ssl & ike/ipsec

SSL/TLS

 

 

 

IKE/IPSEC

IKE协商ike sa 和 ipsec sa，IPSEC 使用ipsec sa进行报文加解封装

 

IKE

 

IPSEC

IPsec虚拟隧道接口对报文的加封装/解封装发生在隧道接口上。用户流量到达实施IPsec配置的设备后，需要IPsec处理的报文会被转发到IPsec虚拟隧道接口上进行加封装/解封装。

如图1-2所示，IPsec虚拟隧道接口对报文进行加封装的过程如下：

图 2 IPsec虚接口隧道加封装原理图

 

(1)        Router将从入接口接收到的IP明文送到转发模块进行处理；

(2)        转发模块依据路由查询结果，将IP明文发送到IPsec虚拟隧道接口进行加封装：原始IP报文被封装在一个新的IP报文中，新IP头中的源地址和目的地址分别为隧道接口的源地址和目的地址。

(3)        IPsec虚拟隧道接口完成对IP明文的加封装处理后，将IP密文送到转发模块进行处理；

(4)        转发模块进行第二次路由查询后，将IP密文通过隧道接口的实际物理接口转发出去。

如图1-3所示，IPsec虚拟隧道接口对报文进行解封装的过程如下：

图 3 IPsec虚接口隧道解封装原理图

 

(1)        Router将从入接口接收到的IP密文送到转发模块进行处理；

(2)        转发模块识别到此IP密文的目的地为本设备的隧道接口地址且IP协议号为AH或ESP时，会将IP密文送到相应的IPsec虚拟隧道接口进行解封装：将IP密文的外层IP头去掉，对内层IP报文进行解密处理。

(3)        IPsec虚拟隧道接口完成对IP密文的解封装处理之后，将IP明文重新送回转发模块处理；

(4)        转发模块进行第二次路由查询后，将IP明文从隧道的实际物理接口转发出去。

从上面描述的加封装/解封装过程可见，IPsec虚拟隧道接口将报文的IPsec处理过程区分为两个阶段：“加密前”和“加密后”。需要应用到加密前的明文上的业务（例如NAT、QoS），可以应用到隧道接口上；需要应用到加密后的密文上的业务，则可以应用到隧道接口对应的物理接口上。