IPsec隧道模式下头部的加密

Question

我正在学习IPsec的运输和隧道模式。我理解传输模式只加密IP数据包的有效负载，并用于实现IPsec的两个实体之间的通信。我理解隧道模式对整个数据包进行加密，并且经常在两个网关之间使用(就像网络边缘的防火墙)。我有两个问题，我认为是相关的：

1. 为什么头信息必须在隧道模式下加密？
2. 如果报头信息是加密的，如何路由数据包？不要标头包含这样的信息:嘿，将此数据包发送到2001:db8:85a3:8d3:1319:8a2e:370:7348。如果标头被封存，数据包是如何路由的？

Answer 1

并不是必须以隧道模式加密报头；相反，如果报头没有加密，它就不是真正的隧道。

隧道模式是将两个路由器与一个加密的隧道连接在一起。他们将数据包交换给其他主机。从原理上讲，路由器A是网络netA的出口路由器，路由器B是网络netB的出口路由器。A和B运行IPSec隧道。当网络netA中的机器想要向网络netB中的机器发送数据包时，该机器将该数据包发送到其退出路由器，即路由器A。路由器A将该数据包发送到隧道内的路由器B。路由器B接收加密的数据包，但在接收时解密它，并发现在netB中应该为哪台机器发送数据包。路由器B继续将数据包发送到最终目标机器。

在隧道里：

• 通信的源和目标机器不需要知道IPSec；只有隧道两端的两个路由器。
• 偷听路由器A和B之间的链路(即“因特网上的坏人”)只看到加密的数据，甚至无法知道哪台机器正在与每台机器对话，因为整个数据包都是加密的，包括报头。

Answer 2

在隧道模式中使用时，IPsec将IP数据包视为有效负载。因此，所有这些信息都是加密的。为了正确地路由，启用IPSec的实体然后构建一个新的数据包.

这个IP包是用来发送到隧道端的，例如另一个IPSec网关。为了实现这一点，新的IP包将有一个全新的IP报头，目标IP设置在这个特定的设备地址上。包的其余部分将包含传统的ESP数据，包括报头、有效载荷(原始数据包)、拖车和身份验证数据。

下面是数据包的原理图，并将其封装到隧道模式的IPSec数据包中：

                         +--------------------+----------------------------+
                         | Original IP-Header | Encapsulated protocol data |
                         +--------------------+----------------------------+
                         |                                                 |
                         |                                                 |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
| IP-Header | ESP Header | Original IP-Header | Encapsulated protocol data | ESP Trailer | Authentication data |
+-----------+------------+--------------------+----------------------------+-------------+---------------------+
                         |<--------------------------Encrypted-------------------------->|
            |<---------------------------------------Authenticated---------------------->|

隧道模式的主要目的是保护网络的(内部)地址。你可以以一个公司为例，它有两个办事处，相隔X公里。设置了两个IPSec网关，并将从一个网络到另一个网络的所有流量封装在IPSec隧道中。局外人看到的唯一一件事是，两个网关使用IPSec协议相互通信。内部可以是任何类型的交流。

IPSec包仍将遵循因特网路由规则。

Answer 3

首先，IPSec服务有两种协议。

AH：(认证头)和ESP：(封装安全有效载荷)

AH只提供集成检查，所以在有效载荷中没有加密。所以，我想你指的是ESP协议。

以下是答案：

1. 一个新的外部IP连同ESP报头，IV (如果显式)，原始数据包+填充和ICV形成一个新的分组。原始的整个数据包加上填充字段是加密和封装的，因此沿途没有路由器能够检查内部IP报头。
2. 数据包使用未加密的外部IP报头进行路由。

例如，主机A希望向B主机发送IP数据包，并且需要IPSec，并且这两个防火墙都具有IPSec功能，然后A的防火墙将检查和封装带有B防火墙目标地址的外部IP报头的数据包。然后，包被发送到B的防火墙，中间路由器只检查外部IP报头。当它到达B的防火墙时，外部IP报头、ESP报头、填充、ICV都被剥离，内部数据包被解密并发送到B。