ipsec优点(IPSEC协议中隧道模式与传输模式的区别 )

IPSEC协议中隧道模式与传输模式的区别？

区别：

1、封装过程

传输模式，不会改变原始报文的IP头，只会在原始IP头后面封装一些ipsec协议

隧道模式，会在原始IP报文头前面添加新的IP头，并且在新的IP头后面封装一些ipsec协议。

2、优点

隧道模式更安全，传输模式性能好，解放了更多带宽

3、应用场景

传输模式在AH、ESP处理前后IP头部保持不变，主要用于End-to-End的应用场景。

隧道模式在AH、ESP处理之后再封装了一个外网IP头，主要用于Site-to-Site的应用场景。

扩展资料

IPSec有“隧道”和“传输”两种封装模式。数据封装是指将AH或ESP协议相关的字段插入到原始IP数据包中，以实现对报文的身份认证和加密。

从安全性来讲，隧道模式优于传输模式，因为隧道模式可以完全地对原始IP数据包进行认证和加密，隐藏客户机的私网IP地址，而传输模式中的数据加密是不包括原始IP报头的。

从性能来讲，因为隧道模式有一个额外的IP头，所以它将比传输模式占用更多带宽，有效传输率较低。

参考资料：百度百科 – 隧道模式

PPTP，L2TP和IPsec的区别及优缺点

1、PPTP协议是点对点隧道协议：

其将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。

2、L2TP是国际标准隧道协议：

它结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。

3、两者的联系与区别：

PPTP和L2TP联系：

都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同

PPTP和L2TP区别：

1）PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs），X.25虚拟电路（VCs）或ATM VCs网络上使用。

2）PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

3）L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

4）L2TP可以提供隧道验证，而PPTP不支持隧道验证。但当L2TP或PPTP与IPSEC共同使用时，可由IPSEC提供隧道验证，不需在第2层协议上验证隧道。

简单来说:

PPTP使用TCP协议，适合没有防火墙限制的网络。

L2TP使用UDP协议，一般可以穿透防火墙，适合有防火墙限制、局域网用户，如公司、网吧、学校等场合。

注：XP系统启用L2TP需要重启电脑，Vista,Win7则无需重启。

二个连接类型在性能上差别不大，如果使用PPTP不正常，那就更换为L2TP。

IPSec VPN安全网关优势有哪些？

渔翁信息的IPSec VPN安全网关具有以下优势：

1.符合国家密码管理政策：产品采用渔翁自主研发的硬件密码模块，支持国家密码管理局指定的SM1、SM2、SM3和SM4国密算法。

2.遵循国家IPSec VPN规范要求：产品严格遵循国家密码管理局最新颁布的《IPSec VPN技术规范》，通过硬件密码模块实现数据加解密、签名验证和随机数生成等密码运算。

3.高可靠性：产品通过双机热备、隧道断链后自动恢复等多种技术方案，保障用户网络的高可靠性。

4.高性能：产品基于高性能硬件密码模块，密码运算处理速度快，并且密码模块可扩展。采用快速流压缩算法，确保传输的实时性。

IPSec VPN安全网关有哪些应用价值？

就是支持IPSec交换机.IPSec是一种加密机制 下面是网上的介绍 IPSec协议是一个应用广泛，开放的VPN安全协议，目前已经成为最流行的VPN解决方案。IPSec包括AH和ESP。AH验证头，提供数据源身份认证、数据完整性保护、重放攻击保护功能；ESP安全负载封装，提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能。NetEye VPN在利用IPSec自身优点的同时，对于其核心和附加功能进行了专业优化和重组。另外，在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley)，它提供自动建立安全关联和管理密钥的功能。 ● 利用AH、ESP，NetEyeVPN可以做到对于C.I.A的满足。 ● 对于认证过程，NetEye VPN采用了基于PKI的公钥认证体系，遵循X.509标准。并且提供单独的密钥管理中心，用以进行密钥的生成、分发、更新和吊销等一系列管理。所有网关间的数据传输，根据国家有关法令规定，全部采用硬件加密和专有加密算法(NetEye VPN身份认证过程如下图所示)。 IPSec有两种工作模式——传输模式和通道模式。这两种模式最根本的区别在于，是否尽心做IPIP封装。NetEye防火墙工作于通道模式，其特点就是生成新的IP头，替换了原有的IP包头，这样就可以对于原始地址进行隐藏。原来的IPSec标准是不支持NAT的，可以看到，一旦经过NAT，由于IP包头数据被修改，就等于数据完整性遭受破坏，那么AH或ESP的校验就会失败。NetEye VPN采用了最新的标准，利用附加UDP头的方式成功解决了NAT穿越问题。 参考:

感谢您的来访，获取更多精彩文章请收藏本站。