潘曉瑜

摘要：部署IPSec VPN時，在不同封裝模式中需使用不同協(xié)議下的數(shù)據(jù)封裝格式，并且IPSec通過在不同場景中使用不同的封裝模式提供差異化安全服務。在闡述數(shù)據(jù)包封裝格式基礎上，詳細分析不同場景中的封裝模式選擇并分析其原因，探討IPSec封裝模式在不同場景下的應用，為無保護的IP網(wǎng)絡提供信息安全傳輸服務。

關鍵詞：IPSec；傳輸模式；隧道模式；GRE

DOIDOI：10.11907/rjdk.172487

中圖分類號：TP319

文獻標識碼：A 文章編號：1672-7800（2017）012-0169-03

Abstract：To everyone in the deployment of IPSec VPN in different encapsulation mode when using different protocols provide certain reference data encapsulation format， at the same time， through in different scenarios， in order to IPSec use different encapsulation mode to provide diversity of security services. This paper elaborates the packaging format of the packets， analyzes the selection of packaging modes in different scenarios and analyzes the reasons.Different deployment plans are selected according to the actual needs in different scenarios， and different packaging modes are selected in consideration of security， resource utilization and efficiency.Thus， secure transmission services for unprotected IP networks are provided.

Key Words：IPSec； transmission mode； tunnel mode； GRE

0 引言

TCP/IP體系中網(wǎng)絡層的核心協(xié)議是由RFC 791定義的IP，IP是一個網(wǎng)絡協(xié)議，其提供的數(shù)據(jù)傳送服務是不可靠的、無連接的[1]。因此，IP網(wǎng)絡只是一個盡力而為的網(wǎng)絡，其本身不提供對信息的安全服務。

IPSec是由Internet工程任務組（IETF）開發(fā)的開放標準框架，它定義了在網(wǎng)絡層中使用安全服務，其功能包括數(shù)據(jù)加密、網(wǎng)絡單元訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊[2]。

IPSec對信息的保護主要由AH（Authentication Header，身份驗證報頭）協(xié)議和ESP（Encapsulating Security Payload，封裝安全性有效負載）協(xié)議負責[3]。AH協(xié)議可對整個數(shù)據(jù)包（IP 報頭與數(shù)據(jù)包中的數(shù)據(jù)負載）提供身份驗證、完整性與抗重播保護，但它不對數(shù)據(jù)進行加密。ESP協(xié)議雖然只為IP 負載提供身份驗證、完整性和抗重播保護，但能提供加密功能。

完整集成化企業(yè)范圍的VPN安全主要通過在公網(wǎng)上的安全雙向通信及透明的加密方案予以保證，以確保數(shù)據(jù)的完整性和保密性。VPN大多采用IPSec協(xié)議，IPSec作為在IPv4及IPv6上的加密通信框架，已為大多數(shù)廠商所支持，是VPN實現(xiàn)的Internet標準[4]。

1 IPSec的兩種封裝模式

IPSec有兩種封裝模式：傳輸（Transport）模式和隧道（Tunnel）模式。當使用傳輸模式時，IPSec只對IP數(shù)據(jù)包中上層協(xié)議的負載進行封裝；當使用隧道模式時，IPSec對IP報頭和有效負載都進行封裝，從而提供對整個IP數(shù)據(jù)包的保護[5]。

不管在哪種封裝模式下，既可以使用AH對整個IP數(shù)據(jù)包進行身份驗證，也可以使用ESP對IP負載進行驗證和加密。AH和ESP可以獨立使用，也可以組合使用。假如既要為IP報頭提供數(shù)據(jù)完整性與身份驗證，又要為IP負載提供加密服務，就必須組合使用ESP與AH協(xié)議。

1.1 傳輸模式下的IPSec數(shù)據(jù)包封裝

使用傳輸模式時，IPSec通過AH或ESP報頭對IP負載提供保護，不保護原IP報頭，即IP報頭不封裝就被傳送。

（1）AH傳輸模式。使用AH可對整個數(shù)據(jù)包進行簽名以提供身份驗證，但它不提供加密服務，也即數(shù)據(jù)一直以明文形式傳輸。完整性與身份驗證是通過在IP報頭與IP負載間插入的AH報頭所承擔，具體的IPSec封裝結構如圖1所示。

（2）ESP傳輸模式。ESP不僅為IP負載提供身份驗證、完整性和抗重播保護，與AH不同的是還提供對負載的加密功能，但所有身份驗證、加密服務只針對IP負載部分，也即不對報頭進行認證與加密。此模式下，ESP報頭置于IP負載之前，ESP尾端與ESP驗證摘要置于IP負載之后，具體的IPSec封裝結構如圖2所示。

1.2 隧道模式下的IPSec數(shù)據(jù)包封裝

使用隧道模式時，會通過AH或ESP報頭與新IP報頭封裝整個IP數(shù)據(jù)包。外部新IP報頭中的IP地址是隧道的起始點和終點地址，封裝的原IP報頭中的IP地址是最終的源地址和目標地址。

