IPSec封裝模式在不同場(chǎng)景下的應(yīng)用

潘曉瑜

摘要：部署IPSec VPN時(shí)，在不同封裝模式中需使用不同協(xié)議下的數(shù)據(jù)封裝格式，并且IPSec通過在不同場(chǎng)景中使用不同的封裝模式提供差異化安全服務(wù)。在闡述數(shù)據(jù)包封裝格式基礎(chǔ)上，詳細(xì)分析不同場(chǎng)景中的封裝模式選擇并分析其原因，探討IPSec封裝模式在不同場(chǎng)景下的應(yīng)用，為無保護(hù)的IP網(wǎng)絡(luò)提供信息安全傳輸服務(wù)。

關(guān)鍵詞：IPSec；傳輸模式；隧道模式；GRE

DOIDOI：10.11907/rjdk.172487

中圖分類號(hào)：TP319

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2017）012-0169-03

Abstract：To everyone in the deployment of IPSec VPN in different encapsulation mode when using different protocols provide certain reference data encapsulation format， at the same time， through in different scenarios， in order to IPSec use different encapsulation mode to provide diversity of security services. This paper elaborates the packaging format of the packets， analyzes the selection of packaging modes in different scenarios and analyzes the reasons.Different deployment plans are selected according to the actual needs in different scenarios， and different packaging modes are selected in consideration of security， resource utilization and efficiency.Thus， secure transmission services for unprotected IP networks are provided.

Key Words：IPSec； transmission mode； tunnel mode； GRE

0 引言

TCP/IP體系中網(wǎng)絡(luò)層的核心協(xié)議是由RFC 791定義的IP，IP是一個(gè)網(wǎng)絡(luò)協(xié)議，其提供的數(shù)據(jù)傳送服務(wù)是不可靠的、無連接的[1]。因此，IP網(wǎng)絡(luò)只是一個(gè)盡力而為的網(wǎng)絡(luò)，其本身不提供對(duì)信息的安全服務(wù)。

IPSec是由Internet工程任務(wù)組（IETF）開發(fā)的開放標(biāo)準(zhǔn)框架，它定義了在網(wǎng)絡(luò)層中使用安全服務(wù)，其功能包括數(shù)據(jù)加密、網(wǎng)絡(luò)單元訪問控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊[2]。

IPSec對(duì)信息的保護(hù)主要由AH（Authentication Header，身份驗(yàn)證報(bào)頭）協(xié)議和ESP（Encapsulating Security Payload，封裝安全性有效負(fù)載）協(xié)議負(fù)責(zé)[3]。AH協(xié)議可對(duì)整個(gè)數(shù)據(jù)包（IP 報(bào)頭與數(shù)據(jù)包中的數(shù)據(jù)負(fù)載）提供身份驗(yàn)證、完整性與抗重播保護(hù)，但它不對(duì)數(shù)據(jù)進(jìn)行加密。ESP協(xié)議雖然只為IP 負(fù)載提供身份驗(yàn)證、完整性和抗重播保護(hù)，但能提供加密功能。

完整集成化企業(yè)范圍的VPN安全主要通過在公網(wǎng)上的安全雙向通信及透明的加密方案予以保證，以確保數(shù)據(jù)的完整性和保密性。VPN大多采用IPSec協(xié)議，IPSec作為在IPv4及IPv6上的加密通信框架，已為大多數(shù)廠商所支持，是VPN實(shí)現(xiàn)的Internet標(biāo)準(zhǔn)[4]。

1 IPSec的兩種封裝模式

IPSec有兩種封裝模式：傳輸（Transport）模式和隧道（Tunnel）模式。當(dāng)使用傳輸模式時(shí)，IPSec只對(duì)IP數(shù)據(jù)包中上層協(xié)議的負(fù)載進(jìn)行封裝；當(dāng)使用隧道模式時(shí)，IPSec對(duì)IP報(bào)頭和有效負(fù)載都進(jìn)行封裝，從而提供對(duì)整個(gè)IP數(shù)據(jù)包的保護(hù)[5]。

不管在哪種封裝模式下，既可以使用AH對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行身份驗(yàn)證，也可以使用ESP對(duì)IP負(fù)載進(jìn)行驗(yàn)證和加密。AH和ESP可以獨(dú)立使用，也可以組合使用。假如既要為IP報(bào)頭提供數(shù)據(jù)完整性與身份驗(yàn)證，又要為IP負(fù)載提供加密服務(wù)，就必須組合使用ESP與AH協(xié)議。

