6、路由交换安全与VPN讲义

路由交换安全与VPN讲义中山大学信息科学与技术学院王常吉

副教授2006年11月局域网与VLAN局域网标准冲突域与广播域虚拟局域网（VLAN）2|

1/11/2024

局域网设备在OSI/RM中的位置路由器网络层网络地址寻址、路由网桥/交换机数据链路层用MAC地址寻址集线器/中继器工作物理层，没有寻址能力网络层数据链路层物理层3|

1/11/2024

局域网标准IEEE,1884年成立，320,000成员，147国家IEEE802.2LLCIEEE802.3EthernetIEEE802.5TokenRingIEEE802.6MAN(DQDB)IEEE802.10，1QVLANIEEE802.11WirelessLANFDDI,ANSIATM,ATMForum&ITU-T4|

1/11/2024

HowSwitchesLearnHostLocationsInitialMACaddresstableisemptyMACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD5|

1/11/2024

HowSwitchesLearnHostsLocationsStationAsendsaframetoStationCSwitchcachesstationAMACaddresstoportE0bylearningthesourceaddressofdataframesTheframefromstationAtostationCisfloodedouttoallportsexceptportE0(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBA6|

1/11/2024

HowSwitchesLearnHostLocationsStationDsendsaframetostationCSwitchcachesstationDMACaddresstoportE3bylearningthesourceAddressofdataframesTheframefromstationDtostationCisfloodedouttoallportsexceptportE3(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E3:0260.8c01.4444E0E1E2E3DCAB7|

1/11/2024

HowSwitchesFilterFramesStationAsendsaframetostationCDestinationisknown,frameisnotfloodedE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMACaddresstable8|

1/11/2024

StationDsendsabroadcastormulticastframeBroadcastandmulticastframesarefloodedtoallportsotherthantheoriginatingport0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444MACaddresstableBroadcastandMulticastFrames9|

1/11/2024

广播域和冲突域冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧广播域：网络中能接收任一设备发出的广播帧的所有设备的集合广播域可以跨网段，而冲突域只是发生的同一个网段。HUB所有端口都在同一个广播域，冲突域内。Switch所有端口都在同一个广播域内，而每一个端口就是一个冲突域。10|

1/11/2024

冲突域和广播域CollisionDomain1CollisionDomain2BroadcastDomainBridgesterminatecollisiondomains11Multicast,broadcast,andunknowndestinationeventsbecomeglobaleventsServerAARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPIneedtoknowtheMACaddressforServerAARPARPARPARPARPARPARPARP广播风暴引起的性能问题12BroadcastscanconsumeallavailablebandwidthEachdevicemustdecodethebroadcastframeServerA广播风暴1310.1.1.010.1.2.010.1.3.0LANbroadcaststerminateattherouterinterfaceLAN1LAN2LAN3通过路由器隔离广播域14SegmentationFlexibility

Security3rdfloor2ndfloor1stfloorSALESHRENGAVLAN=Abroadcastdomain=Logicalnetwork(subnet)通过VLAN实现广播域的隔离15|

1/11/2024

VLAN的类型基于物理端口划分的VLAN基于MAC地址划分的VLAN基于网络层协议划分的VLAN基于网络层地址（IP地址）的VLAN16|

1/11/2024

基于物理端口分组（PortBased）主机A主机B主机C主机D以太网交换机VLAN表端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port1017|

1/11/2024

基于物理端口分组（PortBased）优点配置简单缺点不允许一个端口同时属于多过VLAN当终端计算机位置变化时，必须由管理员重新配置VLAN的接口。18|

1/11/2024

二层VLAN：根据MACAddress分组

MACAddress

VLAN1212354145121

12389234873743

23045834758445

25483573475843

1基于MAC地址分组（MACBased）19|

1/11/2024

基于MAC地址分组（MACBased）VLAN表MAC地址所属VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主机A主机B主机C主机DMACAMACBMACCMACD以太网交换机20|

