IPsec 安全关联概述

IPSec 的另一个注意事项是您希望实现的安全关联 （SA） 类型。SA 是在建立 IPSec 关系的设备之间协商的一组 IPSec 规范。这些规范包括建立 IPSec 连接时应使用的身份验证、加密和 IPSec 协议类型的首选项。SA 可以是单向的，也可以是双向的，具体取决于网络管理员所做的选择。SA 由安全参数索引 （SPI）、IPv4 或 IPv6 目标地址以及安全协议（AH 或 ESP）标识符唯一标识。

您可以使用预设的预共享手动 SA 配置 IPSec，或使用 IKE 建立动态 SA。手动 SA 要求您预先指定所有 IPSec 要求。相反，IKE 动态 SA 通常包含最高级别的身份验证和加密的配置默认值。

配置 IPSec 时，最后一个主要考虑因素是您希望在网络中实施的 IPSec 模式类型。Junos OS 支持以下 IPSec 模式：

• Junos OS 中的 AH 和 ESP 都支持隧道模式，是路由器的常用选择。在隧道模式下，SA 和关联的协议将应用于隧道 IPv4 或 IPv6 数据包。对于隧道模式 SA，外部 IP 报头指定 IPSec 处理目标，内部 IP 报头指定数据包的最终目标。安全协议标头显示在外部 IP 标头之后和内部 IP 标头之前。此外，当您使用 AH 和 ESP 实现隧道模式时，隧道模式也略有不同：

  • 对于 AH，外部 IP 报头的某些部分以及整个隧道 IP 数据包都受到保护。

  • 对于 ESP，仅保护隧道数据包，而不保护外部标头。

  当安全关联的一端是安全网关（如路由器）时，SA 必须使用隧道模式。但是，当流量（例如，SNMP 命令或 BGP 会话）发往路由器时，系统将充当主机。在这种情况下，允许传输模式，因为系统不充当安全网关，也不发送或接收传输流量。

• 传输模式提供两个主机之间的安全关联。在传输模式下，协议主要为上层协议提供保护。对于 IPv4 和 IPv6 数据包，传输模式安全协议标头紧跟在 IP 标头和任何选项之后，以及任何更高层协议（例如，TCP 或 UDP）之前。使用 AH 和 ESP 实现传输模式时，传输模式略有不同：

  • 对于 AH，IP 报头的选定部分以及扩展报头的选定部分和 IPv4 报头中的选定选项都受到保护。

  • 对于 ESP，仅保护较高层的协议，而不保护 IP 报头或 ESP 报头之前的任何扩展报头。