中级通信工程师

本文整理了2014年中级通信工程师考试《互联网技术》相关知识点，希望能够帮助您更好的全面备考2014年通信工程师考试!

基于IPSec的VPN实现2

ESP主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，如DES,TripleDES,RC5等。为了保证各种IPSec实现间的互操作性，目前ESP必须提供对56位DES算法的支持。

ESP数据单元格式由3个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引(SP1)和序列号(Sequencenumber)。使用ESP进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载、填充域(用来保证加密数据部分满足块加密的长度要求)，还包括ESP尾部，这几部分在传输时都是加密过的。其ESP尾部中“下一个头部(NextHeader)”用来指出有效负载部分使用的协议，可能是传输层协议(TCP或UDP)，也可能还是IPSec(ESP或AH)。

通常，ESP可以作为IP的有效负载进行传输，这时IP的头部指出下一个协议是ESP,而非TCP和qDP.由于采用了这种封装形式，所以ESP可以使用旧有的网络进行传输。

由于IPSec进行加密有两种工作模式，则ESP协议有两种工作模式：传输模式(TransportMode)和隧道模式(TunnelMode)。当ESP工作在传输模式时，采用当前的IP头部：而在隧道模式时，对整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的丨P头部，此时可以起到NAT的作用。

AH只涉及认证，不涉及加密。AH虽然在功能上和ESP有些重复，但AH除了可以对IP的有效负载进行认证外，还可以对IP头部实施认证。而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性，AH必须包含对HMAC-SHA和HMAC-MD5(HMAC是-种SHA和MD5都支持的对称式认证系统)的支持。

AH既可以单独使用，也司?在隧道模式下，或者与ESP联用。

IKE协议主要是对密钥交换进行管理，它主要包括以下3个功能。

(1)对使用的协议、加密算法和密钥进行协商。

(2)方便的密钥交换机制(这可能需要周期性进行)。

(3)跟踪对以上这些约定的实施。

IPSecVPN的应用有两种基本类型：拨号VPN与专用VPN。

拨号VPN为移动用户与远程办公者提供远程内部网访问。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所，拨号VPN分为两种：在用户PC上或在服务提供商的网络访问服务(NAS)上。

专用VPN有多种形式，其共同的要素是为用户提供IP服务，一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来，这些业务的特点是多用户与高速连接，为了提供完整的VPN业务，企业与服务提供商经常将专用VPN与远程访问方案结合起来。

编辑推荐：

2014年通信工程师考试中级互联网技术第五章汇总二

2014年通信工程师考试中级互联网技术章节汇总 

2014年中级通信工程师考试设备环境章节汇总

更多关注：2014年通信工程师考试时间  通信工程师考试试题  通信工程师考试科目 

（责任编辑：xy）

共2页,当前第1页  第一页  前一页  下一页