您好!欢迎光临云杰通信官网,本公司专业提供企业国际网络加速优化、企业MPLS-VPN、SD-WAN等跨境网络技术服务。
服务热线:13631779516

企业网络优化专家

国际网络互联综合解决方案

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

IPSEC隧道模式和IPSEC传输模式有何区别?

2020-02-21 16:26云杰小编阅读:92

IPSec的协议目标是为IP数据包提供安全服务,例如加密敏感数据,身份验证,防止重放和数据机密性。

如我们的IPSec协议文章所述,封装安全有效载荷(ESP)和身份验证标头(AH)是用于提供这些安全服务的两个IPSec安全协议。分析ESP和AH协议不在本文的讨论范围之内,但是,您可以转到我们的IPSec文章,在该文章中您将找到深入的分析和数据包图,以帮助您清楚地理解概念。

了解IPSEC模式:隧道模式和传输模式

可以将IPSec配置为以两种不同的模式运行,即隧道模式和传输模式。每种模式的使用取决于IPSec的要求和实现。

IPSEC隧道模式

IPSec隧道模式是默认模式。在隧道模式下,整个原始IP数据包均受IPSec保护。这意味着IPSec包装原始数据包,对其进行加密,添加新的IP标头并将其发送到VPN隧道的另一端(IPSec对等方)。

隧道模式最常用于网关之间(Cisco路由器或ASA防火墙),或在网关的终端站,网关充当其后的主机的代理。

隧道模式用于加密安全IPSec网关(例如,通过IPSec VPN通过Internet连接的两个Cisco路由器)之间的通信。我们的站点到站点IPSec VPN文章中广泛介绍了此拓扑的配置和设置。在此示例中,每个路由器都充当其LAN的IPSec网关,提供到远程网络的安全连接:

隧道模式的另一个示例是Cisco VPN客户端和IPSec网关(例如ASA5510或PIX防火墙)之间的IPSec隧道。客户端连接到IPSec网关。来自客户端的流量经过加密,封装在新的IP数据包中,然后发送到另一端。一旦由防火墙设备解密,客户端的原始IP数据包将发送到本地网络。

在隧道模式下,IPSec头(AH或ESP头)插入IP头和上层协议之间。在AH和ESP之间,ESP最常用于IPSec VPN隧道配置中。

下面的数据包图说明了带有ESP标头的IPSec隧道模式:

ESP在新IP标头中以IP 协议ID 50 标识。

下面的数据包图说明了带有AH标头的IPSec隧道模式:

当IPSec处于隧道模式时,AH可以单独应用,也可以与ESP一起应用。AH的工作是保护整个数据包。AH不会保护新IP报头中的所有字段,因为传输过程中会发生某些更改,并且发件人无法预测它们可能会如何更改。AH保护所有在运输过程中不变的东西。AH在所识别的新IP报头的IP 协议ID的51。

IPSEC传输模式

IPSec传输模式用于端到端通信,例如,用于客户端与服务器之间或工作站与网关之间的通信(如果网关被视为主机)。一个很好的例子是从工作站到服务器的加密Telnet或远程桌面会话。

传输模式通过AH或ESP头提供对我们数据的保护,也称为IP有效负载,由TCP / UDP头+数据组成。有效负载由IPSec头和尾封装。原始IP标头保持不变,只是IP协议字段更改为ESP(50)或AH(51),并且原始协议值保存在IPsec尾部中,以便在解密数据包时进行恢复。

通常在以下情况下使用IPSec传输模式:使用另一个隧道协议(如GRE)首先封装IP数据包,然后使用IPSec保护GRE隧道包。IPSec在传输模式下保护GRE隧道流量。

下面的数据包图说明了带有ESP标头的IPSec传输模式:

请注意,原始IP标头已移到最前面。将发送方的IP标头放在前面(对协议ID稍作更改),证明传输模式不能为原始IP标头提供保护或加密,并且在IP 协议ID为50的新IP标头中标识了ESP 。

下面的数据包图说明了带有AH标头的IPSec传输模式:

当IPSec处于传输模式时,AH可以单独应用,也可以与ESP一起应用。AH的工作是保护整个数据包,但是,传输模式下的IPSec不会在数据包的前面创建新的IP标头,而是放置原始协议的副本,并对协议ID进行一些细微更改,因此不会为详细信息提供必要的保护包含在IP标头(源IP,目标IP等)中。AH在所识别的新IP报头的IP 协议ID的51 。

在具有IPSec传输模式的ESP和AH情况下,都会公开IP标头。

文章标题:《IPSEC隧道模式和IPSEC传输模式有何区别?》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-1297-0.html

主要业务
国际网络加速MPLS-VPNSD-WAN短信业务
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作 联系我们
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部