CCIE理论-IPSec的主模式和野蛮模式的区别

已于 2022-12-01 17:29:06 修改
阅读量3.3k 收藏 2
点赞数 1
分类专栏: CCIE-高级理论 文章标签: 华为 网络
于 2022-12-01 17:28:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48137911/article/details/128135456
版权

CCIE理论-IPSec的主模式和野蛮模式的区别

其实这个不算在数通里面,因为IPsec是安全的技术
突然想到这个就写这个了,面试或者考试会问这个
IPsec有两个版本
今天说的是版本1
有两个阶段
一个是 IKEv1,一个 IKEv2

那么在版本1的阶段1有两个模式

一个叫主模式,一个叫野蛮模式

一般情况下用主模式,野蛮模式用得少

小总结,主模式的话两端固定IP,野蛮模式因为没有固定的公网IP需要用域名(DDNS花生壳)
现在用的比较多的是主模式

为什么?

主模式一共有6个数据包的交互
野蛮模式只有3个包的交互

这个角度来看,野蛮模式更快,更加节省设备的资源

主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。
但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!!!

但是呢
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持

身份认证

主模式,第五第六个包认证

野蛮模式,第一个包和第二个包里面交互,这里面呢有一个问题
如果是用的IP,那没问题,因为每个数据包里面都有IP,五元组,他会在第五个包之前就计算完了
但是如果是ID,主机名hostname,就会在第五第六个包再交互

