IPSec VPN
IP Security,IP安全
1、特点
L3的VPN
缺:不支持组播、配置复杂、延迟增加、资源消耗较多
优:具备访问控制、密码学四个维度、抗重放打击
2、组件
①安全协议
1)验证头技术(AH)
IP协议号51
提供数据完整性检查,身份验证,抗重放攻击
无法做数据的机密性
AH的完整性检查是对整个数据包做完整性检查(不适用于NAT场景)
报文:
2)封装安全载荷(ESP)
IP协议号50
提供数据的完整性,身份验证、抗重放攻击、数据的机密性
ESP的完整性检查是对载荷数据做完整性检查(没有对IP报文头做完整性检查)
报文:
ESP与AH的区别,为什么AH没有广泛运用?
AH不提供数据的机密性
数据包在传输的过程IP报文头的字段一定不变吗?
TTL、NAT(AH无法适用于NAT环境)
②封装模式:定义数据包再VPN中的封装结构
1)传输模式
格式:IPH+IPSec+DATA
没有产生新的IP报头,加密点与通信点在同一台设备上,采用传输模式
端到端的保护
(内网IP是否可以在公网路由)
2)隧道模式
格式:IPH(公)+IPSec+IPH(私)+DATA
产生新的IP报头,加密点与通信点不在同一台设备上,采用隧道模式