我們知道VPN相當于是基于Internet上建立了一個虛拟的專用通道，和物理專線還是不一樣，數據其實還是通過Internet在傳輸的，那這樣還是不能夠保證這些私有的數據傳輸安全，所以VPN是需要有一個保護機制的，最常用的就是IPsec，IPsec是IP security的縮寫，即IP安全協議。它不是一個單獨的協議，而是一系列為IP網絡提供安全性的協議和服務的集合。

IPSec是一個框架性架構，具體由兩類協議組成：

• AH協議（Authentication Header，使用較少）：可以同時提供數據完整性确認、數據來源确認、防重放等安全特性，不具備加密功能。
• ESP協議（Encapsulated Security Payload，使用較廣）：可以同時提供數據完整性确認、數據加密、防重放等安全特性，具備加密功能。

這些部分都可以采用多種算法來實現。我們來看一下IPsec主要涉及到的一些協議和密碼算法是怎麼來滿足信息安全性的。關于這些算法的原理内容這裡就細說了，有興趣可以去看一看密碼學。

1. 通過加密把數據從明文變成無法讀懂的密文，從而确保數據的私密性。

如果加密密鑰與解密密鑰是相同的稱為對稱加密，由于對稱加密的運算速度比較快，所以IPsec使用對稱加密算法來加密數據。

主要有：

• DES（Data Encryption Standard）數據加密标準，是一種應用比較廣泛的傳統加密算法标準。
• 3DES三重數據加密标準，相當于是對每個數據塊執行三次标準的DES加密算法。比DES更加安全。
• AES(Advanced Encryption Standard)高級加密标準，它的安全性機制高于DES，3DES。

2、通過對數據進行hash運算，産生類似于指紋的數據摘要，以保證數據的完整性。

主要是兩種hash算法：

• MD5:使用128位共享安全秘鑰和變長消息組合在一起運行輸出一個128位的哈希值，該值被附加在原始消息的後面發往遠端。
• SHA-1：使用160位共享安全密鑰和變成消息組合一起運行輸出160位哈希值，該值被附加在原始消息的後面發往遠端。SHA-1安全性高于MD5。

對稱加密和hash都是要求通信雙方具有相同的密鑰，那怎麼在雙方之間安全地傳遞密鑰呢？

• DH（Diffe-Hellman）算法：一種确保共享密鑰安全穿越不安全網絡的方法。使用DH算法建立隻有協商兩端才知道的一個共享安全密鑰。

3、通過身份認證保證數據的真實性，确定數據确實是由特定的對端發出的。

常用的身份認證方式：

• Pre-shared key預共享密鑰：指通信雙方在配置時預先手工輸入相同的密鑰。

IPSec除了一些協議原理外，我們更關注的是協議中涉及到方案制定的内容：

• 興趣流：IPSec是需要消耗資源的保護措施，并非所有流量都需要IPSec進行處理，而需要IPSec進行保護的流量就稱為興趣流，最後協商出來的興趣流是由發起方和響應方所指定興趣流的交集，如發起方指定興趣流為192.168.1.0/24<>10.0.0.0/8，而響應方的興趣流為10.0.0.0/8<>192.168.0.0/16，那麼其交集是192.168.1.0/24<>10.0.0.0/8，這就是最後會被IPSec所保護的興趣流。
• 發起方：IPSec會話協商的觸發方，IPSec會話通常是由指定興趣流觸發協商。
• 響應方： IPSec會話協商的接收方，響應方是被動協商，響應方可以指定興趣流，也可以不指定（完全由發起方指定）。
• 發起方和響應方協商的内容主要包括：雙方身份的确認和密鑰種子刷新周期、AH/ESP的組合方式及各自使用的算法，還包括興趣流、封裝模式等。
• SA（Security Assocaition）安全關聯：發起方、響應方協商的結果就是SA。

具體執行協商任務的協議叫做互聯網密鑰交換協議IKE（Internet Key Exchange）。我們以最常見的IPSec隧道模式為例，解釋一下IPSec的協商過程：

1. 發起方定義的興趣流是源192.168.1.0/24目的10.0.0.0/8，所以在接口發送發起方内網PC發給響應方内網PC的數據包，能夠得以匹配。
2. 滿足興趣流條件，在轉發接口上檢查SA不存在、過期或不可用，都會進行協商，否則使用當前SA對數據包進行處理。
3. 協商的過程通常分為兩個階段，第一階段是為第二階段服務，第二階段是真正的為興趣流服務的SA，兩個階段協商的側重有所不同，第一階段主要确認雙方身份的正确性，主要目的就是對建立IPSec的雙方進行認證，以确保隻有合法的對等體（peer）才能建立IPSec VPN。協商得到的結果就是IKE SA。第二階段則是為興趣流創建一個指定的安全套件，其最顯著的結果就是第二階段中的興趣流在會話中是密文。第二階段的主要目的就是根據需要加密的實際流量（感興趣流），來協商保護這些流量的策略。協商的結果就是IPSec SA。

我們對這一過程做一個簡單的比喻：IKE協商過程就像兩個公司做生意過程。兩個公司在具體合作之前需要相互了解，最簡單的方法可能就是核查對方公司的工商牌照、公司營業和信譽狀況。目的就是相互進行認證，建立基本的信任關系。這個過程其實就是IKE第一個階段需要完成的任務。一個階段完成後，信任關系建立了，相應的IKE SA也就建立了。緊接着的主要任務就是基于具體的項目來簽訂合同。對于IPSec VPN而言，具體的項目就是安全保護通信點之間的流量，具體處理這些流量的策略（IPSec SA）就是合同。IKE第二階段的任務就是基于需要被加密的流量協商相應的IPSec SA。一旦雙方在第一階段建立起了信任關系，他們就沒有必要重複進行認證了。接下來，雙方的議題就是根據第一階段建立的IKE SA，給兩個站點之間的很多需要被加密的流量協商不同的第二階段策略（IPSec SA）。

可以說IPsec VPN内容還是比較多的，而且還比較難理解，後面會有具體的配置案列說明，IPsec在兩種VPN模式站點到站點和遠程訪問下的應用，歡迎大家關注哈~