IPsec操作

在通過(guò)各種隧道和網(wǎng)關(guān)的過(guò)程中，會(huì)向數(shù)據(jù)包添加額外的標(biāo)頭，在每次通過(guò)網(wǎng)關(guān)時(shí)，數(shù)據(jù)報(bào)都包含在新的標(biāo)頭中。此標(biāo)頭中包含安全參數(shù)索引(SPI)，SPI一個(gè)系統(tǒng)用于查看數(shù)據(jù)包的算法和密鑰，此系統(tǒng)中的有效負(fù)載也受到保護(hù)，因?yàn)閷z測(cè)到數(shù)據(jù)中的任何更改或錯(cuò)誤，從而導(dǎo)致接收方丟棄數(shù)據(jù)包。

標(biāo)頭應(yīng)用于每個(gè)隧道的開(kāi)頭，然后在每個(gè)隧道的末尾進(jìn)行驗(yàn)證和刪除，這種方法可以防止不必要的開(kāi)銷累積。

IPSec VPN網(wǎng)關(guān)導(dǎo)入?yún)f(xié)議原因

導(dǎo)入IPSEC協(xié)議，原因有2個(gè)，一個(gè)是原來(lái)的TCP/IP體系中間，沒(méi)有包括基于安全的設(shè)計(jì)，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。

IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因，是因?yàn)镮nternet迅速發(fā)展，接入越來(lái)越方便，很多客戶希望能夠利用這種上網(wǎng)的帶寬，實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。

IPSEC協(xié)議通過(guò)包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。

IPSec VPN網(wǎng)關(guān)建立隧道

建立隧道說(shuō)起來(lái)簡(jiǎn)單，做起來(lái)不容易。如果兩個(gè)設(shè)備都有合法的公網(wǎng)IP，那么建立一個(gè)隧道是比較容易的。

如果一方在nat之后，那就比較麻煩了。一般通過(guò)內(nèi)部的vpn節(jié)點(diǎn)發(fā)起一個(gè)udp連接，再封裝一次ipsec，送到對(duì)方，因?yàn)閡dp可以通過(guò)防火墻進(jìn)行記憶，因此通過(guò)udp再封裝的ipsec 包，可以通過(guò)防火墻來(lái)回傳遞。

建立隧道以后，就確定隧道路由，即到哪里去，走哪個(gè)隧道。很多VPN隧道配置的時(shí)候，就定義了保護(hù)網(wǎng)絡(luò)，這樣，隧道路由就根據(jù)保護(hù)的網(wǎng)絡(luò)關(guān)系來(lái)決定。

但是這喪失了一定的靈活性。所有的ipsec VPN展開(kāi)來(lái)講，實(shí)現(xiàn)的無(wú)非就是以上幾個(gè)要點(diǎn)，具體各家公司，各有各的做法。但是可以肯定，目前在市場(chǎng)銷售的VPN，肯定都已經(jīng)解決了以上的問(wèn)題。