一、IPSec和SSL VPN
两种网络安全协议(包)都可以起到 VPN(虚拟专用网络的作用)。
实际上这两种安全协议要做到机密性保护就需要建立连接,而 VPN的核心也是连接。
区别:
-
IPSec:
网络层,可以利用传输层的UDP协议,可以添加新的IP头部。
但是必须处理可靠性和分片的问题,增加了它的复杂性和处理开销。 -
SSL:
建立在TCP协议的基础上,实现端口到端口(应用到应用)之间的安全传输。
可依赖TCP来管理可靠性和分片。
无法使用UDP。
二、TLS:
暂略。
三、IPSEC:
互联网安全协议(英语:Internet Protocol Security,缩写:IPsec)是一个协议包,透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
IPsec主要由以下协议组成:一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
注:AH和ESP属于同一层的协议,目前AH用的很少,ESP比较常见。
RFC
rfc5406-Guidelines for Specifying the Use of IPsec Version 2
rfc6071- IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap
IKE
IKE是一个混合协议,由三个协议组成。
- SKEME决定了KE的密钥交换方式,KE主要使用DH来实现密钥交换。
- Oakley决定了 IPSec的框架设计,让 IPSec能够支持更多的协议。
-
ISAKMP是IKE的本质协议,它决定了IKE协商包的封装格式,交换过程和模式切换。ISAKMP是IKE的核心协议,所以我们经常会把IKE与 SAKMP这两个术语互换使用。
在配置 PSec vPn的时候,主要配置内容也是 SAKMP另外, SKEME和 Oakley没有仼何相关的配置内容,因此很多网络技术人员常常会认为IKE和ISAKMP是相同的概念。
ipsec组成
isakmp在ike中的位置
端口500/4500
知乎:vowfi中IPSEC port 500、4500端口解释
NAT穿越
rfc:https://tools.ietf.org/html/rfc3948
ikev1和ikev2
todo
网友评论