1/11/2024

基于MAC地址分组（MACBased）优点工作站物理移动时，不需要重新配置，依然属于原来的VLAN。缺点在初始时所有的用户必须在至少一个VLAN上初始化21|

1/11/2024

基于网络层协议分组VLAN表协议类型所属VLANIPX协议IP协议……VLAN5VLAN10……主机A主机B主机C主机D使用IPX协议运行IP协议使用IPX协议运行IP协议以太网交换机22|

1/11/2024

基于网络地址分组VLAN表IP网络所属VLANIP1.1.1.1/24IP1.1.2.1/24……VLAN5VLAN10……主机A主机B主机C主机D1.1.1.51.1.2.881.1.1.81.1.2.99以太网交换机23|

1/11/2024

基于网络地址分组优点可以根据协议类型划分物理移动时，无需修改网络地址缺点交换机检查网络层协议信息，消耗资源对于没有层次结构的协议（不可路由）不适用24|

1/11/2024

交换机之间传输VLAN成员信息交换机之间必须知道每个工作站属于哪一个VLAN，否则VLAN只能限制在同一台交换机上。交换机之间三种交换信息的方式TrunkTaggingSigalingTime-DivisionMultiplexingINTER-SWITCHCOMMUNICATIONSWITCH#1SWITCH#225|

1/11/2024

交换机之间传输VLAN成员信息FrameTagging在交换机之间的主干链路（Trunck-Link）上传输的Frame中，在MAC头标中插入VLAN标识符Signalling当一台工作站发送第一个frame时，交换机记录它的MAC地址、端口，在地址表中缓存，并定期向其他的交换机广播。TimeDivisionMultiplexing通过时分多路复用技术，在交换机之间的链路上为每个VLAN建立一个独立的信道26|

1/11/2024

VLAN的优点易于维护－容易解决人员位置的变动有效地控制广播流量，提高性能增强网络安全性27|

1/11/2024

VLAN的优点—易于维护公司每年有20%-40%的工作人员需要改变工作位置。这种移动、添加和改变是网络管理中开支的重点。许多移动需要重新布线、重新分配地址、重新配置HUB和路由器。VLAN提供了一种有效的机制来管理这种业务。同一VLAN中的用户，不管其位置如何，都可以使用同一网络地址。当用户移动时，只要还连接至交换机并在同一个VLAN中，就可以使用原来的网络地址。VLAN需要很少的重新布线、配置和调试，是对传统LAN技术的重大改进。路由器的配置也不受影响，当用户搬迁时，只要还在原来的子网，路由配置就不用改变。28|

1/11/2024

每个网络都有广播流量。广播的频率与应用类型、服务器类型、物理分段以及网络资源的使用方式密切相关。如果需要预先测试网络，确保不会有与广播相关的问题。一种有效的方式是对物理网络进行分段，用防火墙隔离各个段。即使一个网段上有过量的广播数据，其他网段不会受影响。这种分段能力提供了更高的可靠性，是广播流量尽可能减小，从而应用有更多的带宽可用。VLAN的优点——控制广播流量29|

1/11/2024

当两个交换机之间没有路由器时，广播流量被转发至每个交换机端口。这种整个网络中只有一个广播域的网络被称为平坦型网络。优点：低延迟，高流通率，易于管理。缺点：容易受到广播数据报的攻击。VLAN能有效地提供路由器的防火墙功能，从而保护网络不受有害广播数据的影响。另外，VLAN有所有交换机的优点。VLAN的组越小，一个VLAN中的广播风暴所影响的用户就越少。可以根据应用类型以及应用的广播频率来划分VLAN。VLAN的优点——控制广播流量30|

1/11/2024

监听的威胁经常有重要的、机密的数据通过LAN。机密数据需要安全的访问控制机制。LAN的一个缺点就是它太容易被渗透。插入一个可用的接口，一个恶意的用户就可获得整个网段上的数据。通过物理隔离，可以实现控制一个组中的用户数量防止其它用户在没有申请的情况下进入VLAN把未使用的端口划到一个低性能的网段VLAN的优点——增强网络安全性31|

