谈到IPSec 隧道还得回顾一下隧道的基础概念(当然我们平时爬出去所用的也是这个)。
隧道全称:专用虚拟网,依靠ISP和NSP在公共基础网络(也就是互联网)上构建的安全通信网络,这条专线是逻辑上的,并不是物理的。
专用:可以根据客户的需求定制符合自身需求的网络
虚拟:用户不需要拥有实际的长途数据线路,直接在公共基础网络的基础上构建的。
那么为什么这么多种类的,比如GRE,L2TP等,要大力推举IPSec呢。比如说Gre的不支持用户的身份认证(第一道门都没有,如果黑客进入,连验证都不需要了),只会对数据进行简单的加密的数据验证(”简单“两个字因为很能说明问题)。IPSec 也就是基于这两点进行改正的,支持用户身份认证,提供复杂的数据加密和数据验证。
IPSec是一组基于网络层,应用密码学的安全通信协议簇。他的工作原理主要基于两种工作模式,两种通信保护协议和密钥交换管理协议(IKE协商)。
一、工作模式:
1.传输模式:通常适用于主机和主机之间通信。
封装模式:不改变原IP头部,在原数据包头后添加一个IPSec包头,将原来的数据封装成被保护的数据。
有很大的缺陷,不添加新的头部,所以他只能建立在原先已经可以通信的基础上进行。(局域网—互联网—局域网)上就不可以进行通信,原始包头是内网IP,不改变原始包头的情况下不能在公网上进行传递。那么有人可能会疑问了,我经过NAT地址转换就能通信了。可是IP头部不光有源IP,还有目的IP,NAT地址转换也只能改源IP地址,目的IP地址还是不能改变。所以传输模式在使用前得先解决设备之间的连通性。
2.隧道模式:经常用于私网与私网之间通过公网进行通信
封装模式:新增一个IP包头,在新IP包头后面添加一个IPSec包头,将原来的数据