基本的两种模式

传输模式,不隐藏源和目的IP,只保护载荷,常用于内部网络。

如PIX与SYSLOG服务器的数据安全。

封装如下:

原始数据段(PIX UDP包)

×××头——数据段——×××尾(在×××集中器上被封装成×××数据包

源IP地址(PIX)——目的IP地址(SYSLOG服务器)——IP协议:×××信息(前三项为IP头)——×××数据包

隧道模式,IP-OVER-IP,真实的源和目的地址被×××保护,×××网关处理×××信息,端用户不知道或并不关心此过程。

封装如下:

S-D-INFOMATION(原始IP包,S,D为内部地址)

×××头-原始IP包-×××尾(×××网关信息)

S-D-IP协议:×××信息-×××包(S,D,为×××网关外部地址,常为公网地址)

四种类型:

1、site-to-site,站到站,又称为LAN-TO-LAN,L2L。

此为典型的隧道模式应用,×××网关来处理×××信息。

2、远程访问×××,也称为网络扩展,应用隧道模式。客户端有两个地址,一个是ISP分配的NIC地址,另外一个是内部地址,一般从×××网关的DHCP地址池中分配,也可以手动配置。

又分为客户模式和网络扩展模式(或LAN扩展模式)

客户模式拓扑为:×××网关-INTERNET云-SOHO路由器(PAT)-客户子网,实质上实现3次地址转换。

典型应用如:出差员工在宾馆事业×××软件客户端,通过192.168.1.2/24(宾馆内网)-172.16.2.2(公司内部地址,由×××网关分配)-58.46.2.69(ISP分配给宾馆路由器的公网地址),该模式公司总部不能发起到客户机的连接,因为途径PAT。

网络扩展模式解决了这个问题,常用于总部与分支机构的主动通信,分支机构需部署硬件客户端,×××网关此时不给客户机分配地址,需手动配置唯一的内部地址,是公司内部网络的扩展。

总部与分支机构的通信,可以是L2L或远程访问的LAN扩展模式,一般用网络扩展模式部署EASY ×××,方便配置与管理。

如果不需要中心机构发起到远端的会话,则选择客户模式更适宜。

3、防火墙×××,可以是L2L,也可以是远程访问×××,则重于增强的安全和防火墙功能,并且一般它们管理或者拥有在目前网络中已经实施的安全解决方案。

4、用户到用户的×××,常用于内网,使用传输模式。

三种分类:

intranet ***:

用于内部网络,常为用户到用户的×××,使用传输模式。

也可使用隧道模式用于连接不同地点的连接,如专用的帧中继在两个办公场所之间的连接。

internet ***:通过公网的L2L,远程访问×××。

extranet ***:一般是合作伙伴之间的L2L连接。