1/11/2024

实现这种结构的VLAN相当直观。交换机端口按应用类型和访问级别进行分组。有安全要求的应用和资源一般放在一个安全的VLAN中。交换机限制对安全VLAN的访问。可以根据主机地址、应用类型和协议类型设置安全控制机制。可以用访问控制列表来增强安全性，这种技术在VLAN之间通讯时特别有用。在安全子网中，路由器也象交换机一样提供安全控制。路由器可以根据工作站地址、应用类型和协议类型甚至时间来设置安全控制机制。VLAN的优点——增强网络安全性32|

1/11/2024

VLAN的问题互操作性问题标准滞后，实现上的不一致不同厂商实现方式不同，除非选择单一厂家的产品硬件设备、VLAN软件、管理软件设备的废弃，造成投资的浪费增加了管理的复杂性33|

1/11/2024

目录VPN技术概述IP安全体系结构认证头协议(AH)封装安全载荷(ESP)安全关联(SA)密钥管理34|

1/11/2024

VPN概述VirtualPrivateNetwork虚拟专用网虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体，通过应用多种技术提供用户认证、数据完整性和访问控制，从而提供网络应用程序之间的安全通信。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。VPN不是一种单一的技术，而是具有若干特性的系统35|

1/11/2024

VPN概述IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。虚拟：用户不再需要拥有实际的长途数据线路，而是使用公共网络资源。但它建立的只是一种临时的逻辑连接，一旦通信会话结束，这种连接就断开了。专用：用户可以定制最符合自身需求的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。36|

1/11/2024

VPN概述VPN技术虽然种类众多，但IETF下的IPSec工作组推出的IPSec协议是目前工业界IPVPN标准，以IPSec协议构建虚拟专用网已成为主流。基于IPSec构建IPVPN是指利用实现IPsec协议的安全网关（SecurityGateway）充当边界路由器，完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等37|

1/11/2024

VPN概述IPSec的应用：IPSec提供对跨越LAN/WAN，Internet的通讯提供安全性分支办公机构通过Internet安全互联远程安全访问Internet与合作伙伴建立extranet与intranet的互连增强电子商务安全性38|

1/11/2024

VPN的类型每种VPN都具有特定的要求和优先权，实现的目的、解决的问题也不同用于移动工作者的远程访问Client-LANVPN，也叫AccessVPN替代早期的拨号远程访问网络用于局域网间连接的PNLAN-LAN型IntranetVPN和ExtranetVPN39|

1/11/2024

VPN的安全性VPN的主要目的是保护传输数据，必须具备4个关键功能认证：数据传输的来源确如其声明所言，目的地确实是数据期望到达的位置访问控制：限制对网络未经授权的访问机密性：防止数据在通过网络时被察看数据完整性：防止传输中对数据的任何篡改VPN的目的是保护从信道的一个端点到另一端点传输的信息流，信道的端点之前和之后，VPN不提供任何的数据包保护40|

1/11/2024

VPN系统组成41|

1/11/2024

VPN系统组成VPN服务器：接受来自VPN客户机的连接请求；VPN客户机：可以是终端计算机，也可以是路由器；隧道：数据传输通道，在其中传输的数据必须经过封装；VPN连接：在VPN连接中，数据必须经过加密；隧道协议：封装数据、管理隧道的通信标准传输数据：经过封装、加密后在隧道上传输的数据；公共网络：如Internet，也可以是其他共享型网络42|

1/11/2024

VPN关键技术RFC（RequestForComments）：“请求注解”，包含了关于Internet的几乎所有重要的文字资料。RFC享有网络知识圣经之美誉。RFC2194：第一个VPNRFC，1997年9月14日发布。自1999年4月17日之后，有10个RFC直接涉及VPN，如RFC2401-2411和RFC2451。有80多个RFC涉及隧道。43|

1/11/2024

VPN关键技术隧道技术：VPN的基本技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道由隧道协议形成，常用的有第2、3层隧道协议。密码技术：加解密技术：在VPN应用中将认证信息、通信数据等由明文转换为密文的相关技术，其可靠性主要取决于加解密的算法及强度。身份认证技术：在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。密钥管理技术：如何在公用数据网上安全地传递密钥而不被窃取。QoS技术：保证VPN的性能稳定，在管理上满足企业的要求。44|

