本文深入解析IPSec协议框架,涵盖IKE、ESP与AH协议的功能与应用场景,对比传输模式与隧道模式的区别,阐述其在网络通信安全中的关键作用。
IPSEC不是单单的一个协议,它是一个协议框架,里面包含了数个的协议下面就来简单谈谈主要的协议。
IKE:包含三个主要的协议(ISAKMP SKEME Oakley),用于完成IPSEC一阶段的建立,通过协商参数,DH共享秘钥,认证,建立一阶段的链接。
ESP:安全封装载荷,这个用的比较多,用在二阶段的建立,ESP既可以做加密又可以做散列计算。
AH:AH只能做散列计算,不能做加密,AH对于数据完整性检测比ESP强,可以针对整个数据包做校验检查,包含了三层报头,现网环境中用基本都用PAT/NAT,PAT/NAT会改变源目IP,这就就会导致AH校验出现问题,如果是用了AH的话 IPSEC流量无法穿越NAT/PAT。
IPSEC传输模式
IPSEC有两种模式,一种是tunnel模式 一种是Transport模式。
tunnel模式:会给数据包添加一个新的报头
Transport传输:不会添加新的报头
普通IP封装:L2|IP|L4 Payload
Tunnel 封装 L2|NEW IP|ESP AH|IP|L4 Payload
Transport 封装 L2|IP|ESP AH|L4 Payload
Tunnel模式是在你整个IP报头前添加一个新的报头,Transport只是在IP报头内添加ESP AH 没有添加新报头
Tunnel是加密点≠通信点时候使用,园区内通过公网去访问其他站点的时候,这个时候就需要用tunnel模式,由路由器进行保护 (加密点≠通信点是指我的流量不是由我来保护)
Transport是加密点=通信点的时候使用,指你内网流量进行访问的时候,做到保护隐私(加密=通信点是指我自己的流量我自己保护)
这里表达的意思是内网交流大家都是有对方的路由,没有必要添加新的包头去传输,但是对于公网来说他没有你的私网路由,所以是需要需要封装新的报头让公网路由器识别,让公网那些设备去帮你转发。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
