Chinaunix首页 | 论坛 | 博客
  • 博客访问: 7376018
  • 博文数量: 159
  • 博客积分: 10424
  • 博客等级: 少将
  • 技术积分: 14605
  • 用 户 组: 普通用户
  • 注册时间: 2010-07-14 12:45
个人简介

啦啦啦~~~

文章分类
文章存档

2015年(5)

2014年(1)

2013年(5)

2012年(10)

2011年(116)

2010年(22)

分类: 网络与安全

2011-04-17 23:59:10

本文的copyleft归gfree.wind@gmail.com所有,使用GPL发布,可以自由拷贝,转载。但转载请保持文档的完整性,注明原作者及原链接,严禁用于任何商业用途。
作者:gfree.wind@gmail.com
博客:linuxfocus.blog.chinaunix.net
     

近日,在做IPsec方面的任务。根据我以往的经验和习惯,进入一个新领域,首先要把基本概念理解透彻。这样,以后学习起来,才会事半功倍。
好,闲话少说,下面是我对IPsec中的一些基本概念的理解。不是照搬RFC的,所以肯定不会严谨。

1. IPsec是为了解决IP协议本身的安全性,它可用于IPv4和IPv6。
2. IPsec协议包括AH和ESP;AH是Authentication Header的缩写,如其名字,它主要用于authentication。因为AH在计算中,会包括AH前面的IP头中的域,如源地址和目的地址,因此提供了对于双方身份的确认。——注AH的计算中不会包含TTL字段。因为TTL字段在发送过程中,是递减的。ESP主要提供了对于数据的加密。但不含IP报文头。
3. IPsec有两种模式,一种是transport模式,另外一种是tunnel模式。在transport模式下,IPsec相当于被插在了IP层与传输层之间。而tunnel模式,IPsec相当于与IP层处于同一层,在完成该IP层的IPsec处理后,需要对数据包再一次进行IP层的封装。原有的包含IPsec的IP数据(含原有IP头)为新的IP数据。这也是所有IP tunnel的处理。
4. 因为AH的计算中包含了IP首部的源地址和目的地址,所以AH与NAT有冲突。在IPsec的实现中,引用了NAT-T这个feature。实际上主要是通过放弃AH,而只用ESP来实现的。
5. IPsec工作流程:当device收到一个数据包时,首先通过SPD查找对应的policy,或bypass,或drop,或需应用IPsec。如需应用IPsec,则在通过SAD查找相应的SA,通过找到的SA应用IPsec。

阅读(3824) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~