1/11/2024

VPN的隧道技术对通过隧道的数据进行处理的两个基本过程：加密和封装。加密：保证VPN的“私有性”；通信双方数据的加密涉及到：加密方法的选择、密钥的交换、密钥的管理等。封装：构建隧道的基本手段；使得隧道能够实现信息的隐蔽和信息的抽象。将一种协议封装在另一种协议中传输，从而实现被封装协议对封装协议的透明性，保持被封装协议的安全特性。45|

1/11/2024

VPN的隧道技术安全协议：就是构建隧道的“隧道协议”。IP隧道协议：使用IP协议作为封装协议的隧道协议。第二层隧道协议：首先把各种网络协议封装到数据链路层的PPP帧中，再把整个PPP帧装入隧道协议中。这种双层封装方法形成的数据包依靠第二层协议进行传输。如：PPTP（点到点隧道协议，Point-to-PointTunnelingProtocol）、L2F（第二层转发协议，LayerTwoForwarding）和L2TP（第二层隧道协议，LayerTwoTunnelingProtocol）等；46|

1/11/2024

VPN的隧道技术第三层隧道协议：把各种网络协议直接装入隧道协议中，封装的是网络层协议数据包。如：GRE（通用路由封装协议，GenericRoutingEncapsulation）和IPSec（IP层安全协议，InternetProtocolSecurity）IPSec的应用最为广泛，是事实上的网络层安全标准。不同协议层次的隧道协议各有优缺点，可考虑将其结合以构建虚拟专用网的完整解决方案。47|

1/11/2024

IPSec架构IPSec是提供网络层通信安全的一套协议簇IPSec只是一个开放的结构，通过在主IP报头后面接续扩展报头，为目前流行的数据加密或认证算法的实现提供统一的数据结构需求：身份认证、数据完整性和保密性IPSec在IPv6中是强制的，在IPv4中是可选的48|

1/11/2024

IPSec发展历史1994年IETF专门成立IP安全协议工作组，来制定和推动一套称为IPSec的IP安全协议标准。1995年8月公布了一系列关于IPSec的建议标准。1996年，IETF公布下一代IP的标准IPv6，把鉴别和加密作为必要的特征，IPSec成为其必要的组成部分。1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP（因特网安全关联和密钥管理协议），IKE（密钥交换协议）、Oakley（密钥确定协议）。ISAKMP/IKE/Oakley支持自动建立加密、鉴别信道，以及密钥的自动安全分发和更新。幸运的是，IPv4也可以实现这些安全特性。49|

1/11/2024

IPSec的应用方式端到端（end－end）：主机到主机的安全通信端到路由（end－router）：主机到路由设备之间的安全通信路由到路由（router－router）：路由设备之间的安全通信，常用于在两个网络之间建立虚拟专用网50|

1/11/2024

IPSec的内容协议部分，分为：AH（认证头，AuthenticationHeader）：提供完整性保护和抗重放攻击；ESP（封装安全载荷，EncapsulatingSecurityPayload）：提供机密性、完整性保护和抗重放攻击；密钥管理（KeyManagement）SA（SecurityAssociation）ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议51|

1/11/2024

VPN概述IPSEC的优点在防火墙或路由器中实现时，可以对所有通过其边界的流量实施强安全性，而公司内部或工作组内部的通信不会招致与安全处理相关的开销防火墙内的IPSec能在所有外部流量均使用IP时阻止旁路IPSec在传输层以下，对所有应用透明，因此在防火墙或路由器使用IPSec时，不需要对用户系统或服务系统做任何改变IPSec可以对最终用户透明IPSec可以为单个用户提供安全性52|

1/11/2024

IPSec安全体系结构53|

1/11/2024

IP安全体系结构IPSEC文档体系结构(Architecture)：定义IPSec技术的一般性概念、需求和机制封装安全有效载荷（ESP-EncapsulatingSecurityPayload）认证头（AH-AuthenticationHeader）加密算法（EncryptionAlgorithm）认证算法（AuthenticationAlgorithm）密钥管理（KeyManagement）：ISAKMP解释域（DOI-DomainofInterpretation）：其他文档需要的为了彼此间互相联系的一些值，包括经过检验的加密和认证算法的标识以及操作参数，比如密钥的生存期54|

