IPSec VPN是目前VPN技術(shù)中點(diǎn)擊率非常高的一種技術(shù)，同時(shí)提供VPN和信息加密兩項(xiàng)技術(shù)，今天就來介紹一下IPSec VPN的原理。

IPSec VPN的應(yīng)用場(chǎng)景

1. Site-to-Site(站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān)):不同分支機(jī)構(gòu)在互聯(lián)網(wǎng)的3個(gè)不同地方，各使用一個(gè)商務(wù)領(lǐng)航網(wǎng)關(guān)相互建立VPN隧道，企業(yè)內(nèi)網(wǎng)（若干PC）之間的數(shù)據(jù)通過這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。
2. End-to-End(端到端或者PC到PC):兩個(gè)PC之間的通信由兩個(gè)PC之間的IPSec會(huì)話保護(hù)，而不是網(wǎng)關(guān)。
3. End-to-Site(端到站點(diǎn)或者PC到網(wǎng)關(guān))：兩個(gè)PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進(jìn)行保護(hù)。

IPSec是一個(gè)框架性架構(gòu)，具體由兩類協(xié)議組成：

1. AH協(xié)議（Authentication Header，使用較少）：可以同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)來源確認(rèn)、防重放等安全特性；AH常用摘要算法（單向Hash函數(shù)）MD5和SHA1實(shí)現(xiàn)該特性。
2. ESP協(xié)議（Encapsulated Security Payload，使用較廣）：可以同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法實(shí)現(xiàn)數(shù)據(jù)加密，使用MD5或SHA1來實(shí)現(xiàn)數(shù)據(jù)完整性。

IPSec封裝模式

IPSec提供的兩種封裝模式（傳輸Transport模式和隧道Tunnel模式）

上圖是傳輸模式的封裝結(jié)構(gòu)，再來對(duì)比一下隧道模式：

可以發(fā)現(xiàn)傳輸模式和隧道模式的區(qū)別：

1. 傳輸模式在AH、ESP處理前后IP頭部保持不變，主要用于End-to-End的應(yīng)用場(chǎng)景。

2. 隧道模式則在AH、ESP處理之后再封裝了一個(gè)外網(wǎng)IP頭，主要用于Site-to-Site的應(yīng)用場(chǎng)景。

以下通過在華為AR系列路由器配置IPsec-vpn站點(diǎn)到多站點(diǎn)的案例，來熟悉一下IPsec-vpn的配置流程。

拓?fù)鋱D

實(shí)驗(yàn)?zāi)康模嚎偛颗c兩個(gè)分部之間業(yè)務(wù)數(shù)據(jù)要求加密傳輸，在兩個(gè)分支機(jī)構(gòu)與總部之間建立ipsec-vpn。

在配置ipsec-vpn之前先要確保R3、R4和R2之間的公網(wǎng)互通。這里簡(jiǎn)單得使用靜態(tài)路由，把R3、R4和R2的路徑打通。分別在R3、R4和R2配置默認(rèn)路由，執(zhí)行如下命令

ip route-static 0.0.0.0 0.0.0.0 202.10.10.1 //R3

ip route-static 0.0.0.0 0.0.0.0 202.10.30.1 //R2

ip route-static 0.0.0.0 0.0.0.0 202.10.20.1 //R4

分支機(jī)構(gòu)1配置IPsec-vpn

1、定義訪問控制列表，匹配需要保護(hù)的數(shù)據(jù)流

acl number 3000 

 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

2、創(chuàng)建安全提議，并選取安全協(xié)議

ipsec proposal ipsec

 esp authentication-algorithm sha1

 esp encryption-algorithm aes-128

3、創(chuàng)建IKE提議，選擇aes-cbc-128加密算法

ike proposal 1

 encryption-algorithm aes-cbc-128

 dh group5

4、配置IKE對(duì)等體

ike peer peer1 v1

 exchange-mode aggressive

 pre-shared-key simple sbt123456

 ike-proposal 1

 remote-address 202.10.30.2

5、創(chuàng)建ip-sec安全策略

ipsec policy p1 1 isakmp

 security acl 3000

 ike-peer peer1

 proposal ipsec

6、在公網(wǎng)接口g0/0/1調(diào)用ipsec-policy

interface GigabitEthernet0/0/1

 ip address 202.10.10.3 255.255.255.0 

 ipsec policy p1

分支機(jī)構(gòu)2配置和分支機(jī)構(gòu)1的配置基本一樣，這里就不貼配置腳本了。

總部配置IPsec-vpn

配置總部的ipsec安全提議和安全策略，總部配置過程中不可以指定的對(duì)等體，不要做訪問控制列表，否則容易沖突。需要使用ipsec-policy-template 模板 和ipsec-profile 同時(shí)把ipsec policy 和模板關(guān)聯(lián)起來。總部機(jī)構(gòu)的配置至關(guān)重要，一定要細(xì)心。

在總部的公網(wǎng)接口g0/0/0調(diào)用策略

interface GigabitEthernet0/0/0

 ip address 202.10.30.2 255.255.255.0 

 ipsec policy p2

驗(yàn)證結(jié)果

用分支機(jī)構(gòu)私網(wǎng)用戶去訪問總部的私網(wǎng)用戶，測(cè)試數(shù)據(jù)是否加密，查看封裝，能否通訊

抓包觀察

通過抓包觀察數(shù)據(jù)已經(jīng)加密 新ip+esp+私網(wǎng)ip+data，因?yàn)閿?shù)據(jù)被加密所以在這里我們看不到私網(wǎng)的數(shù)據(jù)和私網(wǎng)的ip地址。