SD-WAN
集团多分支节点智能化组网
发布时间:2021-10-07 13:12:56 作者:华为阅读:0
IPSec(Internet Protocol Security)协议族是 IETF(Internet Engineering Task Force)制定的一系列协议,它为 IP 数据包提供了高质量的、基于密码学的安全传输特性。特定的通信双方在 IP 层通过加密与数据源认证等方式,保证 IP 数据报在网络上传输的私有性、完整性和防重放。
1、私有性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送。
2、完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。
3、防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
图表 1 IPSec 的 SA 协商图
IPSec 协议族示意框架说明如上图所示,IPSec 通过认证头 AH(Authentication Header)和封装安全载荷 ESP(Encapsulating Security Payload)这两个安全协议来实现 IP 数据包的安全传送;因特网密钥交换协议 IKE(Internet Key Exchange)提供密钥协商、建立和维护安全联盟的服务,以简化 IPSec 的部署和使用。
l、AH 认证头协议:提供数据源认证、数据完整性校验和报文防重放功能。发送端对 IP 头的不变部分和 IP 净荷进行离散运算,生成一个摘要字段;接收端根据接收的 IP 报文,对报文重新计算摘要字段,通过摘要字段的比较,判别报文在网络传输期间是否被篡改。AH 认证头协议没有对 IP 净荷提供加密操作。
ESP 封装安全载荷协议:除提供 AH 认证头协议的所有功能之外,还可对 IP报文净荷进行加密。ESP 协议允许对 IP 报文净荷进行加密和认证、只加密或者只认证,ESP 没有对 IP 头的内容进行保护。
2、IKE 因特网密钥交换协议:完成 IPSec 通信对等体间的安全联盟 SA(SecurityAssociation)协商,协商出对等体间数据安全传输需要的认证算法、加密算法和对应的密钥。
AH 和 ESP 可以单独使用,也可以同时使用。AH 和 ESP 同时使用时,报文在 IPSec 安全转换时,先进行 ESP 封装,再进行 AH 封装;IPSec 解封装时,先进行 AH 解封装,再进行 ESP 解封装。
IKE 密钥交换协商并不是必须的,IPSec 所使用的策略和算法等也可以手工配置。
在 IP 网络的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行账户的信息被窃取;用户的身份被冒充等。网络中部署 IPSec 后,可对传输的 IP 数据进行保护处理,降低信息泄漏的风险。
用户受益
l、用户业务数据在 IP 网络传输时,减少了泄漏和被窃听的风险,保障了用户业务传输的安全。
2、减少用户在各级应用层自部署 TLS 等安全特性的开销,节约用户业务部署成本。
组网场景
华为针对企业生产,办公,营销业务信息化发展,为企业客户提出了基于业务的纵向VPN 安全互联的解决方案。通过在总部,以及各级分支纵向网络中部署安全网关,实现多级分支机构之间,分支机构与总部之间 VPN 安全互联。彻底解决一直困扰业务发展的通信链路可靠性、安全性问题,保障关键业务数据传输都采用专业 VPN 加密。下图为安全纵向网场景,分支机构与上层机构星型组网,使用 IPSec VPN 进行安全保护。
下图为方案设计,总部使用两台 Eudemong1000E 作为 IPSec 中心端,各分支节点部署Eudemon200E-X1 与总部进行 Site-Site IPSec VPN 连接, 使用 PKI 进行认证。同时通过安装 IPSec VPN 管理组件帮助用户实现 VPN 管理。
以上就是什么是IPSec?IPSec组网场景的介绍。
微云网络作为国内知名的云服务综合解决方案提供商,拥有包括MPLS专线、IPLC专线、云专线以及SD-WAN在内的多种产品,可为您提供专业、灵活、多样性的专线及SD-WAN组网解决方案。详询微云网络客服电话 400-028-9798。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
标题:什么是IPSec?IPSec组网场景
地址:https://www.kd010.com/hyzs/347.html
全天服务支持
资源覆盖全球
专属优质服务
技术全线支持