1/11/2024

IP安全体系结构IPSEC协议框架：综合了密码技术和协议安全机制，IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSEC文档RFC2401:AnoverviewofsecurityarchitectureRFC2402:DescriptionofapacketencryptionextensiontoIPv4andIPv6RFC2406:DescriptionofapacketemcryptionextensiontoIPv4andIPv6RFC2408:Specificationofkeymanagamentcapabilities55|

1/11/2024

IP安全体系结构

IPSec在IP层提供安全服务，系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需加密密钥。访问控制无连接完整性数据源认证拒绝重放数据包保密性（加密）有限的信息流保密性56|

1/11/2024

IP安全体系结构AHESP(只加密)ESP(加密并认证)访问控制√√√无连接的完整性√√数据源发认证√√检测重放攻击√√√机密性√√有限的通信流保密√√57|

1/11/2024

IP安全体系结构安全关联(SecurityAssociation)是两个通信实体经过协商建立起来的一种协定，他们决定了用来保护数据包安全的IPSec协议、密码算法、密钥等信息，IPSec实体要建立一个本地SA数据库(SADB)，SPI(SAParameterIndex)是AH或ESP中的一个字段，用来标识数据包对应的SASA是单向的，该连接为其运载的流量提供安全服务。多个SA联合使用构成SA束(SAbundle)。SA是协议相关的，根据安全协议不同，SA分为：AHSA和ESPSA；根据使用模式不同，SA又分为传输模式SA和隧道模式SA58|

1/11/2024

IP安全体系结构

SA由三个参数唯一确定：SecurityParametersIndex(SPI)IP目的地址（IPDA）：安全协议：AH或者ESP。sourcedstprotospiSA记录1.1.1.12.2.2.2AH11MD5,K12.2.2.21.1.1.1ESP12DES,K22.2.2.21.1.1.1AH13SHA,K3A(1.1.1.1)B(2.2.2.2)A的SADB59|

1/11/2024

IP安全体系结构SA参数序数计数器：一个32位用于生成AH或ESP头中的序数字段计数器溢出位：一个标志位表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的进一步的包传送。反重放窗口：用于确定一个入站的AH或ESP是否是一个回放AH信息：认证算法，密钥，密钥生存期，以及与密钥一起的其他参数ESP信息：加密和认证算法，密钥，初始值，密钥生存期，以及与密钥一起的其他参数60|

1/11/2024

IP安全体系结构SA的生存期：一个时间间隔或字节计数。到时候一个SA必须用一个新的SA替换或终止IPSec协议模式：隧道，传输PathMTU：最大传输单元（不需要分段传输的最大包长度）路径和迟滞变量61|

1/11/2024

IP安全体系结构安全策略(Policy)决定了为哪种类型的包提供何种安全服务，IP信息流与SA关联的手段是通过安全策略数据库SPD(SecurityPolicyDatabase)每一个SPD入口通过一组IP和更高层协议域值，称选择符来定义，以下的选择符确定SPD入口：源地址目标地址协议（TCP/UDP/ICMP）源端口和目标端口用户ID数据敏感性级别服务类型（ToS）62|

1/11/2024

IPSEC外发数据报处理LookupSPDtofindpolicyfordatagramCreatenewSAifneeded.ApplykeysinSAforencryption/MACing.PassprocesseddatagramdowntoLinkLayer.PasstonextinstanceofIPSecprocessing.FurtherIPSecprocessingrequired?Drop,passthroughorprocessdatagram?63|

1/11/2024

IP安全体系结构安全策略数据库SPD和安全关联数据库SADBsourcedstprotospiSA记录1.1.1.12.2.2.2AH11MD5,K1,…1.1.1.12.2.2.2ESP12DES,K2,…2.2.2.21.1.1.1AH13DES,K3,…A(1.1.1.1)B(2.2.2.2)A的SADBsourcedestprotocolportpolicy1.1.1.12.2.2.2TCP80AH1.1.1.13.3.3.3TCP25ESPA的SPD64|

