IPSec的运行模式

TIME:2019-03-15   click: 184 次


IPSec协议可分别工作在传输模式与隧道模式,前者是保护IP报头之后的上层协议和数据,后者保护包括IP报头的整个IP报文分组。

1.传输模式

传输模式保护IP报头之后的有效载荷,在IP报头与上层协议报头间插一个IPSec报头,其通信终点一定是加密的终点,来保障端到端的通信安全。

该模式下,IP报头与原始IP分组中的IP报头相同,只是IP协议字段被改成ESP(50)或AH(51),且再次计算IP报头的校验和,IPSec源端点不会修改IP报头的目的地址。

2.隧道模式

隧道模式保护整个IP数据包,都封装到新的IP包里,同时在外部IP报头和内部报头间插入IPSec头。当隧道模式被网关用时,可保护与其连接的子网,VPN网络中用的就是隧道模式。在隧道模式中,通信终点是被保护的内部IP报头规定的地址,而IPSec终点是由外部IP报头指定的地址。IPSec处理结束后,VPN网关会剥离外部IP报头后,再把原始IP包转发到它最后的目的地。

在隧道模式中,数据包的内部IP头是由主机创建的,外部IP头是提供安全服务的IPSec网关添加的。IPSec支持嵌套隧道,嵌套隧道值对已经按隧道模式封装了的数据包再来一次IPSec隧道处理,从而支持多级网络安全保护。例如,一家公司有一个安全网关,为防止竟争者和黑客的侵犯,在该公司网络内另有一个安全网关,避免某些员工进入敏感子网。此时,若访问保护网络内部的子网就得用嵌套式隧道。下图描绘了AH和ESP联合嵌套时的使用方式。

新IP

报头

AH报头

ESP报头

原始IP

报头

TCPUDP

数据

ESP报尾

ESP验证

上一篇:IPSec协议是啥 下一篇:Kerberos是什么