ipsec模式(IPSec的两种运行模式是什么 )

IPSec的两种运行模式是什么？

IPSec可以在两种不同的模式下运作：传输模式和隧道模式。

隧道模式仅仅在隧道点或者网关之间加密数据，提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时，仅当数据到达网关才得到加密，其余路径不受保护。用户的整个IP数据包被用来计算AH或ESP头，且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中。

传输模式下，IPSec的保护贯穿全程：从源头到目的地，被称为提供终端到终端的传输安全性。在传送方式中，只是传输层数据被用来计算AH或ESP头，AH或ESP头和被加密的传输层数据被放置在原IP包头后面。

扩展资料：

IPSec隧道模式的应用：

1、IPSec隧道模式对于保护不同网络之间的通信（当通信必须经过中间的不受信任的网络时）十分有用。隧道模式主要用来与不支持L2TP/IPSec或PPTP连接的网关或终端系统进行互操作。

2、使用隧道模式的配置包括：网关到网关、服务器到网关、服务器到服务器AH协议、隧道中报文的数据源鉴别、数据的完整性保护、对每组IP包进行认证，防止黑客利用IP进行攻击。

3、应用于IP层上网络数据安全的一整套体系结构，它包括网络安全协议AuthenticationHeader（AH）协议和EncapsulatingSecurityPayload（ESP）协议、密钥管理协议InternetKeyExchange（IKE）协议和用于网络验证及加密的一些算法等。

参考资料来源：百度百科-TCP/IP筛选VSIPSec策略

参考资料来源：百度百科-IPsecIKE

参考资料来源：百度百科-隧道模式

IPSEC协议中隧道模式与传输模式的区别？

区别：

1、封装过程

传输模式，不会改变原始报文的IP头，只会在原始IP头后面封装一些ipsec协议

隧道模式，会在原始IP报文头前面添加新的IP头，并且在新的IP头后面封装一些ipsec协议。

2、优点

隧道模式更安全，传输模式性能好，解放了更多带宽

3、应用场景

传输模式在AH、ESP处理前后IP头部保持不变，主要用于End-to-End的应用场景。

隧道模式在AH、ESP处理之后再封装了一个外网IP头，主要用于Site-to-Site的应用场景。

扩展资料

IPSec有“隧道”和“传输”两种封装模式。数据封装是指将AH或ESP协议相关的字段插入到原始IP数据包中，以实现对报文的身份认证和加密。

从安全性来讲，隧道模式优于传输模式，因为隧道模式可以完全地对原始IP数据包进行认证和加密，隐藏客户机的私网IP地址，而传输模式中的数据加密是不包括原始IP报头的。

从性能来讲，因为隧道模式有一个额外的IP头，所以它将比传输模式占用更多带宽，有效传输率较低。

参考资料：百度百科 – 隧道模式

ipsec主模式

准备工作

主模式配置示例

配置 IP 地址部分

外网要全部互通（本路由器外部接口能ping通隧道对端路由器接口）

1、在 R1 上创建感兴趣流，匹配两端私网地址网段

[R1]acl advanced 3000

[R1-acl-ipv4-adv-3000]rule per ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

2、在 R1 上创建 IKE 提议，配置验证模式为预共享密钥，并配置加密算法

[R1]ike proposal 1

[R1-ike-proposal-1]authentication-method pre-share

[R1-ike-proposal-1]encryption-algorithm aes-cbc-128

3、在 R1 上创建预共享密钥

[R1]ike keychain r3

[R1-ike-keychain-r3]pre-shared-key address 100.2.2.3 key simple 123456

4：在 R1 上创建 IKE Profile，指定本端和对端公网地址，并调用预共享密钥和 IKE 提议

[R1]ike profile r3

[R1-ike-profile-r3]keychain r3

[R1-ike-profile-r3]local-identity address 100.1.1.1

[R1-ike-profile-r3]match remote identity address 100.2.2.3

[R1-ike-profile-r3]proposal 1

5：在 R1 上创建IPsec 转换集，配置加密和验证算法。由于工作模式默认是隧道模式，且协议默认使用 ESP，所以无需配置

[R1]ipsec transform-set r3

[R1-ipsec-transform-set-r3]esp authentication-algorithm sha1

[R1-ipsec-transform-set-r3]esp encryption-algorithm aes-cbc-128

6：在 R1 上创建 IPsec 策略，调用上述配置

[R1]ipsec policy r3 1 isakmp

[R1-ipsec-policy-isakmp-r3-1]security acl 3000

[R1-ipsec-policy-isakmp-r3-1]ike-profile r3

[R1-ipsec-policy-isakmp-r3-1]transform-set r3

[R1-ipsec-policy-isakmp-r3-1]remote-address 100.2.2.3

7：在 R1 的公网接口上下发 IPsec 策略

[R1-GigabitEthernet0/0]ipsec apply policy r3

8：在 R3 上完成 IPsec 相关配置，方法和命令与 R1 一致，本端和对端地址对调即可

感谢您的来访，获取更多精彩文章请收藏本站。