（1）AH隧道模式。使用AH對整個數(shù)據(jù)進行摘要簽名形成AH認證頭以獲得完整性并進行身份驗證，同時將AH認證頭與新IP報頭一起對整個數(shù)據(jù)包進行封裝從而形成新的IPSec封裝包，具體的IPSec封裝結構如圖3所示。endprint

（2）ESP隧道模式。通過ESP對IP負載加密，對密文及ESP頭和ESP尾形成摘要，并與新IP報頭、ESP頭和ESP尾部一起對原IP數(shù)據(jù)包進行封裝。盡管使用ESP時的加密服務只針對IP數(shù)據(jù)負載部分，但在封裝時將原IP報頭一起封裝，從而使原IP報頭得到保護，具體的IPSec加密過程與封裝結構如圖4所示。

2 一般場景中的模式選擇

2.1 IPSec VPN的一般應用場景

IPSec技術的常見網(wǎng)絡部署有對稱型網(wǎng)絡和不對稱型網(wǎng)絡兩種[6]。對稱型網(wǎng)絡一般適用于企業(yè)總部與分部之間或企業(yè)與企業(yè)之間，通過互聯(lián)網(wǎng)絡上的兩臺安全網(wǎng)關協(xié)商IPSec隧道，加密所有流經(jīng)的機密數(shù)據(jù)；不對稱型網(wǎng)絡一般適用于遠端接入，用于經(jīng)常在外的企業(yè)人員需要訪問企業(yè)內(nèi)部網(wǎng)絡時，可以隨時在網(wǎng)絡上向企業(yè)安全網(wǎng)關發(fā)起IPSec隧道協(xié)商，通過加密隧道訪問企業(yè)內(nèi)部網(wǎng)絡。

IPSec VPN的一般應用場景分為以下3種情形：

（1）Site-to-Site（網(wǎng)關到網(wǎng)關）：對稱型網(wǎng)絡的典型應用場景，在兩臺安全網(wǎng)關之間建立VPN隧道，用于實現(xiàn)同一企業(yè)不同分部之間通過安全網(wǎng)關間的VPN隧道進行保密通信。

（2）End-to-Site（PC到網(wǎng)關）：不對稱型網(wǎng)絡的典型應用場景，在PC與安全網(wǎng)關之間建立VPN隧道，用于處于異地的PC與企業(yè)內(nèi)部網(wǎng)絡進行保密通信。

（3）End-to-End（PC到PC）：在兩個PC間建立安全VPN隧道，保護兩臺PC間的通信，用于實現(xiàn)主機與服務器間的安全訪問。

2.2 幾種場景下的模式選擇

（1）Site-to-Site場景中的模式選擇。Site-to-Site場景中的訪問都是由處于不同地域企業(yè)內(nèi)部網(wǎng)絡中主機之間的通信發(fā)起，而這種通信使用的IP地址往往都是內(nèi)部私有地址。由于傳輸模式只封裝IP數(shù)據(jù)包的有效負載，并不封裝IP頭部，也即不會改變原數(shù)據(jù)包中的IP地址，這樣的數(shù)據(jù)包是不會通過安全網(wǎng)關進入Internet中被轉(zhuǎn)發(fā)的；即使是由于其它原因，使這種數(shù)據(jù)包被轉(zhuǎn)發(fā)，最終到達目的主機時，也會因為接收主機沒有參與IPSec隧道協(xié)商以致無法解密而被丟棄。因此，在這種場景中只能使用隧道模式，用包含隧道起始地址和終端地址的新報頭重新封裝原始IP數(shù)據(jù)包成為IPSec數(shù)據(jù)包，這種數(shù)據(jù)包才會在公網(wǎng)上被轉(zhuǎn)發(fā)。

（2）End-to-Site場景中的模式選擇。End-to-Site場景中的通信往往是外部終端主機需要訪問企業(yè)的內(nèi)部網(wǎng)絡而與企業(yè)安全網(wǎng)關間建立的IPSec安全隧道，例如企業(yè)在外人員通過Internet訪問異地企業(yè)內(nèi)部網(wǎng)絡。雖然在外員工接入Internet的方式無法確定，但可以肯定的是，通信的另一方（即企業(yè)內(nèi)部主機）使用內(nèi)部私有地址，因此在此場景中與Site-to-Site場景中一樣，也必須使用隧道模式進行封裝。

（3）End-to-End場景中的模式選擇。End-to-End場景多用于內(nèi)部網(wǎng)絡中保護主機與服務間的通信而在主機與服務器之間建立IPSce安全隧道。一般情況下，該場景主要在企業(yè)內(nèi)部網(wǎng)絡中應用而不需要跨越Internet，因此在雙方都使用內(nèi)部私有地址且路由可達的情況下使用傳輸模式。在此場景中應用隧道模式也是可行的，只是重新封裝后的新IP報頭中的地址與原IP報頭地址相同，因此從節(jié)省資源的角度而言，建議使用傳輸模式。

