简谈IPSEC协议以及模式使用

本文深入解析IPSec协议框架,涵盖IKE、ESP与AH协议的功能与应用场景,对比传输模式与隧道模式的区别,阐述其在网络通信安全中的关键作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IPSEC不是单单的一个协议,它是一个协议框架,里面包含了数个的协议下面就来简单谈谈主要的协议。
IKE:包含三个主要的协议(ISAKMP SKEME Oakley),用于完成IPSEC一阶段的建立,通过协商参数,DH共享秘钥,认证,建立一阶段的链接。

ESP:安全封装载荷,这个用的比较多,用在二阶段的建立,ESP既可以做加密又可以做散列计算。

AH:AH只能做散列计算,不能做加密,AH对于数据完整性检测比ESP强,可以针对整个数据包做校验检查,包含了三层报头,现网环境中用基本都用PAT/NAT,PAT/NAT会改变源目IP,这就就会导致AH校验出现问题,如果是用了AH的话 IPSEC流量无法穿越NAT/PAT。

IPSEC传输模式
IPSEC有两种模式,一种是tunnel模式 一种是Transport模式。
tunnel模式:会给数据包添加一个新的报头
Transport传输:不会添加新的报头
普通IP封装:L2|IP|L4 Payload
Tunnel 封装 L2|NEW IP|ESP AH|IP|L4 Payload
Transport 封装 L2|IP|ESP AH|L4 Payload
Tunnel模式是在你整个IP报头前添加一个新的报头,Transport只是在IP报头内添加ESP AH 没有添加新报头
Tunnel是加密点≠通信点时候使用,园区内通过公网去访问其他站点的时候,这个时候就需要用tunnel模式,由路由器进行保护 (加密点≠通信点是指我的流量不是由我来保护)
Transport是加密点=通信点的时候使用,指你内网流量进行访问的时候,做到保护隐私(加密=通信点是指我自己的流量我自己保护)
这里表达的意思是内网交流大家都是有对方的路由,没有必要添加新的包头去传输,但是对于公网来说他没有你的私网路由,所以是需要需要封装新的报头让公网路由器识别,让公网那些设备去帮你转发。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值