你所在的位置: 首页 > 思科认证 > CCNP >
最新开班 班级 报名状态
12月10日 HCNA-R&S脱产班 热招中
12月20日 HCNP-R&S脱产班 热招中
12月18日 HCNP-R&S晚班 热招中
12月18日 HCNP-R&S晚班 热招中
12月12日 HCNP-R&S脱产班 热招中
12月3日 HCNA-R&S脱产班 热招中
12月3日 HCNP-R&S晚班 热招中
12月3日 HCNP-R&S晚班 热招中
11月24日 HCNA-R&S周末班 热招中
11月13日 HCNA-R&S晚班 热招中
  • 博赛网络ICT就业班热招中
  • 博赛推出Oracle OCM实战课程

IPSec VPN基本原理(3)

时间:2013-10-31 16:11 作者:Superthink 点击:

1. 隧道模式可以适用于任何场景

2. 传输模式只能适合PC到PC的场景

隧道模式虽然可以适用于任何场景,但是隧道模式需要多一层IP头(通常为20字节长度)开销,所以在PC到PC的场景,建议还是使用传输模式。

为了使大家有个更直观的了解,我们看看下图,分析一下为何在Site-to-Site场景中只能使用隧道模式:

如上图所示,如果发起方内网PC发往响应方内网PC的流量满足网关的兴趣流匹配条件,发起方使用传输模式进行封装:

1. IPSec会话建立在发起方、响应方两个网关之间。

2. 由于使用传输模式,所以IP头部并不会有任何变化,IP源地址是192.168.1.2,目的地址是10.1.1.2。

3. 这个数据包发到互联网后,其命运注定是杯具的,为什么这么讲,就因为其目的地址是10.1.1.2吗?这并不是根源,根源在于互联网并不会维护企业网络的路由,所以丢弃的可能性很大。

4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们指望响应方网关进行解密工作吗?凭什么,的确没什么好的凭据,数据包的目的地址是内网PC的10.1.1.2,所以直接转发了事。

5. 最杯具的是响应方内网PC收到数据包了,因为没有参与IPSec会话的协商会议,没有对应的SA,这个数据包无法解密,而被丢弃。

我们利用这个反证法,巧妙地解释了在Site-to-Site情况下不能使用传输模式的原因。并且提出了使用传输模式的充要条件:兴趣流必须完全在发起方、响应方IP地址范围内的流量。比如在图中,发起方IP地址为6.24.1.2,响应方IP地址为2.17.1.2,那么兴趣流可以是源6.24.1.2/32、目的是2.17.1.2/32,协议可以是任意的,倘若数据包的源、目的IP地址稍有不同,对不起,请使用隧道模式。

IPSec协商

(责任编辑:Superthink)

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)