1/11/2024

传输模式HeaderPayloadIPdatagramNetworkHeaderPayloadIPdatagramIPSECTransportMode65|

1/11/2024

隧道模式IPSECTunnelMode：ProtectionforentireIPdatagram.Entiredatagramplussecurityfieldstreatedasnewpayloadof‘outer’IPdatagram.Sooriginal‘inner’IPdatagramencapsulatedwithin‘outer’IPdatagram.IPSecprocessingperformedatsecuritygatewaysonbehalfofendpointhosts.Gatewaycouldbeperimeterfirewallorrouter.Gateway-to-gatewayratherthanend-to-endsecurity.HostsneednotbeIPSec-aware.IntermediateroutershavenovisibilityofinnerIPdatagram.Evenorginalsourceanddestinationaddressesencapsulatedandso‘hidden’.66|

1/11/2024

隧道模式HeaderPayloadHeaderPayloadHeaderPayloadInnerIPdatagramOuterHeaderNetworkHeaderPayloadInnerIPdatagramInnerIPdatagramInnerIPdatagramSecurityGatewaySecurityGatewayOuterHeaderIPSECTunnelMode67|

1/11/2024

AH协议AH=AuthenticationHeader(RFC2402).Providesdataoriginauthenticationanddataintegrity.AHauthenticateswholepayloadandmostofheader.PreventsIPaddressspoofing.SourceIPaddressisauthenticated.Createsstatefulchannel.Useofsequencenumbers.Preventsreplayofolddatagrams.AHsequencenumberisauthenticated.UsesMACandsecretkeysharedbetweenendpoints68|

1/11/2024

AH协议认证头支持数据完整性和IP包认证，数据完整性确保在包的传输过程中内容不可更改，认证确保终端系统或网络设备能对用户或应用程序进行认证，并相应地提供流量过滤功能，同时还能够防止地址欺诈攻击和重放攻击在IPV4和IPV6中，AH使用约定的协议号51NextHeaderSequenceNumberSPI31AuthenticationData完整性保护的数据Payload

Lengthreserved数据IP头069|

1/11/2024

AH协议Nextheader：8bit，标识数据载荷中的封装方式或协议Payloadlength(有效载荷长度)：8bit，以32位字为单位的认证数据字段的长度。最小值是0，仅仅用于“null”认证算法的情况。这不应该在IPSec中发生，IPSec中必须指定一位。Reserved：16bit，保留以供将来使用。发送时必需设置为全零。Securityparametersindex(SPI)：

为数据报识别安全联合的32位伪随机值。SPI值0被保留来表明“没有安全联合存在”。70|

1/11/2024

AH协议完整性校验值：认证数据域考虑因素

计算MAC值：

产生完整性校验值(

IntegrityCheckValue,ICV)利用秘密密钥加密

双方必须协商好：

ICV加密的秘密密钥

采用何种

MAC演算法

(如HMAC-SHA-1)选择那些数据域来计算

ICV值71|

1/11/2024

AH–TransportandTunnelPayload(egTCP,UDP,ICMP)InnerIPheaderAHintransportmode:AHintunnelmode:MACscope-allimmutablefieldsPayload(egTCP,UDP,ICMP)OriginalIPheaderOuterIPheaderMACscope-allimmutablefieldsAHLen,SPI,seqno,MACAHLen,SPI,seqno,MAC72|

1/11/2024

ESP协议ESP=EncapsulatingSecurityPayload(RFC2406).Providesoneorbothof:confidentialityforpayload/innerdatagram.NBsequencenumbernotprotectedbyencryption.authenticationofpayload/innerdatagrambutnot

ofanyheaderfields(originalheaderorouterheader).Traffic-flowconfidentialityintunnelmode.UsessymmetricencryptionandMACsbasedonsecretkeyssharedbetweenendpoints.TherearebothengineeringandpoliticalreasonsfortheseparateexistenceofauthenticationinAHandinESP.73|

1/11/2024

ESP协议0SP