了解VPN IPSec隧道模式和IPSec传输模式-有何区别?
IPSec的辽宁十一选五走势图一百期目标是为IP数据包提供安全服务,例如加密敏感数据,身份验证,防止重放和数据机密性。
正如我们概述的 IPSec辽宁十一选五走势图一百期文章 封装安全有效载荷(ESP)和身份验证标头(AH)是用于提供这些安全服务的两个IPSec安全辽宁十一选五走势图一百期。 Analysing ESP和AH辽宁十一选五走势图一百期不在本文的讨论范围内,但是您可以转向我们的 IPSec文章 您可以在其中找到深入的分析和数据包图表,以帮助您清楚地理解这一概念。
了解IPSec模式-隧道模式& Transport Mode
可以将IPSec配置为以两种不同的模式运行,即隧道模式和传输模式。每种模式的使用取决于IPSec的要求和实现。
IPSec隧道模式
IPSec隧道模式是 默认模式。在隧道模式下,整个原始IP数据包均受IPSec保护。这意味着IPSec对原始数据包进行包装,加密,添加新的IP标头并将其发送到VPN隧道的另一端(IPSec对等方)。
隧道模式 在网关(Cisco路由器或ASA防火墙)之间,或在网关的终端站中,网关最常使用,网关充当其后的主机的代理。
隧道模式用于加密安全IPSec网关(例如,通过IPSec 虚拟专用网通过Internet连接的两个Cisco路由器)之间的通信。此拓扑的配置和设置在我们的手册中进行了广泛介绍。 站点到站点IPSec 虚拟专用网文章。在此示例中,每个路由器都充当其LAN的IPSec网关,从而提供到远程网络的安全连接:
隧道模式的另一个示例是Cisco 虚拟专用网客户端和IPSec网关(例如ASA5510或PIX防火墙)之间的IPSec隧道。客户端连接到IPSec网关。来自客户端的流量经过加密,封装在新的IP数据包中,然后发送到另一端。一旦由防火墙设备解密,客户端的原始IP数据包就会发送到本地网络。
在隧道模式下,IPSec标头(啊 要么 ESP接头)插入IP标头和上层辽宁十一选五走势图一百期之间。在AH和ESP之间, ESP最常用于IPSec 虚拟专用网隧道配置中。
下面的数据包图说明了 IPSec 隧道模式 与 ESP接头:
ESP在 新的IP标头 使用IP 辽宁十一选五走势图一百期ID 的 50.
下面的数据包图说明了 IPSec 隧道模式 与 啊标头:
当IPSec处于隧道模式时,AH可以单独应用,也可以与ESP一起应用。 啊的工作是保护整个数据包。 啊不会保护新IP报头中的所有字段,因为传输中会发生某些更改,并且发件人无法预测它们可能会如何更改。 啊保护所有在运输过程中不变的东西。 啊在 新的IP标头 使用IP 辽宁十一选五走势图一百期ID 的 51.
IPSec传输模式
IPSec传输模式用于端到端通信,例如,用于客户端与服务器之间或工作站与网关之间的通信(如果网关被视为主机)。 一个很好的例子是从工作站到服务器的加密Telnet或远程桌面会话。
传输模式通过AH或ESP头提供对我们数据的保护,也称为IP有效负载,由TCP / UDP头+数据组成。有效负载由IPSec头和尾封装。原始IP标头保持不变,只是IP辽宁十一选五走势图一百期字段更改为ESP(50)或AH(51),并且原始辽宁十一选五走势图一百期值保存在IPsec尾部中,以便在解密数据包时恢复。
通常在以下情况下使用IPSec传输模式:使用另一个隧道辽宁十一选五走势图一百期(如GRE)首先封装IP数据包,然后使用IPSec保护GRE隧道包。 IPSec在传输模式下保护GRE隧道流量。
下面的数据包图说明了 IPSec传输模式 与 ESP接头:
请注意,原始IP标头是 感动 到前面。将发件人的IP标头放在前面(对辽宁十一选五走势图一百期ID稍作更改),可以证明传输模式无法为原始IP标头提供保护或加密,并且在 新的IP标头 使用IP 辽宁十一选五走势图一百期ID 的 50.
下面的数据包图说明了 IPSec传输模式 与 啊标头:
当IPSec处于传输模式时,AH可以单独应用,也可以与ESP一起应用。 啊的工作是 保护 但是,在整个数据包中,传输模式下的IPSec不会在数据包的前面创建新的IP标头,而是放置原始辽宁十一选五走势图一百期的副本,并对辽宁十一选五走势图一百期ID进行一些细微更改,因此不能为IP标头中包含的详细信息提供必要的保护(源IP,目标IP等)。 啊在 新的IP标头 使用IP 辽宁十一选五走势图一百期ID 的 51.
在具有IPSec传输模式的ESP和AH情况下,都将公开IP标头。
