访问控制列表 z 配置 IKE 对等体 z 定义安全提议 z 创建安全策略 z 在接口上应用安全策略
1. 配置访问控制列表
在IPsec/IKE组建的VPN隧道中,若存在NAT网关设备,且NAT网关设备对VPN业务数据流进 行了NAT转换的话,则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP 端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设 备,则将在之后的IPsec数据传输中使用UDP封装(即将IPsec报文封装到IKE协商所使用的UDP连 接隧道里)的方法,避免了NAT网关对IPsec报文进行篡改(NAT网关设备将只能够修改最外层的 IP和UDP报文头,对UDP报文封装的IPsec报文将不作修改),从而保证了IPsec报文的完整性 (IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。目前仅在IKE野蛮模式 下支持NAT穿越,主模式下不支持。
操作命令
在系统视图下,创建一个
1
高级访问控制列表
[H3C] acl number acl-number [ match-order { config | auto } ]
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPSec穿越NAT的解决方法
UDP封装 当使用传输模式传送报文时,如果在传 输中IP头部发生变化,TCP或UDP头部将 包含错误的校验和,根据本地策略必须完 成以下任务之一。 在实现中可以对被NAT破坏的包含协议 进行修正。传输模式、隧道模式下ESP封 装的报文格式如图所示
IPsec的传输模式与隧道模式
IP head-n AH head ESP head IP head payload
隧道模式
Internet 主机 A 数据 加密后的数据 A B 数据 IP分组 (1)传输模式 Internet 主机 A IP分组 数据 A B A B 数据 LAN系统① 隧道
SPD:Security Policy Database (安全策略数据库)
可部署 协议兼容性 方向性 远程访问 防火墙兼容性 可扩展性 模式支持 后向兼容和互操作性 安全性
2、IPSec中的安全组合(SA)
需求:认证、加密算法及其参数、密钥 SA:为使通信双方的认证/加密算法及其参数、密钥的一致, 相互间建立的联系被称为安全组合或安全关联(Security Association)。由于SA是单向的,因此在双向通信时要建立 两个SA。对于某一主机来说,某个会话的输出数据和输入数据 流需要两个独立的SA。 SA是通过密钥管理协议在通信双方之间进行协商,协商完毕后, 双方都在它们的安全关联数据库(SAD)中存储该SA参数。 SA由一个三元组唯一地标识,该三元组为安全索引参数SPI、 一个用于输出处理的目的IP地址(或用于输入处理的源IP地址) 和协议(如AH或ESP)。
ESP尾标
ESP认证数据
ESP认证数据
IPSec穿越NAT的解决方法
编辑IP头中的总长字段、协议字段以 及校验和字段,使之与所得的报文相 匹配
穿越NAT对IPSec的影响
IPSec-NAT兼容性的安全考虑 IKE协商的安全考虑 UDP封装的安全考虑
IANA考虑
穿越NAT对IPSec的影响
ESP处理
进入处理
若IP分组分片,先重组 使用目的IP地址、IPSec协议、SPI进入SAD索引 SA,如果查找失败,则丢弃分组 使用分组的选择符进入SPD中查找与之匹配的策略, 根据策略检查该分组是否满足IPSec处理要求 检查抗重播功能 如SA指定需要认证,则检查数据完整性 解密
序列号(Sequence Number Field):单调增加的32位无 符号整数,利用该域抵抗重发攻击(Replay Attack)。 认证数据(Authentication Data Variable):是一个长度 可变的域,长度为32比特的整数倍。具体格式因认证算法而 异 。该认证数据也被称为数据报的完整性校验值(ICV)。
地址的修改使得接收端的AH认证失败 上层信息(端口号、校验和)的加密,使端口无法 得知,校验和验证失败 针对ESP问题,IETF的解决方案:在ESP头标前插 入一个UDP头标
IPSec穿越NAT存在的兼容性问题
NAT固有的问题 NAT实现方面的问题 辅助功能引入的问题
IPSec穿越NAT的兼容性要求
6、IPSec隧道模式的应用-VPN
VPN( Virtual Private Networks )虚拟专网 在虚拟专网中,任意两个节点之间的连接并没有传统 专网所需的端到端的物理链路,而是利用某种公众网 的资源动态组成的。 IETF草案理解基于IP的VPN为:"使用IP机制仿真出 一个私有的广域网“ 是通过隧道技术在公共数据网络上仿真一条点到点的 专线技术。 所谓虚拟,是指用户不再需要拥有实际的专用线路, 而是使用Internet公共线路。所谓专用网络,是指用 户可以为自己制定一个最符合自己需求的网络。 IPSec VPN就是利用IPSec技术在Internet上建立的 VPN
安全参数索引(Security Parameters Index):此32比特和目的(或源) IP地址、IPSec协议(AH或ESP)组合即可确定SA,以确定采用的IPSec 协议、操作模式、密码算法、密钥等。当建立新SA时,SPI的产生由目的 系统选择。
认证范围(IP头标中可变域除外) IP头标 AH头标 TCP/UDP头标 净荷(用户数据) (传输模式) 下一个头标(8) 净荷长度(8) SPI[安全参数索引(32比特)] 序列号 认证数据[长度可变(32比特的整数倍)] 保留(16)
IKE协商 在阶段l协商中,需要针对NAT执行2种探测: 探测是否支持NAT穿越; 探测在通信路径中是否存在NAT。 NAT可能会改变IKEUDP的源端口,因而接收 方必须能处理源端口不是500的IKE报文。
IPSec穿越NAT的解决方法
UDP封装 在进行UDP封装时,要进行一些辅助处 理。当使用隧道模式传送报文时,内部 IP头中会包含不适合当前网络的地址
虚拟专网的用途
The Internet
背景:
实现: 通过隧道技术(协 议)和一些认证、 加密机制,实现跨 越Internet的互连
跨国(地区)公司 分支机构的LAN互连
谢谢!
