关于ipsecrfc的信息(IPSEC穿透是什么)

IPSEC穿透是什么

IPSEC穿透是什么：

IPSec数据包在穿越NAT时会遇到一个很严重的问题，因为NAT机制会修改数据包的IP及TCP或UDP包头内容，而IPSec为了确保数据包的安全性，也会逐一检查每个IPSec的数据包，一旦数据包内容(包含包头)有任何变动，这些数据包就会被IPSec机制丢弃，所以IPSec数据包是无法穿越NAT的。但如果真是这样，那IPSec在使用上将受到严重限制，IPSec协议终于可以穿越NAT了，这项技术规范是在rfc3947中定义的，称为“NAT-Traversal”，简称为NAT-T。

从以上两个IPSec数据包的结构图，可以很清楚看到图16-77中在ESP及IP包头之间多了一个UDP包头，这是IPSec数据包可以穿越NAT的关键之处。当IPSec数据包有了这个UDP包头之后，IPSec数据包再穿越NAT主机时，NAT主机便可以修改IP包头及UDP包头的内容，但IPSec数据包的接收端并不会检查IP包头及UDP包头的内容，因而使得IPSec数据包可以正常穿越NAT主机。 那要如何在racoon下启用NAT-T的功能。以图16-78及配置文件为例，可以看到racoon的配置文件与以前的内容并无太大差异。主要差别在第5行到第16行及第20行，其中第9行及第10行的IP是L2TP服务器在因特网的公网IP，除此之外，其他设置步骤与之前的示例完全相同即可。

IPSec和SSL

两种网络安全协议（包）都可以起到 虚拟专用网络（虚拟专用网络的作用）。

实际上这两种安全协议要做到机密性保护就需要建立 连接 ，而 虚拟专用网络的核心也是 连接 。

区别：

暂略。

互联网安全协议 （英语： I nternet P rotocol Sec urity，缩写： IPsec ）是一个协议包，透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

IPsec主要由以下协议组成：一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护；二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性；三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。

注 ：AH和ESP属于同一层的协议，目前AH用的很少，ESP比较常见。

rfc5406-Guidelines for Specifying the Use of IPsec Version 2

rfc6071- IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap

IKE是一个混合协议，由三个协议组成。

知乎： vowfi中IPSEC port 500、4500端口解释

rfc：

IPSec 虚拟专用网络的NAT穿越(NAT-T)原理

todo

IPSec 是什么服务?

IPv4缺乏对通信双方真实身份的验证能力，缺乏对网上传输的数据的完整性和机密性保护，并且由于IP地址可软件配置等灵活性以及基于源IP地址的认证机制，使得IP层存在着网络业务流易被监听和捕获、IP地址欺骗、信息泄露和数据项被篡改等攻击，而IP是很难抵抗这些攻击的。为了实现安全IP，Internet工程任务组IETF于1994年开始了一项IP安全工程，专门成立了IP安全协议工作组IPSEC，来制定和推动一套称为IPSec(IP Security)的IP安全协议标准。其目标就是把安全特征集成到IP层，以便对Internet的安全业务提供低层的支持。IETF于1995年8月公布了一系列关于IPSec的RFC建议标准。

完整的IPsec核心文档集处在提议标准阶段。包括：

隧道

隧道就是把一个包封装在另一个新包里面，整个源数据包作为新包的载荷部分，并在前面添加一个新的IP头。这个外部头的目的地址通常是IPSec防火墙、安全网关或路由器。通过隧道技术可以对外隐藏内部数据和网络细节。对IPSec而言，IP隧道的直接目标就是对整个IP数据包提供完全的保护。IP隧道如图所示。

