跳到主要内容

1.1. Usage Scenarios (使用场景)

1.1 Usage Scenarios (使用场景)

IKE 用于在多种不同场景中协商 ESP 或 AH 的 SA, 每种场景都有其特殊要求.

1.1.1. Security Gateway to Security Gateway in Tunnel Mode (隧道模式下安全网关到安全网关)

               +-+-+-+-+-+            +-+-+-+-+-+
               |         | IPsec      |         |
   Protected    |Tunnel   | tunnel     |Tunnel   |     Protected
   Subnet   <-->|Endpoint |<---------->|Endpoint |<--> Subnet
               |         |            |         |
               +-+-+-+-+-+            +-+-+-+-+-+

          Figure 1: Security Gateway to Security Gateway Tunnel

在此场景中, IP 连接的任一端点都不实现 IPsec, 但二者之间的网络节点在部分路径上保护流量. 保护对端点透明, 并依赖常规路由将分组送至隧道端点进行处理. 各端点会通告其 "背后" 的地址集合, 分组以隧道模式发送, 其中内部 IP 头包含实际端点的 IP 地址.

1.1.2. Endpoint-to-Endpoint Transport Mode (端点到端点的传输模式)

  +-+-+-+-+-+                                          +-+-+-+-+-+
  |         |                 IPsec transport          |         |
  |Protected|                or tunnel mode SA         |Protected|
  |Endpoint |<---------------------------------------->|Endpoint |
  |         |                                          |         |
  +-+-+-+-+-+                                          +-+-+-+-+-+

                     Figure 2: Endpoint to Endpoint

在此场景中, IP 连接的两个端点均实现 IPsec, 符合 [IPSECARCH] 对主机的要求. 传输模式通常在不带内部 IP 头的情况下使用. 将为该 SA 保护的分组协商单一地址对. 这些端点可以基于参与者的 IPsec 已认证身份实现应用层访问控制. 该场景体现了自 [ARCHPRINC], [TRANSPARENCY] 以来一直作为互联网指导原则的端到端安全, 以及 [ARCHGUIDEPHIL] 所指出的限制网络固有复杂性问题的途径. 尽管该场景未必完全适用于 IPv4 互联网, 但已在采用 IKEv1 的企业网特定场景中成功部署. 在向 IPv6 过渡以及采用 IKEv2 的过程中, 应使其得到更广泛的应用.

在此场景中, 受保护的一个或两个端点可能位于 network address translation (NAT, 网络地址转换) 节点之后, 此时隧道化分组必须进行 UDP 封装, 以便利用 UDP 头中的端口号识别 NAT "背后" 的各个端点 (见第 2.23 节).

1.1.3. Endpoint to Security Gateway in Tunnel Mode (隧道模式下端点到安全网关)

  +-+-+-+-+-+                          +-+-+-+-+-+
  |         |         IPsec            |         |     Protected
  |Protected|         tunnel           |Tunnel   |     Subnet
  |Endpoint |<------------------------>|Endpoint |<--- and/or
  |         |                          |         |     Internet
  +-+-+-+-+-+                          +-+-+-+-+-+

              Figure 3: Endpoint to Security Gateway Tunnel

在此场景中, 受保护端点 (通常为便携式漫游计算机) 通过受 IPsec 保护的隧道连回其企业网络. 它可能仅使用该隧道访问企业网内信息, 也可能将所有流量经企业网回传以利用企业防火墙抵御基于互联网的攻击. 无论哪种情况, 受保护端点都希望获得与安全网关关联的 IP 地址, 以便返回它的分组到达安全网关并被隧道传回. 该 IP 地址可以是静态的, 也可以由安全网关动态分配. 为支持后一种情况, IKEv2 提供一种机制 (即 configuration payloads, 配置载荷), 供发起方向安全网关请求在 SA 存续期内使用、由安全网关拥有的 IP 地址.

在此场景中, 分组使用隧道模式. 在来自受保护端点的每个分组上, 外部 IP 头中的源地址与其当前位置相关联 (即能将流量直接路由到端点的地址), 而内部 IP 头中的源地址由安全网关分配 (即能将流量路由到安全网关再转发到端点的地址). 外部目的地址始终是安全网关的地址, 内部目的地址则是分组的最终目的地址.

在此场景中, 受保护端点也可能位于 NAT 之后. 此时, 安全网关所见 IP 地址与受保护端点发送的地址不同, 分组必须进行 UDP 封装才能正确路由. 与 NAT 的交互详见第 2.23 节.

1.1.4. Other Scenarios (其他场景)

还可能存在其他场景, 以及上述场景的嵌套组合. 一个值得注意的例子结合了第 1.1.1 节与第 1.1.3 节的某些方面. 某个子网可能通过 IPsec 隧道经远端安全网关进行所有对外访问, 互联网上其余部分将子网上的地址路由到该安全网关. 例如某人的家庭网络在逻辑上位于互联网上并拥有静态 IP 地址, 而连接由仅向其安全网关分配单一动态地址的 ISP 提供 (静态地址与 IPsec 中继由位于别处的第三方提供).

最后 更新