安全参数索引(SPI)
SPI是为了唯一标识SA而生成的一个32位整数。包含 在AH头标和ESP头标中,其值1~255被IANA留作将 来使用,0被保留,目前有效的值为256~232-1 有了SPI,相同源、目的节点的数据流可以建立多个 SA
安全关联数据库(SAD)
SAD包含现行的SA条目,每个SA由三元组索引,一个SAD 条目包含下面域:Байду номын сангаас
I P v 4 分 组 <原IPv4分组> 原IP头标 TCP头标 数据
①加上AH头标后的IPv4分组 原IP头标 AH头标 TCP头标 数据 传 认证范围(IP头标中可变域除外) 输 ESP净荷 模 ②加上ESP后的IPv4分组 式 原IP头标 ESP头标 TCP头标 数据 加密范围 认证范围 ①加上AH头标后的IPv4分组 新IP头标 AH头标 原IP头标 TCP头标 数据 隧 认证范围(新IP头标中可变域除外) 道 ESP净荷 模 ②加上ESP后的IPv4分组 式 新IP头标 ESP头标 原IP头标 TCP头标 数据 ESP尾标 加密范围 认证范围
IPSec-NAT兼容性的安全考虑 IKE协商的安全考虑 UDP封装的安全考虑 IANA考虑
穿越NAT对IPSec的影响
IPSec-NAT兼容性的安全考虑 IKE协商的安全考虑 UDP封装的安全考虑 IANA考虑
穿越NAT对IPSec的影响
IPSec-NAT兼容性的安全考虑 IKE协商的安全考虑 UDP封装的安全考虑 IANA考虑
加密头标ESP
ESP提供数据保密、无连接完整性、抗 重播服务 ESP大都采用对称密码体制加密数据, 这是因为公钥密码系统的运算量要比对 称密钥系统大得多 ESP使用消息认证码(MAC)提供认证 服务
加密头标
认证范围 ESP净荷 IP头标 ESP头标 TCP/UDP头标 净荷 (用户数据) 加密范围 SPI[安全参数索引(32比特)] 序列号(32比特) 净荷数据(变长) ESP尾标 ESP (认证数据)
IPSec穿越NAT介绍
赵有星 中国海洋大学
主要内容
1. 2. 3. 4. 5.
6.
IPSec介绍及存在问题 IPSec中的安全组合(SA) 认证头标AH与加密头标ESP IPSec的传输模式与隧道模式 IPSec穿越NAT的解决方法及其影响 IPSec隧道模式的应用-VPN
IPSec 介绍
IPSec(IP Security)是Internet的网络 层安全协议,于1995年8月发布IPSec 1.0, 1998年11月发布了IPSec 2.0,同时支持 IPv4和IPv6,它规定了:
IP分组的头标 (源地址A目的地址B) 主机 A B B
主机 网 关 x (SPD) 数据 A B X Y X Y A B 数据 网 关 Y (SPD) 加密后的数据 原IP分组头标 网关间用的新IP头标 LAN系统② 数据 A B A B 数据 B
(2)隧道模式
5、IPSec穿越NAT的解决方法
~ ~
填充(0~255字节) 填充长度(8比特) 认证数据(变长) 下一个头标(8比特)
ESP处理
外出处理
使用分组的相应选择符(目的IP地址、端口、传输 协议等)查找安全策略数据库(SPD)获取策略, 如分组需要IPSec处理,且其SA已建立,则与选择 符相匹配的SPD项将指向安全关联数据库中的相应 SA,否则则使用IKE建立SA。 生成或增加序列号 加密分组,SA指明加密算法,一般采用对称密码算 法 计算完整性校验值
4、IPSec的传输模式与隧道模式
传输模式 IP head
AH head
ESP head
payload
在传输模式中,AH和ESP头标被插在IP头标及其他选项 (或扩展头标)之后,但在传输层协议之前。它保护净 荷的完整性和机密性。
在隧道模式下,AH或ESP头标插在IP头标之前,另外生 成一个新的IP头放在前面,隧道的起点和终点的网关地 址就是新IP头的源/目的IP地址。 保护整个IP分组
3、认证头标AH
AH协议提供无连接的完整性、数据源认 证和抗重放保护服务 不提供保密性服务 AH使用消息认证码(MAC)对IP进行 认证
认证头标
认证范围(IP头标中可变域除外) IP头标 AH头标 TCP/UDP头标 净荷(用户数据) (传输模式) 下一个头标(8) 净荷长度(8) SPI[安全参数索引(32比特)] 序列号 认证数据[长度可变(32比特的整数倍)] 保留(16)