IPsec 应用场景

既可以在路由器、防火墙上部署，也可以配置专业的 v*n 网关产品。企业员工出差时，只要安装了客户端，就可以通过拨号访问公司的内网。

1、传统专线价格比较昂高；
2、IPsec v*n 基于加密线路传输；
3、部署非常方便，客户能够既上网又能与分支相互通信；
4、IPsec v*n 在企业网络/校园网络分支之间使用。

IPsec原理

IP security 是一套完整的加密系统，可以实现数据的安全性、完整性、不可抵赖性、防止重放。

IPsec 使用三种主要的协议来构建一个安全的网络框架：
// IPsec 是一个大的协议，其中有包含几个组成部分
1、IKE，Internet Key Exchange，互联网**交互协议；
提供安全结构参数的协调。
确定验证**。
2、ESP，Encapsulating Security Payload，封装安全载荷；
提供对数据加密、验证和数据安全的框架结构
3、AH，Authentication Header，认证头部；
提供验证和安全的数据传输功能

IKE

IKE，Internet Key Exchange，互联网**交互协议。

功能：通过身份认证、**交换、参数协商搭建隧道。

IKE 组成：
1、ISAKMP：<隧道建立的流程、分组交换、**交换>，2个阶段，9个分组，定义了消息交换的体系结构，包括两个 IPsec 对等体间分组形式和状态转变；
2、SKEME：提供为认证目的使用公开**加密的机制；
3、Oakley：提供在两个 IPsec 对等体间达成相同加***的基本模式的机制。

ISAKMP原理

应用层协议，基于 UDP 500 端口。

通过 ISAKMP 实现 IPsec v*n 的建立：
阶段一，有6个分组，为主模式，
阶段二，有3个分组，为快速模式。

下图中，R1 和 R2 之间协商的隧道有两层，其中 ISAKMP SA 是由第一阶段协商的，IPsec SA 是第二阶段协商的。在第一阶段协商完成的安全环境中进行第二阶段协商，以保证最终数据传输的安全性。

在阶段一交互策略集和阶段二交互转换集时都包含了 3DES/MD5，都是为了协商加密算法，第一阶段协商的算法用于加密第7、8、9三个数据包，第二阶段协商的加密算法用于加密最终用户通过第二条隧道发送的数据包，保证了多层安全。

ESP

ESP，Encapsulating Security Payload，封装安全载荷，用于实现数据机密性以及完整性校验。

接收到数据包后封装的方式：
传输模式：只加密 IP 头部以上。
隧道模式：加密原有数据包，再加入新的头部。

AH

AH，Authentication Header，认证头部，用于实现完整性校验。

抓包发现 AH 协议中内网的数据流可以被查看，无法保证安全性，所以平时很少用到。