此外，还有一个需要说明的概念就是“变换”。在IPSec中，一个变换是指一种安全机制的特定实现，如ESP的DES-CBC实现称为“DES-CBC ESP变换”。

IP协议本身缺乏安全性，仅用IP头中的校验和域来保证IP数据报的完整性。设计认证头（AH）协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据起源认证和抗重放保护服务。然而，AH不提供任何机密性服务，它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的密码认证，以确保被修改过的数据包可以被检查出来。AH使用消息认证码（MAC）对IP进行认证，最常用的MAC是HMAC。因为生成IP数据报的消息摘要需要密钥，所以IPSec的通信双方需要有共享密钥。对于MAC不了的解可以看MAC原理

认证头格式

AH由5个固定长度域和1个变长的认证数据域组成。下图说明了这些域在一个AH中的相对位置。

下面是这些域的说明：

下一个头（Next Header）：这个8比特的域指出AH后的下一个载荷的类型。例如，如果AH后面是一个ESP载荷，这个域将包含值50。如果在我们所说的AH后面是另一个AH，那这个域将包含值51。RFC1700中包含了已分配的IP协议值信息。

载荷长度（Payload length）：这个8比特的域包含以32比特为单位的AH的长度减2。为什么要减2呢？AH实际上是一个IPv6扩展头，IPv6规范RFC1883中规定计算扩展头长度时应首先从头长度中减去一个64比特的字。由于载荷长度用32比特度量，两个32比特字也就相当于一个64比特字，因此要从总认证头长度中减去2。

保留（Reserved）：这个16比特的域被保留供将来使用。AH规范RFC2402中规定这个域被置为0。

安全参数索引（SPI）：SPI是一个32比特的整数，用于和源地址或目的地址以及IPSec协议（AH或ESP）共同唯一标识一个数据报所属的数据流的安全关联（SA）。SA是通信双方达成的一个协定，它规定了采用的IPSec协议、协议操作模式、密码算法、密钥以及用来保护它们之间通信的密钥的生存期。关于SPI域的整数值，1到255被IANA（Internet Assigned Number Authority）留作将来使用；0被保留用于本地和具体实现使用。所以说目前有效的SPI值是从256到232-1。

序列号（Sequence number）：这个域包含有一个作为单调增加的计数器的32位无符号整数。当SA建立时，发送者和接收者的序列号值被初始化为0。通信双方每使用一个特定的SA发出1个数据报就将它们的相应的序列号加1。序列号用来防止对数据包的重放，重放指的是数据报被攻击者截取并重新传送。AH规范强制发送者总要发送序列号到接收者；而接收者可以选择不使用抗重放特性，这时它不理会进入的数据流中数据报的序列号。如果接收端主机启用抗重放功能，它使用滑动接收窗口机制检测重放包。具体的滑动窗口因不同的IPSec实现而不同；然而一般来说滑动窗口具有以下功能。窗口长度最小为32比特。窗口的右边界代表一特定SA所接收到的验证有效的最大序列号。序列号小于窗口左边界的包将被丢弃。将序列号值位于窗口之内的数据包将被与位于窗口内的接收到的数据包相比较。如果接收到的数据包的序列号位于窗口内并且数据包是新的，或者它的序列号大于窗口右边界且小于232，那么接收主机继续处理计算认证数据。对于一个特定的SA，它的序列号不能循环；所以在一个特定的SA传输的数据包的数目达到232之前，必须协商一个新的SA以及新的密钥。

认证数据：这个变长域包含数据报的认证数据，该认证数据被称为完整性校验值（ICV）。对于IPv4数据报，这个域的长度必须是32的整数倍；对于IPv6数据报，这个域的长度必须是64的整数倍。用来生成ICV的算法由SA指定。用来计算ICV的可用的算法因IPSec的实现的不同而不同；然而为了保证互操作性，AH强制所有的IPSec实现必须包含两个MAC：HMAC-MD5和HMAC-SHA-1。如果一个IPv4数据报的ICV域的长度不是32的整数倍，或一个IPv6数据报的ICV域的长度不是64的整数倍，必须添加填充比特使ICV域的长度达到所需要的长度。

感谢您的来访，获取更多精彩文章请收藏本站。