IPSEC隧道模式和IPSEC传输模式有何区别?
来源:V小编 时间:2021-10-28 10:41:19阅读:0
IPSec的协议目标是为IP数据包提供安全服务,如加密敏感数据、身份验证、防止重放和数据保密。
如我们的IPSec协议文章所述,包装安全有效载荷(ESP)和身份验证标头(AH)是两个用于提供这些安全服务的IPSec安全协议。本文不讨论ESP和AH协议的分析,但您可以转移到我们的IPSec文章中,并在这篇文章中找到深入的分析和数据包图,以帮助您清楚地理解概念。
了解IPSEC模式:隧道模式和传输模式。
IPSec可以配置为两种不同的模式,即隧道模式和传输模式。每种模式的使用取决于IPSec的要求和实现。
IPSEC隧道模式。
IPSec隧道模式是默认模式。在隧道模式下,整个原始IP数据包受IPSec保护。这意味着IPSec包装原始数据包,加密,添加新的IP标头,发送到隧道的另一端(IPSec对等方)。
隧道模式最常用于网关之间(Cisco路由器或ASA防火墙),或者网关在网关终端站作为其次主机的代理。
隧道模式用于加密安全IPSec网关(例如,通过IPSec通过互联网连接的两个Cisco路由器)之间的通信。从我们的网站到网站IPSec文章,这个拓扑的配置和设置得到了广泛的介绍。在这个例子中,每个路由器都充当其LANIPSec网关,为远程网络提供安全连接:
隧道模式的另一个例子是Cisco客户端和IPSec网关之间的IPSec隧道(如ASA5510或PIX防火墙)。客户端连接到IPSec网关。客户端的流量被加密并包装在新的IP数据包中,然后发送到另一端。一旦防火墙设备解密,客户端的原始IP数据包就会发送到本地网络。
在隧道模式下,IPSec头(AH或ESP头)插入IP头和上层协议之间。ESP最常用于AH和ESP之间的IPSec隧道配置。
以下数据包图说明了带ESP标头的IPSec隧道模式:
ESP在新IP标头中用IP协议ID标识50。
以下数据包图说明了带AH标头的IPSec隧道模式:
当IPSec处于隧道模式时,AH可以单独应用,也可以和ESP一起应用。AH的工作是保护整个数据包。AH不会保护新IP报头中的所有字段,因为在传输过程中会发生一些变化,发件人无法预测它们可能会如何变化。AH保护所有在运输过程中不变的东西。AH识别的新IP报头IP协议ID的51。
IPSEC传输模式。
IPSec传输模式用于端到端通信,如客户端与服务器或工作站与网关之间的通信(如果网关被视为主机)。一个很好的例子是从工作站到服务器的加密Telnet或远程桌面对话。
传输模式通过AH或ESP头提供对我们数据的保护,也称为IP有效负载,由TCP/UDP头数据组成。有效负载包括IPSec头和尾部。原始IP标头保持不变,但IP协议字段改为ESP(50)或AH(51),原始协议值保存在IPsec尾部,解密数据包时恢复。
IPSec传输模式用IPSec传输模式:使用另一个隧道协议(如GRE)先包装IP数据包,然后使用IPSec保护GRE隧道包。IPSec在传输模式下保护GRE隧道流量。
以下数据包图说明了带有ESP标头的IPSec传输模式:
请注意,原始IP标头已经移到了前面。将发送方的IP标头放在前面(稍微更改协议ID),证明传输方式不能为原始IP标头提供保护或加密,ESP标头标注在IP协议ID为50的新IP标头中。
以下数据包图说明了带有AH标头的IPSec传输模式:
当IPSec处于传输模式时,AH可以单独应用,也可以和ESP一起应用。AH的工作是保护整个数据包。但是,传输模式下的IPSec不会在数据包前创建新的IP标头,而是放置原始协议的副本,并对协议ID进行一些细微的变更,因此不会为详细信息提供必要的保护,包括在IP标头(源IP、目标IP等)。).AH识别的新IP报头IP协议ID的51。
当ESP和AH具有IPSec传输模式时,IP标头将被公开。
微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络,有效提高国际沟通效率,帮助中国企业开拓国际市场。…热线:400-028-9798,欢迎来电咨询。
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/yzx/3501.html
TAG标签:隧道