3 其它場景中的模式選擇

通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規(guī)定了怎樣用一種網(wǎng)絡層協(xié)議去封裝另一種網(wǎng)絡層協(xié)議的方法[7]。GRE只提供數(shù)據(jù)包的封裝，沒有防止網(wǎng)絡偵聽和攻擊的加密功能，因此在實際環(huán)境中它常與IPSec一起使用，由IPSec給用戶數(shù)據(jù)加密，為用戶提供更好的安全服務[8]。

3.1 GRE over IPSec時的模式選擇

一般情況下，GRE over IPSec多用于Site-to-Site場景中，目的是將不同地域的總部網(wǎng)絡與分部網(wǎng)絡從邏輯上聯(lián)接成一個網(wǎng)絡。

由于IPSec不支持對多播和廣播數(shù)據(jù)包的加密[9]，因此使用IPSec的隧道時，動態(tài)路由協(xié)議等依靠多播和廣播的協(xié)議就不能正常通告，單純用IPSec VPN無法實現(xiàn)最終目的。

GRE隧道會將多播和廣播數(shù)據(jù)包封裝到單播包中，可以通過GRE隧道向鄰居通告本地路由信息[10]。此外，由于GRE建立比較簡單，不用加密VPN隧道，可通過在物理鏈路中使用IP地址和路由穿越互聯(lián)網(wǎng)絡。使用IPSec結合GRE，發(fā)揮兩者各自優(yōu)勢，為總部與分部網(wǎng)絡之間的數(shù)據(jù)通信提供安全保證，并最終達到聯(lián)接目的。

當本地IP數(shù)據(jù)包通過GRE隧道進行路由轉(zhuǎn)發(fā)時，首先需要進行GRE封裝，使GRE隧道的起始地址和結束地址作為數(shù)據(jù)包最外層的地址，該地址可以直接路由至對端設備。此時IPSec VPN兩端的地址與GRE隧道兩端物理地址完全一樣，在這種情形下就不需要使用隧道模式再次封裝，因此推薦使用傳輸模式以節(jié)省資源，提高通信速率。

3.2 IPSec over GRE時的模式選擇

與GRE over IPSec一樣，IPSec over GRE也多用于Site-to-Site場景中，不同的是后者先進行IPSec封裝，然后再進行GRE封裝。一般情況下，IPSec感興趣的數(shù)據(jù)流是兩端內(nèi)部網(wǎng)絡主機間的通信數(shù)據(jù)，其中目的地址為對方內(nèi)部私有地址，與IPSEC設置時用set peer指定的對端地址不一致。這種情況下，不管指定的是哪種模式，IPSec都會強行使用隧道模式，否則數(shù)據(jù)包無法到達對方網(wǎng)絡。由此得知，數(shù)據(jù)包會被相同的地址封裝兩次，一次是IPSec封裝，一次是GRE封裝。

4 結語

IPSec為無保護的IP網(wǎng)絡（如Internet）上傳輸敏感數(shù)據(jù)提供了安全性服務，它服務于所有基于IP的網(wǎng)絡通訊，對于上層協(xié)議應用而言完全透明。目前，IPSec最主要的應用是構造虛擬專用網(wǎng)（VPN），它作為一個第三層隧道協(xié)議，是實現(xiàn)VPN通信的主要方式。IPSec提供了兩種不同的封裝模式，在不同的場景中根據(jù)實際需要選擇不同的部署方案，并考慮安全性、資源利用率、實現(xiàn)效率等多方面因素選擇不同的封裝模式。

參考文獻：

[1] 杭州華三.路由交換技術[M].第1卷（上冊）.北京：清華大學出版社，2011.

[2] 陳波.路由器與網(wǎng)絡層安全的研究[D].成都：西南交通大學，2002.

[3] 周賢偉.IPSec解析[M].北京：國防工業(yè)出版社，2006.

[4] 張蒲生.網(wǎng)絡安全應用技術[M].北京：電子工業(yè)出版社，2008.2

[5] 陳平.IPSec在路由器中的實現(xiàn)[J].微型電腦與應用，2005，21（5）：48-50.

[6] 張彬，郭軍.IPSec的應用與實現(xiàn)分析[C].第六屆全國計算機應用聯(lián)合學術會議論文集，2002：271-273.

[7] 王麗娜，劉炎，何軍.基于IPSec和GRE的VPN實驗仿真[J].實驗室研究與探索.2013，32（9）：70-75.

[8] 李志球.計算機網(wǎng)絡基礎[M].北京：電子工業(yè)出版社，2014.

[9] 林雁.IPSec-網(wǎng)絡層安全的協(xié)議[J].電腦與應用，2005，2：83-85.

[10] 朱蕾，張勇，自英彩.基于IPSec的安全路由器的設計與實現(xiàn)[J].計算機工程，2001，27（6）：144-145，133.

（責任編輯：孫 娟）endprint