拿这个图来说吧,端到端指的是FW或者路由器这类VPN网关之间创建的IPsec隧道,主要用于保护网关背后的局域网而创建出来的隧道,且这类网络场景中主要使用的是隧道模式,其原因不言而喻,主要就是因为FW需要保护内部网络,分支与总部之间如果需要通信,它们的数据报文都需要打上额外的IP首部,这个IP首部是由VPN网关来决定的,新的IP首部的目的地址就是VPN网关对外开放的IP地址,也正是因为新的IP首部的目的地址是VPN网关对外开放的公网接口,VPN网关才能接收这个IPsec的相关报文进行解封解密的操作,然后才把数据进行转发。
但是如果是针对传输模式,那么情况又是如何?其实我一开始学习到这里的时候,对点对点没有去深究,是在后面的实验中才出现了对点对点的新的认识,所谓点对点没有错就是主机与主机之间的通信,也就是说点对点之间的通信如果想用IPsec进行安全保护,那么就只能是主机与主机之间互相建立IPsec隧道来进行保护。所以如果我们在上图的VPN网关上部署传输模式,那么其实VPN网关的IPsec隧道保护的仅仅只有分支的公网接口与总部的公网接口之间的流量,而不保护内部局域网的流量。为什么?我给你分析一下,当流量到达VPN网关之后,VPN网关即便触发了感兴趣流,对局域网的流量进行了IPsec传输模式的封装,但是当流量到达对端的VPN网关之后,因为传输模式中安全首部是放在原生IP首部的后面,所以原生IP首部的目的地址不会是对端VPN网关的公网接口,所以VPN网关是不会去处理这个主机发送过来的被加密的IPsec报文,而是会直接根据这个传输模式下IPsec报文的目的地址转发到总部的内网主机上,那么我们的传输模式的IPsec隧道是建立在VPN网关上的,主机与主机之间没有配置任何的IPsec相关隧道的内容,所以主机是不会响应这个传输模式的IPsec报文,从而导致数据的丢弃。
那么到底传输模式的点对点指的是什么?从本质上来说指的是主机与主机之间的IPsec隧道,也就是说让主机与主机之间建立相对应的隧道。因为传输模式下并未添加新的IP首部而是使用原生首部,这就导致VPN网关在收到这类报文的时候并不会对其进行解封加密操作,所以在VPN网关上部署传输模式企图去保护局域网内部的想法是十分天真的。若真的想部署传输模式,那么只能是主机与主机之间建立传输模式的IPsec安全隧道,这样才行。
4980
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