1.1 傳輸模式下的IPSec數(shù)據(jù)包封裝

使用傳輸模式時(shí)，IPSec通過AH或ESP報(bào)頭對(duì)IP負(fù)載提供保護(hù)，不保護(hù)原IP報(bào)頭，即IP報(bào)頭不封裝就被傳送。

（1）AH傳輸模式。使用AH可對(duì)整個(gè)數(shù)據(jù)包進(jìn)行簽名以提供身份驗(yàn)證，但它不提供加密服務(wù)，也即數(shù)據(jù)一直以明文形式傳輸。完整性與身份驗(yàn)證是通過在IP報(bào)頭與IP負(fù)載間插入的AH報(bào)頭所承擔(dān)，具體的IPSec封裝結(jié)構(gòu)如圖1所示。

（2）ESP傳輸模式。ESP不僅為IP負(fù)載提供身份驗(yàn)證、完整性和抗重播保護(hù)，與AH不同的是還提供對(duì)負(fù)載的加密功能，但所有身份驗(yàn)證、加密服務(wù)只針對(duì)IP負(fù)載部分，也即不對(duì)報(bào)頭進(jìn)行認(rèn)證與加密。此模式下，ESP報(bào)頭置于IP負(fù)載之前，ESP尾端與ESP驗(yàn)證摘要置于IP負(fù)載之后，具體的IPSec封裝結(jié)構(gòu)如圖2所示。

1.2 隧道模式下的IPSec數(shù)據(jù)包封裝

使用隧道模式時(shí)，會(huì)通過AH或ESP報(bào)頭與新IP報(bào)頭封裝整個(gè)IP數(shù)據(jù)包。外部新IP報(bào)頭中的IP地址是隧道的起始點(diǎn)和終點(diǎn)地址，封裝的原IP報(bào)頭中的IP地址是最終的源地址和目標(biāo)地址。

（1）AH隧道模式。使用AH對(duì)整個(gè)數(shù)據(jù)進(jìn)行摘要簽名形成AH認(rèn)證頭以獲得完整性并進(jìn)行身份驗(yàn)證，同時(shí)將AH認(rèn)證頭與新IP報(bào)頭一起對(duì)整個(gè)數(shù)據(jù)包進(jìn)行封裝從而形成新的IPSec封裝包，具體的IPSec封裝結(jié)構(gòu)如圖3所示。endprint

（2）ESP隧道模式。通過ESP對(duì)IP負(fù)載加密，對(duì)密文及ESP頭和ESP尾形成摘要，并與新IP報(bào)頭、ESP頭和ESP尾部一起對(duì)原IP數(shù)據(jù)包進(jìn)行封裝。盡管使用ESP時(shí)的加密服務(wù)只針對(duì)IP數(shù)據(jù)負(fù)載部分，但在封裝時(shí)將原IP報(bào)頭一起封裝，從而使原IP報(bào)頭得到保護(hù)，具體的IPSec加密過程與封裝結(jié)構(gòu)如圖4所示。

2 一般場(chǎng)景中的模式選擇

2.1 IPSec VPN的一般應(yīng)用場(chǎng)景

IPSec技術(shù)的常見網(wǎng)絡(luò)部署有對(duì)稱型網(wǎng)絡(luò)和不對(duì)稱型網(wǎng)絡(luò)兩種[6]。對(duì)稱型網(wǎng)絡(luò)一般適用于企業(yè)總部與分部之間或企業(yè)與企業(yè)之間，通過互聯(lián)網(wǎng)絡(luò)上的兩臺(tái)安全網(wǎng)關(guān)協(xié)商IPSec隧道，加密所有流經(jīng)的機(jī)密數(shù)據(jù)；不對(duì)稱型網(wǎng)絡(luò)一般適用于遠(yuǎn)端接入，用于經(jīng)常在外的企業(yè)人員需要訪問企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，可以隨時(shí)在網(wǎng)絡(luò)上向企業(yè)安全網(wǎng)關(guān)發(fā)起IPSec隧道協(xié)商，通過加密隧道訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。

IPSec VPN的一般應(yīng)用場(chǎng)景分為以下3種情形：

（1）Site-to-Site（網(wǎng)關(guān)到網(wǎng)關(guān)）：對(duì)稱型網(wǎng)絡(luò)的典型應(yīng)用場(chǎng)景，在兩臺(tái)安全網(wǎng)關(guān)之間建立VPN隧道，用于實(shí)現(xiàn)同一企業(yè)不同分部之間通過安全網(wǎng)關(guān)間的VPN隧道進(jìn)行保密通信。

