20191029
IPSEC
GRE(Generic Routing Encapsdation)補充:
無狀態協定,不提供流量控制
GRE至少增加24bytes cost(20byte ipv4標頭+4bytes GRE header)
具備多協定特性,可以將IP以及非IP封包封裝在隧道內
*允許multicost流量和動態路由協定封包穿越隧道
安全性較弱
用ipv4作為封裝時,potocol=47IPSEC:
數據機密性:常用加密算法 DES 3DES AES(對稱式加密方式)
數據完整性:常用算法 MD5 SHA-1
身份驗證:常用方法 pre-share預共享密碼(EX:a:cisco加密,b:cisco解密)和數字證書(數位簽章)
(前三項可任做一項,依照當下需求選擇)
防重放攻擊(replay attack):IPSec接收方可檢測並拒絕接收過時或重複的封包tunnel模式:
*ESP:三種模式都有
*AH=authantication header:完整性身分驗證
----------------------------------
|原始IP header|TCP/UDP|原始payload|
----------------------------------
---------------------------------------------------------
|新的IP header|AH header|原始IP header|TCP/UDP|原始payload|
---------------------------------------------------------
(------------------------可被驗證-------------------------)*最常用到
-----------------------------------------------------------------------------
|新的IP header|ESP header|原始IP header|TCP/UDP|原始payload|ESP trailer|ESP驗證|
-----------------------------------------------------------------------------
(--------------------------被驗證-------------------------)
(--------------------被加密-------------------)
傳輸(transport)模式:
----------------------------------
|原始IP header|TCP/UDP|原始payload|
----------------------------------
--------------------------------------------
|原始IP header|AH header|TCP/UDP|原始payload|
--------------------------------------------
------------------------------------------------------------
|原始IP header|ESP header|TCP/UDP|原始payload|ESP包尾|ESP驗證|
------------------------------------------------------------
(----------------被驗證----------------)
(----------被加密-----------)
SFP+RJ45phase 1:建立一個安全通道-「key」
phase 2:在phase 1建立的安全通道提供安全的「data」運輸
(phase 1建立的通道參數可以與第二個phase不一樣)Last updated
