日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

密鑰更新周期 密鑰更新周期什么意思( 四 )

云知道周期


--在IP頭部之后插入ESP頭,在數(shù)據(jù)字段后插入尾部以及認(rèn)證字段(可選的);只對(duì)IP數(shù)據(jù)包中的ESP報(bào)頭 , 上層數(shù)據(jù)和ESP尾部進(jìn)行完整性校驗(yàn) 。
2、隧道模式中的AH+ESP:對(duì)整個(gè)原始IP報(bào)文和ESP尾部進(jìn)行加密 , 對(duì)除新IP頭之外的整個(gè)IP數(shù)據(jù)包進(jìn)行完整性校驗(yàn) 。
注:ESP散列封裝的是數(shù)據(jù)載荷,對(duì)新封裝的IP報(bào)頭不會(huì)保護(hù),這種在NAT環(huán)境中不會(huì)影響正常使用,但是在PAT環(huán)境中因?yàn)樗膶咏涌诒槐Wo(hù),就無(wú)法實(shí)現(xiàn)PAT端口轉(zhuǎn)換;為了支持PAT , 需要開(kāi)啟NAT穿越功能(IPSec NAT-T),在IPSec封裝報(bào)文中添加UDP字段,默認(rèn)端口號(hào)為4500 , PAT路由器通過(guò)記錄端口號(hào)來(lái)放行對(duì)應(yīng)流量;封裝格式:Ethernet2|IPV4(新)|UDP|ESP|GRE|IPv4|TCP|HTTP|FCS
通過(guò)ESP和AH做散列計(jì)算時(shí)是不包含三層報(bào)頭中TTL和校驗(yàn)和字段;AH散列保護(hù)的是整個(gè)數(shù)據(jù)包,所以是不支持NAT和PAT 。
推薦書籍:思科VPN完全配置手冊(cè)
普通的IPsec-VPN主要適用于不同廠家VPN之間的對(duì)接,兼容性非常好 , 思科路由器和ASA可以和大部分非思科廠家的VPN設(shè)備進(jìn)行IPsec-VPN對(duì)接 。然而這種普通的IPsec-VPN并不適用于復(fù)雜的 *** 環(huán)境,主要存在如下問(wèn)題:
1、由于沒(méi)有虛擬隧道接口 , 不支持通過(guò)運(yùn)行動(dòng)態(tài)路由協(xié)議來(lái)實(shí)現(xiàn)路由互通;
2、由于沒(méi)有虛擬隧道tunnel接口,不能對(duì)通信點(diǎn)之間的明文流量進(jìn)行控制和監(jiān)測(cè)(如ACL、QOS、NAT、Netflow等);
3、配置復(fù)雜,每增加一個(gè)站點(diǎn)或網(wǎng)段,都要增加許多感興趣流,排錯(cuò)復(fù)雜 。
為了解決IPsec-VPN存在的問(wèn)題 , 思科提供的解決方案是GRE over IPsec
?GRE Over IPsec 技術(shù);通過(guò)GRE來(lái)建立虛擬隧道(tunnel口),運(yùn)行動(dòng)態(tài)路由協(xié)議來(lái)學(xué)習(xí)路由;通過(guò)在tunnel接口上配置ACL、QOS等技術(shù)來(lái)控制數(shù)據(jù)流,通過(guò)IPsec技術(shù)將GRE隧道中的數(shù)據(jù)進(jìn)行保護(hù) 。

首先在兩個(gè)站點(diǎn)之間,使用GRE在兩臺(tái)路由器之間建立了一條隧道(tunnel口),GRE隧道的作用就是虛擬地把兩個(gè)站點(diǎn)連接在一起,就像是拉了一根專線一樣把站點(diǎn)A和站點(diǎn)B連接起來(lái),中間沒(méi)有其他設(shè)備;這樣就可以在這根"線"兩端的兩個(gè)接口上配置IP地址,并且運(yùn)行動(dòng)態(tài)路由選擇協(xié)議,使得兩臺(tái)路由器分別學(xué)習(xí)到對(duì)方身后 *** 的路由;然后在tunnel接口進(jìn)行數(shù)據(jù)控制和采集,由于站點(diǎn)A和B分別使用的是兩個(gè)站點(diǎn)的公網(wǎng)IP地址,即不管GRE封裝之前的原始數(shù)據(jù)如何,封裝之后的源IP都是A,目標(biāo)IP都是B , 也就是我們只需要將A到B和B到A的流量分別在A和B上配置為興趣流量即可,這樣就可以把所有的GRE流量都進(jìn)行了加密;通過(guò)GRE over IPSec,即解決了安全問(wèn)題,也解決了普通IPSEC VPN感興趣流過(guò)多,配置復(fù)雜的問(wèn)題 。
注:GRE over IPSEC,加密點(diǎn)等于通信點(diǎn),是一個(gè)典型的傳輸模式的IPsec-VPN,因此GRE over IPSEC推薦使用傳輸模式;如果使用隧道模式,就會(huì)增加一個(gè)20字節(jié)的IP頭部,因此,GRE技術(shù)經(jīng)過(guò)IPSEC加密使用傳輸模式更加優(yōu)化 。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人 , 因此內(nèi)容不代表本站觀點(diǎn)、本站不對(duì)文章中的任何觀點(diǎn)負(fù)責(zé),內(nèi)容版權(quán)歸原作者所有、內(nèi)容只用于提供信息閱讀 , 無(wú)任何商業(yè)用途 。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任 。如發(fā)現(xiàn)本站(文章、內(nèi)容、圖片、音頻、視頻)有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容,請(qǐng)發(fā)送郵件至353049283@qq.com舉報(bào),一經(jīng)查實(shí),本站將立刻刪除、維護(hù)您的正當(dāng)權(quán)益 。

推薦閱讀