（2）End-to-Site（PC到網(wǎng)關(guān)）：不對(duì)稱型網(wǎng)絡(luò)的典型應(yīng)用場(chǎng)景，在PC與安全網(wǎng)關(guān)之間建立VPN隧道，用于處于異地的PC與企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行保密通信。

（3）End-to-End（PC到PC）：在兩個(gè)PC間建立安全VPN隧道，保護(hù)兩臺(tái)PC間的通信，用于實(shí)現(xiàn)主機(jī)與服務(wù)器間的安全訪問。

2.2 幾種場(chǎng)景下的模式選擇

（1）Site-to-Site場(chǎng)景中的模式選擇。Site-to-Site場(chǎng)景中的訪問都是由處于不同地域企業(yè)內(nèi)部網(wǎng)絡(luò)中主機(jī)之間的通信發(fā)起，而這種通信使用的IP地址往往都是內(nèi)部私有地址。由于傳輸模式只封裝IP數(shù)據(jù)包的有效負(fù)載，并不封裝IP頭部，也即不會(huì)改變?cè)瓟?shù)據(jù)包中的IP地址，這樣的數(shù)據(jù)包是不會(huì)通過安全網(wǎng)關(guān)進(jìn)入Internet中被轉(zhuǎn)發(fā)的；即使是由于其它原因，使這種數(shù)據(jù)包被轉(zhuǎn)發(fā)，最終到達(dá)目的主機(jī)時(shí)，也會(huì)因?yàn)榻邮罩鳈C(jī)沒有參與IPSec隧道協(xié)商以致無法解密而被丟棄。因此，在這種場(chǎng)景中只能使用隧道模式，用包含隧道起始地址和終端地址的新報(bào)頭重新封裝原始IP數(shù)據(jù)包成為IPSec數(shù)據(jù)包，這種數(shù)據(jù)包才會(huì)在公網(wǎng)上被轉(zhuǎn)發(fā)。

（2）End-to-Site場(chǎng)景中的模式選擇。End-to-Site場(chǎng)景中的通信往往是外部終端主機(jī)需要訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)而與企業(yè)安全網(wǎng)關(guān)間建立的IPSec安全隧道，例如企業(yè)在外人員通過Internet訪問異地企業(yè)內(nèi)部網(wǎng)絡(luò)。雖然在外員工接入Internet的方式無法確定，但可以肯定的是，通信的另一方（即企業(yè)內(nèi)部主機(jī)）使用內(nèi)部私有地址，因此在此場(chǎng)景中與Site-to-Site場(chǎng)景中一樣，也必須使用隧道模式進(jìn)行封裝。

（3）End-to-End場(chǎng)景中的模式選擇。End-to-End場(chǎng)景多用于內(nèi)部網(wǎng)絡(luò)中保護(hù)主機(jī)與服務(wù)間的通信而在主機(jī)與服務(wù)器之間建立IPSce安全隧道。一般情況下，該場(chǎng)景主要在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)用而不需要跨越Internet，因此在雙方都使用內(nèi)部私有地址且路由可達(dá)的情況下使用傳輸模式。在此場(chǎng)景中應(yīng)用隧道模式也是可行的，只是重新封裝后的新IP報(bào)頭中的地址與原IP報(bào)頭地址相同，因此從節(jié)省資源的角度而言，建議使用傳輸模式。

3 其它場(chǎng)景中的模式選擇

通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法[7]。GRE只提供數(shù)據(jù)包的封裝，沒有防止網(wǎng)絡(luò)偵聽和攻擊的加密功能，因此在實(shí)際環(huán)境中它常與IPSec一起使用，由IPSec給用戶數(shù)據(jù)加密，為用戶提供更好的安全服務(wù)[8]。

3.1 GRE over IPSec時(shí)的模式選擇

一般情況下，GRE over IPSec多用于Site-to-Site場(chǎng)景中，目的是將不同地域的總部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)從邏輯上聯(lián)接成一個(gè)網(wǎng)絡(luò)。

由于IPSec不支持對(duì)多播和廣播數(shù)據(jù)包的加密[9]，因此使用IPSec的隧道時(shí)，動(dòng)態(tài)路由協(xié)議等依靠多播和廣播的協(xié)議就不能正常通告，單純用IPSec VPN無法實(shí)現(xiàn)最終目的。

