【笔记】openwrt - IPSec

IPSec VPN的基本概念

IPv4问题

1. 不加密
2. 不保障完整性（不保证不被篡改）
3. 附属解析 arp问题

IPSec（Internet Protocol Security）一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输机密性、完整性、防重放。

# IPsec VPN应用场景

• 企业分支可以通过IPSec VPN接入到企业总部网络

# IPSec架构

• IPSec不是一个单独的协议，它通过AH和ESP这两个安全协议来实现数据报文的安全传送
  （AH用的不多、ESP常用）
• IKE协议提供密钥协商，建立和维护安全联盟SA等服务。

# 安全联盟SA

• 安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。
• 安全联盟是单向的，两个对等体之间的双向通信，至少需要两个SA

# IPSec传输模式

• 在传输模式下，AH或ESP报文位于IP报头和传输层报头之间。
  （提供网络层安全）

# IPSec隧道模式

• 在隧道模式下，IPSec会另外生