--在IP头部之后插入ESP头,在数据字段后插入尾部以及认证字段(可选的);只对IP数据包中的ESP报头 , 上层数据和ESP尾部进行完整性校验 。
2、隧道模式中的AH+ESP:对整个原始IP报文和ESP尾部进行加密 , 对除新IP头之外的整个IP数据包进行完整性校验 。
注:ESP散列封装的是数据载荷,对新封装的IP报头不会保护,这种在NAT环境中不会影响正常使用,但是在PAT环境中因为四层接口被保护,就无法实现PAT端口转换;为了支持PAT , 需要开启NAT穿越功能(IPSec NAT-T),在IPSec封装报文中添加UDP字段,默认端口号为4500 , PAT路由器通过记录端口号来放行对应流量;封装格式:Ethernet2|IPV4(新)|UDP|ESP|GRE|IPv4|TCP|HTTP|FCS
通过ESP和AH做散列计算时是不包含三层报头中TTL和校验和字段;AH散列保护的是整个数据包,所以是不支持NAT和PAT 。
推荐书籍:思科VPN完全配置手册
普通的IPsec-VPN主要适用于不同厂家VPN之间的对接,兼容性非常好 , 思科路由器和ASA可以和大部分非思科厂家的VPN设备进行IPsec-VPN对接 。然而这种普通的IPsec-VPN并不适用于复杂的 *** 环境,主要存在如下问题:
1、由于没有虚拟隧道接口 , 不支持通过运行动态路由协议来实现路由互通;
2、由于没有虚拟隧道tunnel接口,不能对通信点之间的明文流量进行控制和监测(如ACL、QOS、NAT、Netflow等);
3、配置复杂,每增加一个站点或网段,都要增加许多感兴趣流,排错复杂 。
为了解决IPsec-VPN存在的问题 , 思科提供的解决方案是GRE over IPsec
?GRE Over IPsec 技术;通过GRE来建立虚拟隧道(tunnel口),运行动态路由协议来学习路由;通过在tunnel接口上配置ACL、QOS等技术来控制数据流,通过IPsec技术将GRE隧道中的数据进行保护 。
首先在两个站点之间,使用GRE在两台路由器之间建立了一条隧道(tunnel口),GRE隧道的作用就是虚拟地把两个站点连接在一起,就像是拉了一根专线一样把站点A和站点B连接起来,中间没有其他设备;这样就可以在这根"线"两端的两个接口上配置IP地址,并且运行动态路由选择协议,使得两台路由器分别学习到对方身后 *** 的路由;然后在tunnel接口进行数据控制和采集,由于站点A和B分别使用的是两个站点的公网IP地址,即不管GRE封装之前的原始数据如何,封装之后的源IP都是A,目标IP都是B , 也就是我们只需要将A到B和B到A的流量分别在A和B上配置为兴趣流量即可,这样就可以把所有的GRE流量都进行了加密;通过GRE over IPSec,即解决了安全问题,也解决了普通IPSEC VPN感兴趣流过多,配置复杂的问题 。
注:GRE over IPSEC,加密点等于通信点,是一个典型的传输模式的IPsec-VPN,因此GRE over IPSEC推荐使用传输模式;如果使用隧道模式,就会增加一个20字节的IP头部,因此,GRE技术经过IPSEC加密使用传输模式更加优化 。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人 , 因此内容不代表本站观点、本站不对文章中的任何观点负责,内容版权归原作者所有、内容只用于提供信息阅读 , 无任何商业用途 。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任 。如发现本站(文章、内容、图片、音频、视频)有涉嫌抄袭侵权/违法违规的内容,请发送邮件至353049283@qq.com举报,一经查实,本站将立刻删除、维护您的正当权益 。
推荐阅读
- 元素周期表第七周期排满了吗?
- 如何屏蔽苹果手机更新系统?
- 持续更新中 三江社区新冠疫苗接种通知
- 持续更新中 绵阳新冠疫苗接种地点汇总
- 持续更新中 绵阳西山社区卫生服务中心到苗通知
- 元素周期表的族怎么分 元素周期表16个族分别是什么
- 持续更新 佛山吸入式新冠疫苗最新消息
- 如何判断原子半径大小 元素周期表中如何判断原子半径大小
- 和平精英更新不了怎么办呢? 和平精英更新不了怎么办呢苹果
- ios16.1beta4更新了啥ios16.1beta4更新内容功能介绍