GRE隧道會(huì)將多播和廣播數(shù)據(jù)包封裝到單播包中，可以通過GRE隧道向鄰居通告本地路由信息[10]。此外，由于GRE建立比較簡單，不用加密VPN隧道，可通過在物理鏈路中使用IP地址和路由穿越互聯(lián)網(wǎng)絡(luò)。使用IPSec結(jié)合GRE，發(fā)揮兩者各自優(yōu)勢(shì)，為總部與分部網(wǎng)絡(luò)之間的數(shù)據(jù)通信提供安全保證，并最終達(dá)到聯(lián)接目的。

當(dāng)本地IP數(shù)據(jù)包通過GRE隧道進(jìn)行路由轉(zhuǎn)發(fā)時(shí)，首先需要進(jìn)行GRE封裝，使GRE隧道的起始地址和結(jié)束地址作為數(shù)據(jù)包最外層的地址，該地址可以直接路由至對(duì)端設(shè)備。此時(shí)IPSec VPN兩端的地址與GRE隧道兩端物理地址完全一樣，在這種情形下就不需要使用隧道模式再次封裝，因此推薦使用傳輸模式以節(jié)省資源，提高通信速率。

3.2 IPSec over GRE時(shí)的模式選擇

與GRE over IPSec一樣，IPSec over GRE也多用于Site-to-Site場(chǎng)景中，不同的是后者先進(jìn)行IPSec封裝，然后再進(jìn)行GRE封裝。一般情況下，IPSec感興趣的數(shù)據(jù)流是兩端內(nèi)部網(wǎng)絡(luò)主機(jī)間的通信數(shù)據(jù)，其中目的地址為對(duì)方內(nèi)部私有地址，與IPSEC設(shè)置時(shí)用set peer指定的對(duì)端地址不一致。這種情況下，不管指定的是哪種模式，IPSec都會(huì)強(qiáng)行使用隧道模式，否則數(shù)據(jù)包無法到達(dá)對(duì)方網(wǎng)絡(luò)。由此得知，數(shù)據(jù)包會(huì)被相同的地址封裝兩次，一次是IPSec封裝，一次是GRE封裝。

4 結(jié)語

IPSec為無保護(hù)的IP網(wǎng)絡(luò)（如Internet）上傳輸敏感數(shù)據(jù)提供了安全性服務(wù)，它服務(wù)于所有基于IP的網(wǎng)絡(luò)通訊，對(duì)于上層協(xié)議應(yīng)用而言完全透明。目前，IPSec最主要的應(yīng)用是構(gòu)造虛擬專用網(wǎng)（VPN），它作為一個(gè)第三層隧道協(xié)議，是實(shí)現(xiàn)VPN通信的主要方式。IPSec提供了兩種不同的封裝模式，在不同的場(chǎng)景中根據(jù)實(shí)際需要選擇不同的部署方案，并考慮安全性、資源利用率、實(shí)現(xiàn)效率等多方面因素選擇不同的封裝模式。

參考文獻(xiàn)：

[1] 杭州華三.路由交換技術(shù)[M].第1卷（上冊(cè)）.北京：清華大學(xué)出版社，2011.

[2] 陳波.路由器與網(wǎng)絡(luò)層安全的研究[D].成都：西南交通大學(xué)，2002.

[3] 周賢偉.IPSec解析[M].北京：國防工業(yè)出版社，2006.

[4] 張蒲生.網(wǎng)絡(luò)安全應(yīng)用技術(shù)[M].北京：電子工業(yè)出版社，2008.2

[5] 陳平.IPSec在路由器中的實(shí)現(xiàn)[J].微型電腦與應(yīng)用，2005，21（5）：48-50.

[6] 張彬，郭軍.IPSec的應(yīng)用與實(shí)現(xiàn)分析[C].第六屆全國計(jì)算機(jī)應(yīng)用聯(lián)合學(xué)術(shù)會(huì)議論文集，2002：271-273.

[7] 王麗娜，劉炎，何軍.基于IPSec和GRE的VPN實(shí)驗(yàn)仿真[J].實(shí)驗(yàn)室研究與探索.2013，32（9）：70-75.

[8] 李志球.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)[M].北京：電子工業(yè)出版社，2014.

[9] 林雁.IPSec-網(wǎng)絡(luò)層安全的協(xié)議[J].電腦與應(yīng)用，2005，2：83-85.

[10] 朱蕾，張勇，自英彩.基于IPSec的安全路由器的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2001，27（6）：144-145，133.

（責(zé)任編輯：孫 娟）endprint