如果用到了预共享密钥,那么这个要用到认证信息,

所以现实中,用IP的话,两边都没什么问题,如果用IP以外的,主模式会协商失败,就要用野蛮模式了
CCIE-Yasuo
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CCIE-IPsec的工作模式和封装
fa_nei_kuang_tu的博客
09-01 418
2021.9.1 人面桃花相映红,一笑倾人城,再笑倾人国 IPsec的工作模式 工作模式 Transport Mode 传输模式: 加密点等于通信点 Tunnel Mode 隧道模式: 加密点不等于通信点 加密点即为协商点, 准确的理解是指紧靠AH 或ESP头部外面的一对地址 通信点指定通信双方, 准确的理解是指紧靠AH 或ESP头部里面的一对地址 理解重点: 如果加密点与通信点地址不相同, 那么必须使用Tunnel 模式 如果加密点与通信点地址相同, 那么可以使用Tra
ccie 350-001 最新理论知识点汇总
05-17
ccie 350-001 最新理论知识点汇总
IPSec主模式野蛮模式区别
热门推荐
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
IPsec VPN简介
m0_66993332的博客
05-14 1128
IPsec的工作流程,IKE的两个阶段
CCIE-11-IPSec-VPN
上善若水 的专栏
03-31 265
为PC1和PC2建立IPSec VPN。PC1可以ping通PC2。
CCIE理论-第九篇-IPV6详细介绍
weixin_48137911的博客
03-28 1292
CCIE理论-第九篇-IPV6介绍 应该有人等这个好久了 其实这个可以放NA,可以放NP,也可以放IE 放在这,其实也没啥了,开搞吧! IPV6-VS-IPV4 ipv6对比ipv4最大的区别是,最明显的是,地址数量变多了,而且是多的很离谱 1.报头不同 2.ipv6无广播(仅有单播+组播) 3.ipv6的优化 4.128位(ipv4是32位) IPV6有一句很牛逼的话,可以让世界上每一粒沙子都能拿到一个IP 重要概念:并不是有了ipv6就不需要ipv4了!!!v6是作为一个配套的方式出现的 但是i
CCIE理论-第二篇-SDN-FabricPath技术
weixin_48137911的博客
03-15 2413
CCIE理论-第二篇-FabricPath技术 首先,什么是FabricPath呢,这个东东是思科的私有技术,而且只能在Nexus系列设备上使用 例如N5K,N6K,N7K,N9K.都是支持的 但是,这个东西东西,是完完全全纯数据中心使用的 顺带提一下,其实基本上SDN都是用于数据中心上的 有一个点不得不承认,思科的私有化的东西,永远是比公有化的东东的牛逼的 比如CDP就是比LLDP强 比如EIGRP就是比OSPF强 之前在vxlan提过的overlay网络,同等于fabric网络 什么是overly
CCIE理论-第一篇-SDN概念复习
weixin_48137911的博客
03-14 1527
CCIE理论-第一篇-SDN概念复习 SDN-软件定义网络(Software Defined Network,SDN 最主要的核心概念是方便管理设备 传统网络 其实这个SDN也不是多牛逼的东西,他只是一个集中控制器,方便而已 传统的网络,如图所示 我们都知道,网络设备最主要是什么呢,为了一张路由表 最后路由表提取成FIB表(快速转发表) 但是在大型网络中,不可能全都做静态路由,是肯定跑路由协议的 这样一来,路由协议不一定是每个设备都支持而且,路由表越大,设备的承载也就越大,压力越大,转发速度就会变慢
CCIE理论-第四篇-SDA-1
weixin_48137911的博客
03-19 1617
CCIE理论-第四篇-SDA-1 SDA-software defied Access SDA-软件定义接入 SDA是被包含在SDN范畴里面的一个架构体系 SDA核心-通过一系列的技术合租,组织到一个平面上 载体:DNA Center 在华为的载体是AC Agile Contro(不是无线AP哈!) 对比传统 传统三层网络 1.要备份,设备多,容易配置错,而且出问题了不好排错 SD-Access 1.可以部署自动化下发配置 2.支持PNP(即插即用)plug and play 3.有模板配置,同样支持自动
CCIE理论-第五篇-SDA-2
weixin_48137911的博客
03-20 514
CCIE理论-第五篇-SDA-2 DNA Center 展示一下web的界面哈 其实就类似平时弄的web的防火墙呀,其他设备等 弹性子网 这一章来讲讲弹性子网 stretched subnets allow an ip subnet to be :stretched:vla the overlay 拉伸子网允许通过覆盖“拉伸”IP子网 1基于主机IP的流量到达本地结构边缘SV,然后通过FabricFabric进行传输 2.动态映射允许特定于主机(32./128,MAC)的广告 3.移动主机1连
CCIE-12-IPSec-VPN-RemoteAccess
上善若水 的专栏
04-01 792
将动态crypto map与静态crypto map做关联: 因为dynamic crypto map 无法直接在接口下调用,只能关联后通过调用静态crypto map来间接关联动态的crypto map。目标网络无法知道对端是何人来访问,所以R2是无法主动发起的,需要移动办公用户端主动发起流星触发IPSec, 触发之后,R4才可以再访问R5。移动办公用户接入的出口路由器是任意的(这里是R3),所以无法指对端peer具体地址,同时也没有办法做到主动去匹配感兴趣流,只能被动响应。R3:本地网络上网的网关。
CLC-CCIE-SEC-v6.0-Practice-Lab-v1.0.zip
02-09
4. **加密技术**:包括IPSec、SSL/TLS、WPA/WPA2等无线安全协议的配置和应用。 5. **网络访问控制(NAC)**:理解Cisco ISE(Identity Services Engine)及其在实现网络访问策略中的角色。 6. **虚拟化和云安全**...
CCIE EI SD-WAN
03-22
│ 01-SDW-L1_01-SD-WAN简介及思科SD-WAN.mp4 网盘文件永久连接 │ 02-SDW-L1_02 SD-WAN部署.mp4 │ 03-SDW-L1-03 OMP协议讲解.mp4 │ 04-SDW-L1_04-SD-WAN数据及分段.mp4 │ 05-SD-WAN ZTP 与 Template.mp4 ...
CCIE DC-基本教材6本.rar
09-19
DCICT Student Guide_Voll. pdf DCICT_ Student Guide_ Vol2 pdt DCUCI50-SG_Voll. po DCUCI50_SG_Vol2. pdf DCUFI50SG_Voll. pdf DCUFISOSG_Vol2. pdf
CCIE-DC 300-620.vce
05-22
CCIE-DC 300-620.vce 最近刚通过
华为高教校园网络解决方案 方案规划
qq_25467441的博客
07-24 588
在核心交换机上根据用户流量的分类创建相应的VPN实例,同BRAS创建不同的三层接口并绑定对应的VPN实例,区分后的流量分别通过不同的三层接口送回核心交换机。提前导入AP信息:该方式需要在AP硬装时采集AP ESN信息,在网络规划模板中填写ESN、AP名称,连同其他信息(如Eth-Trunk等)一起,一次性导入iMaster NCE-Campus。高教校园虚拟化网络主要是基于iMaster NCE-Campus部署,按照iMaster NCE-Campus的业务配置模型进行部署规划,具体规划如表4-1所示。
特斯拉财报看点:FSD拳打华为,Robotaxi 脚踢百度
数据猿
07-25 1181
大数据产业创新服务媒体——聚焦数据· 改变商业特斯拉发最新财报了,这不仅是一份财务报告,更是一张未来发展的蓝图。在这份蓝图中,两个关键词格外耀眼——FSD(全自动驾驶系统)和Robotaxi(无人驾驶出租车)。特斯拉,这个名字早已成为电动汽车和创新科技的代名词。然而,随着2024年第二季度财报的发布,我们发现,这家公司的野心远不止于此。它正以FSD和Robotaxi为先锋,准备在全球自动驾驶领域...
计算机网络—电路、分组、报文交换—图文详解
最新发布
喻师傅的学习笔记
07-31 413
计算机网络—三种交换方式图文详解
CCNP和CCIE企业核心ENCOR 300-401官方认证指南
The "CCNP and CCIE Enterprise Core ENCOR 300-401 Official Cert Guide" is a comprehensive resource written by industry experts Brad Edgeworth, Ramiro Garza Rios, David Hucaby, and Jason Gooley....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CCIE-Yasuo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值