1. 首頁 > 生活百科 > >

組密鑰更新周期 密鑰更新周期( 三 )

生活百科


IPSec封裝模式:傳輸模式,適用于同一個園區網內的兩臺主機之間的安全連接

組密鑰更新周期 密鑰更新周期

文章插圖
1、在IP報頭和上層協議之間插入AH或ESP報頭;對上層協議數據提供保護 。
--在IP頭部之后插入AH頭,會對整個IP數據包進行完整性校驗 。
--在IP頭部之后插入ESP頭,在數據字段后插入尾部以及認證字段;只對IP數據包中的ESP報頭,上層數據和ESP尾部進行完整性校驗 。
2、傳輸模式中的AH+ESP:在IP頭部之后插入AH和ESP頭,在數據字段后插入尾部以及認證字段(可選的);對高層數據和ESP尾部進行加密,對整個IP數據包進行完整性校驗 。
3、在GRE over IPSec環境中必須使用傳輸模式,數據封裝格式為:
Ethernet2|IPV4(新)|ESP|GRE|IPv4|TCP|HTTP|FCS
IPSec封裝模式:隧道模式,適用于跨園區網的兩臺邊界路由器間建立安全連接
組密鑰更新周期 密鑰更新周期

文章插圖
1、AH或ESP頭封裝在原始IP報文頭之前,并另外生成一個新的IP報頭封裝到AH或ESP之前;隧道模式可以完全地對原始IP數據報進行認證和加密,而且可以使用新的IP報頭來隱藏內網主機的私有IP地址 。
--在IP頭部之后插入AH頭,會對整個IP數據包進行完整性校驗 。
--在IP頭部之后插入ESP頭,在數據字段后插入尾部以及認證字段(可選的);只對IP數據包中的ESP報頭,上層數據和ESP尾部進行完整性校驗 。
2、隧道模式中的AH+ESP:對整個原始IP報文和ESP尾部進行加密,對除新IP頭之外的整個IP數據包進行完整性校驗 。
注:ESP散列封裝的是數據載荷,對新封裝的IP報頭不會保護,這種在NAT環境中不會影響正常使用,但是在PAT環境中因為四層接口被保護,就無法實現PAT端口轉換;為了支持PAT,需要開啟NAT穿越功能(IPSec NAT-T),在IPSec封裝報文中添加UDP字段,默認端口號為4500,PAT路由器通過記錄端口號來放行對應流量;封裝格式:Ethernet2|IPV4(新)|UDP|ESP|GRE|IPv4|TCP|HTTP|FCS
通過ESP和AH做散列計算時是不包含三層報頭中TTL和校驗和字段;AH散列保護的是整個數據包,所以是不支持NAT和PAT 。
推薦書籍:思科VPN完全配置手冊
普通的IPsec-VPN主要適用于不同廠家VPN之間的對接,兼容性非常好,思科路由器和ASA可以和大部分非思科廠家的VPN設備進行IPsec-VPN對接 。然而這種普通的IPsec-VPN并不適用于復雜的 *** 環境,主要存在如下問題:
1、由于沒有虛擬隧道接口,不支持通過運行動態路由協議來實現路由互通;
2、由于沒有虛擬隧道tunnel接口,不能對通信點之間的明文流量進行控制和監測(如ACL、QOS、NAT、Netflow等);
3、配置復雜,每增加一個站點或網段,都要增加許多感興趣流,排錯復雜 。
為了解決IPsec-VPN存在的問題,思科提供的解決方案是GRE over IPsec
?GRE Over IPsec 技術;通過GRE來建立虛擬隧道(tunnel口),運行動態路由協議來學習路由;通過在tunnel接口上配置ACL、QOS等技術來控制數據流,通過IPsec技術將GRE隧道中的數據進行保護 。
組密鑰更新周期 密鑰更新周期

文章插圖
首先在兩個站點之間,使用GRE在兩臺路由器之間建立了一條隧道(tunnel口),GRE隧道的作用就是虛擬地把兩個站點連接在一起,就像是拉了一根專線一樣把站點A和站點B連接起來,中間沒有其他設備;這樣就可以在這根"線"兩端的兩個接口上配置IP地址,并且運行動態路由選擇協議,使得兩臺路由器分別學習到對方身后 *** 的路由;然后在tunnel接口進行數據控制和采集,由于站點A和B分別使用的是兩個站點的公網IP地址,即不管GRE封裝之前的原始數據如何,封裝之后的源IP都是A,目標IP都是B,也就是我們只需要將A到B和B到A的流量分別在A和B上配置為興趣流量即可,這樣就可以把所有的GRE流量都進行了加密;通過GRE over IPSec,即解決了安全問題,也解決了普通IPSEC VPN感興趣流過多,配置復雜的問題 。
【組密鑰更新周期密鑰更新周期】注:GRE over IPSEC,加密點等于通信點,是一個典型的傳輸模式的IPsec-VPN,因此GRE over IPSEC推薦使用傳輸模式;如果使用隧道模式,就會增加一個20字節的IP頭部,因此,GRE技術經過IPSEC加密使用傳輸模式更加優化 。

推薦閱讀