IPSec: 封装模式(传输模式、隧道模式)(传输模式一般用于终端与网关设备建立隧道。隧道模式一般用于网关设备之间建立隧道。)
IPSec: 封装模式(传输模式、隧道模式)(传输模式一般用于终端与网关设备建立隧道。隧道模式一般用于网关设备之间建立隧道。)
封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。
传输模式
在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,保护TCP/UDP/ICMP负载。由于传输模式未添加额外的IP头,所以原始报文中的IP地址在加密后报文的IP头中可见。以TCP报文为例,原始报文经过传输模式封装后,报文格式如图所示。
输模式下,与AH协议相比,ESP协议的完整性验证范围不包括IP头,无法保证IP头的安全。
隧道模式
在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。以TCP报文为例,原始报文经隧道模式封装后的报文结构如图所示。
隧道模式下,与AH协议相比,ESP协议的完整性验证范围不包括新IP头,无法保证新IP头的安全。
传输模式和隧道模式比较
传输模式和隧道模式的区别在于:
(1)从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据包进行验证和加密。隧道模式下可以隐藏内部IP地址,协议类型和端口。
(2)从性能来讲,隧道模式因为有一个额外的IP头,所以它将比传输模式占用更多带宽。
(3)从场景来讲,传输模式主要应用于两台主机或一台主机和一台VPN网关之间通信;隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。
当安全协议同时采用AH和ESP时,AH和ESP协议必须采用相同的封装模式。
VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » IPSec: 封装模式(传输模式、隧道模式)(传输模式一般用于终端与网关设备建立隧道。隧道模式一般用于网关设备之间建立隧道。)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm