IPSec-VPN中隧道模式和传输模式区别之欧阳家百创编

课程名称实验二：IPSec VPN配置（隧道+传输）实验报告目录一、实验名称 (1)二、实验目标 (1)二、实验内容 (1)1.IPsec安全协议AH与ESP有什么区别？ (1)2.IPsec安全的优点缺点？ (1)三、实验步骤 (2)一、传输模式的实现 (2)二、隧道模式的实现 (21)四、实验遇到的问题及其解决方法 (27)五、实验结论 (27)一、实验名称IPSec VPN配置二、实验目标理解IPSec协议原理。

掌握windows server 2003基于IPsec隧道模式和传输的站点到站点VPN配置。

二、实验内容1.IPsec安全协议AH与ESP有什么区别？1、AH没有ESP的加密特性2、AH的authtication是对整个数据包做出的，包括IP头部分，因为IP头部分包含很多变量，比如type of service（TOS），flags，fragment offset，TTL以及header checksum.所以这些值在进行authtication前要全部清零。

否则hash会mismatch导致丢包。

相反，ESP是对部分数据包做authentication，不包括IP头部分。

2.IPsec安全的优点缺点？优点● IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议；● IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的；● IPSec VPN网关一般整合了网络防火墙的功能；● IPSec客户端程序可与个人防火墙等其他安全功能一起销售，因此，可保证配置、预防病毒，并能进行入侵检测。

不足● IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSecVPN的客户端程序；● IPSec VPN的连接性会受到网络地址转换（NA T）的影响，或受网关代理设备（proxy）的影响；● IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂；● IPSec安全性能高，但通信性能较低；● 实际全面支持的系统比较少。

IPSec-VPN中隧道模式和包模式区别
隧道模式和包模式是IPSec-VPN中常用的两种加密方式，在保
护数据通信的过程中发挥重要作用。

它们有以下区别：
1. 包模式：
- 包模式又称为输送模式（Transport Mode），仅对数据包的有
效载荷进行加密和认证。

- 在包模式下，IPSec仅加密和认证数据包的数据部分，不对
IP头进行处理，因此只能保护数据的完整性和机密性。

- 包模式在互联网连接的两个端点之间提供点对点的加密保护，适用于互联网通信和内部网络通信。

2. 隧道模式：
- 隧道模式又称为隧道模式（Tunnel Mode），对整个数据包进
行加密和认证。

- 在隧道模式下，IPSec不仅加密和认证数据包的有效载荷，还
对整个IP数据包进行处理，包括IP头部和有效载荷。

- 隧道模式提供了端到端的加密保护，不仅保护了数据的完整
性和机密性，还隐藏了数据包的源和目的地。

- 隧道模式通常用于连接不同网络之间的安全通信，如远程办公环境、分支机构与总部之间的通信等。

总结：
包模式适用于点对点通信，仅对数据负载进行加密和认证，而隧道模式适用于不同网络之间的通信，对整个数据包进行加密和认证，提供了端到端的加密保护。

选择合适的加密方式取决于特定的通信需求和安全要求。

IPSec VPN基本原理IPSec VPN是目前VPN技术中点击率非常高的一种技术，同时提供VPN和信息加密两项技术，这一期专栏就来介绍一下IPSec VPN的原理。

IPSec VPN应用场景IPSec VPN的应用场景分为3种：1. Site-to-Site（站点到站点或者网关到网关）：如弯曲评论的3个机构分布在互联网的3个不同的地方，各使用一个商务领航网关相互建立VPN隧道，企业内网（若干PC）之间的数据通过这些网关建立的IPSec隧道实现安全互联。

2. End-to-End（端到端或者PC到PC）：两个PC之间的通信由两个PC之间的IPSec 会话保护，而不是网关。

3. End-to-Site（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

VPN只是IPSec的一种应用方式，IPSec其实是IP Security的简称，它的目的是为IP 提供高安全性特性，VPN则是在实现这种安全特性的方式下产生的解决方案。

IPSec是一个框架性架构，具体由两类协议组成：1. AH协议（Authentication Header，使用较少）：可以同时提供数据完整性确认、数据来源确认、防重放等安全特性；AH常用摘要算法（单向Hash函数）MD5和SHA1实现该特性。

2. ESP协议（Encapsulated Security Payload，使用较广）：可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。

为何AH使用较少呢？因为AH无法提供数据加密，所有数据在传输时以明文传输，而ESP提供数据加密；其次AH因为提供数据来源确认（源IP地址一旦改变，AH校验失败），所以无法穿越NAT。

当然，IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性，但是此种方案极其少见。

传输模式下的IPSEC-VPN、隧道模式下的IPSEC-VPN及GER模式下的IPSEC-VPN命令详解传输模式下的IPSEC-VPN对接口进行基本配置--------------------------------------RZ6:第一阶段完成初始的身份认证，建立最基本的安全通道，为协商以后的SA做准备，这个阶段主要定义ISAKMP策略，包括对称加密算法、完整性验证算法、身份验证的方法、SA的生存期最后确定双方的密码和IP地址。

enconf tno ip domain-lookupip classlessip subnet-zerohostname RZ6int fa1/0ip add 211.0.0.1 255.255.255.0no shutint s0/0ip add 212.0.0.1 255.255.255.0no shutexitIPSEC不支持组播，只能使用静态路由或是RIP1router ripnet 211.0.0.0net 212.0.0.0endshow ip route基本配置以下定义策略conf tcrypto isakmp policy 11创建编号为11的isakmp策略encryption 3des指定对称加密算法为3deshash sha指定消息摘要算法为shagroup 2指定DH分组编号为2lifetime 5000指定SA生存期5000秒authenticatiion pre-share指定身份验证算法为预共享密钥exitcrypto isakmp key cisco123 address 212.0.0.2设置isakmp中双方用的密钥和对端的IP地址第二阶段：1、创建访问控制列表111允许所有数据流通过access-list 111 permit ip any any2、创建变换集set1AH功能为IP数据包提供完整性校验和身份认证，AH消息摘要验证算法（即身份验证）用sha和ESP用3des加密及用MD5 进行完整性校验crypto ipsec transform-set set1 ah-sha-hmac esp-3des esp-md5-hmacexit3、创建加密图map1序列号为10crypto map map1 10 ipsec-isakmpmatch address 111匹配要加密的数据流访问控制列表111的数据流set transform-set set1确定与对方所用的变换集的名字最多可以确定6个set peer 212.0.0.2指定对方的IP（set pfs【group1/group2】还可启用向前密钥保护功能，保护密钥一个交换）exit4、最后将加密图应用到接口中int s0/0启用串口s0/0crypto map map1在s0/0上启用IPSEC加密图map1no shutendshow crypto ipsec sa显示本地路由器下生成的IPSEC的SA后面可以加接口及加密图的名字show crypto transform-set显示变换集show crypto map[map mapname/ address/identity]显示加密图---------------------------------------------------------隧道模式下的IPSEC-VPNR6:enconf tno ip domain-lookupip classlessip subnet-zerohostname RZ6int fa0/0ip add 211.0.0.1 255.255.255.0no shutint s1/0ip add 212.0.0.1 255.255.255.0no shutexitinterface tunnel 0ip address 192.168.100.1no shutdownexitrouter ripnet 213.0.0.0net 212.0.0.0net 192.168.100.0endshow ip routeconf tcrypto isakmp enable启用对IPSEC的支持crypto isakmp policy 11创建一个IKE策略11encryption 3des指定对称加密算法为3deshash sha指定消息摘要算法为shagroup 2指定DH分组编号为2lifetime 5000指定SA生存期5000秒authentication pre-share指定身份验证算法为预共享密钥exitcrypto isakmp key cisco123 address 211.0.0.2设置isakmp中双方用的密钥和对端的IP地址创建允许访问在的ACL，下面两条是对所有数据包进行加密access-list 111 permit gre host 212.0.0.1 host 212.0.0.2创建访问控制列表111指定对源212.0.0.1到目的212.0.0.2的数据流用GER封装和加密gre(通用路由分装协议)这条是为了测试R6到R7能不能通信access-list 111 permit ip any any对所有数据都进行加密创建变换集crypto ipsec transform-set set1 ah-sha-hmac esp-3des esp-md5-hmac创建名为set1隧道模式的变换集,指AH消息摘要验证算法（即身份验证）用sha和ESP用3des加密及用MD5进行完整性校验AH功能为IP数据包提供完整性校验和身份认证，mode tunnel 指定模式为隧道模式exit创建加密图crypto map map1 10 ipsec-isakmp创建加密图map 1match address 111加密图map1匹配了ACL 111set transform-set set1加密图map1匹配了变换集set 1set peer 212.0.0.2设置对端地址为212.0.0.2exit隧道模式的IPSEC-VPN需要在接口和隧道逻辑口上进行应用int s0/0crypto map map1在s1/0口上应用加密图mp1no shutinterface tunnel0 进入隧道的配置模式tunnel sourec 212.0.0.1tunnel destination 212.0.0.2crypto map map1 在隧道上应用加密图no shutendshowcrypto ipsec saendshow crypto ipsec sa--------------------------------------GRE-VPN由于使用OSPF、RIP2、EIGRP的链路上配置IPSEC-VPN后路由学不到了，原因是因为IPSEC不支持组播，这些路由协议是用组播进行更新。

IPSec传输模式 vs 隧道模式：不同场景下的选择在网络通信中，保护数据的安全性十分重要。

IPSec（Internet Protocol Security）是一种协议套件，通过加密和认证技术来确保数据的机密性和完整性。

IPSec有两种传输模式：传输模式和隧道模式。

本文将从不同场景的角度探讨这两种模式的选择。

一、IPSec传输模式IPSec传输模式是在通信的两个主机之间建立虚拟网络，仅保护通信双方的数据。

在该模式下，数据在源主机和目标主机之间进行加密和认证，并在传输过程中保持数据的完整性。

这种模式适用于以下场景：1. 远程办公随着云计算和远程办公的普及，越来越多的员工需要通过互联网远程访问公司的内部网络。

在这种情况下，使用IPSec传输模式可以建立安全的连接，确保数据的机密性。

员工可以通过虚拟私有网络（VPN）连接到公司的内部系统，进行安全的远程工作。

2. 分支机构连接大型企业通常有多个分支机构，为了实现各个分支机构之间的安全通信，可以使用IPSec传输模式。

通过在各个分支机构之间建立VPN 连接，可以确保数据在传输过程中的安全性和完整性，防止敏感信息泄露或篡改。

3. 移动设备安全随着智能手机和平板电脑的普及，越来越多的人使用移动设备进行网络通信。

然而，公共无线网络往往存在安全风险。

使用IPSec传输模式可以在移动设备和远程服务器之间建立安全的通信渠道，确保移动设备上的数据传输安全。

二、IPSec隧道模式IPSec隧道模式是在两个网络之间建立安全通信连接，保护整个网络中的所有数据。

该模式适用于以下场景：1. 跨越不可信网络当两个网络之间存在不可信网络（如公共互联网）时，使用IPSec隧道模式可以保证整个网络通信的安全。

隧道模式会将数据包完全加密，并在传输过程中保持数据的机密性和完整性。

2. 多个分支机构连接在一个企业中，可能存在多个分支机构，需要通过互联网进行通信。

使用IPSec隧道模式可以将多个分支机构连接在一个安全的虚拟网络中，确保所有分支机构之间的通信都是加密的、安全的。

VPN技术比较VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。

目前，CPE-based VPN主要包含两种技术：隧道技术与安全技术。

一、隧道技术隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。

被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。

要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。

目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5，它们在OSI 七层模型中的位置如表所示。

各协议工作在不同层次，无所谓谁更有优势。

但我们应该注意，不同的网络环境适合不同的协议，在选择VPN产品时，应该注意选择。

1．点到点隧道协议—PPTPPPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。

目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。

2．第二层隧道协议—L2TPL2TP是国际标准隧道协议，它结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。

但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。

3．IPSec协议IPSec协议是一个范围广泛、开放的VPN安全协议，工作在OSI模型中的第三层——网络层。

它提供所有在网络层上的数据保护和透明的安全通信。

IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。

在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。

传输模式是为了保护端到端的安全性，不会隐藏路由信息。

1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上了ISAKMP协议，其中还包括密钥分配协议IKE和Oakley。

IPSecVPN与IPSec隧道模式IPSec（Internet Protocol Security）是互联网协议安全的一种标准，用于保护网络通信的安全性和保密性。

IPSec通过使用加密和认证机制，确保通过互联网进行的数据传输得到保护。

在实现IPSec功能时，可以采用两种主要的模式：IPSecVPN和IPSec隧道模式。

一、IPSecVPNIPSecVPN（IPSec Virtual Private Network）是一种通过加密和身份验证技术建立的虚拟专用网络。

通过IPSecVPN，不同网络之间的通信可以通过公共互联网进行，同时保持通信机密性和完整性。

它通常由以下几个关键组成部分构成：1. 加密算法和协议：IPSecVPN使用加密算法和协议来保证数据的安全性。

常见的加密算法包括AES（Advanced Encryption Standard）和3DES（Triple Data Encryption Standard），而加密协议包括ESP （Encapsulating Security Payload）和AH（Authentication Header）。

2. 身份验证机制：IPSecVPN使用身份验证机制来确认通信双方的身份，并防止未经授权的访问。

常见的身份验证方式包括预共享密钥（PSK）和数字证书。

3. 安全关联（SA）：SA是IPSecVPN中的一个重要概念，用于协商和维护通信会话的安全参数。

SA包括加密算法、密钥、身份验证方法等。

4. 客户端和服务器：IPSecVPN通常包括客户端和服务器端。

客户端用于发起连接请求并与服务器建立VPN隧道。

5. VPN隧道：通过IPSecVPN，不同网络之间的通信数据会通过VPN隧道进行传输，确保数据的安全和隐私。

二、IPSec隧道模式IPSec隧道模式是一种将整个IP数据包封装在另一个IP数据包中的技术。

它通过在原始IP数据包的头部添加新的IP头部来创建一个隧道。

IPSec传输模式 vs 隧道模式：不同场景下的选择随着互联网的快速发展，网络安全问题也变得愈发重要。

而IPSec(Internet Protocol Security)作为一种主要的网络安全协议，为保护数据的传输提供了一个安全的框架。

在使用IPSec时，根据具体的应用场景，我们可以选择传输模式或隧道模式。

本文将分析并讨论它们在不同场景下的选择。

一、IPSec传输模式IPSec传输模式是在主机到主机的通信中使用的一种模式。

它通过加密和身份验证来保护IP数据报，让数据在网络上安全地传输。

在传输模式下，IPSec只加密数据报中的有效载荷，而不加密 IP 头信息。

这种模式通常适用于在同一局域网中的主机之间进行安全通信的场景。

在企业内部网络中，IPSec传输模式常用于保护敏感数据的传输。

比如，一家公司内的两台主机之间需要通过公共互联网进行数据传输，为了防止数据在传输过程中被窃取或篡改，可以使用IPSec传输模式。

此外，在支持IPSec的移动设备（如笔记本电脑、智能手机等）与企业内部网络之间建立安全通信也可以选择传输模式。

然而，IPSec传输模式存在一些限制。

首先，仅保护主机到主机的通信，不适用于网络上的路由器。

其次，在加密数据报时，只对有效载荷进行加密，而不包括 IP 头信息。

这使得攻击者可以分析 IP头中的信息，从而可能泄漏关键信息。

二、IPSec隧道模式IPSec隧道模式是在网关到网关通信中使用的一种模式。

它通过在通信链路两端的网关中建立一个安全的隧道，将整个IP数据报都加密，并在传输过程中确保数据的安全性。

隧道模式适用于需要连接不同局域网或跨越公共网络进行安全通信的场景。

在企业间的通信中，IPSec隧道模式可以用于建立虚拟专用网络(VPN)连接。

当两个不同的公司需要在公共互联网上进行安全通信时，可以在各自的网关上建立隧道，确保数据传输的安全性。

此外，在支持IPSec的路由器之间建立安全连接，也可以选择隧道模式。

IPSec传输模式 vs 隧道模式：不同场景下的选择当今的数字化时代，网络安全问题日益突出。

为了保护敏感数据免受不良分子的侵害，许多组织和机构都在积极寻求安全传输的解决方案。

在此背景下，IPSec传输模式和隧道模式成为了网络安全领域的两个重要概念。

本文将探讨不同场景下的选择以及它们之间的区别与优劣。

一、IPSec传输模式IPSec传输模式是一种网络协议，用于加密和验证IP数据报。

它适用于需要端到端传输安全的场景，如远程访问VPN、站点到站点VPN 和受限制的查看远程内容。

传输模式直接在IP协议上实现加密和安全验证。

数据报的IP头部仍然可见，但负载部分（即数据本身）会被加密。

传输模式具有许多优点。

首先，它提供了点对点的数据保护，确保数据的完整性和机密性。

其次，传输模式比隧道模式更加灵活，因为它可以在主机到主机、网关到主机和网关到网关之间进行配置。

这种灵活性使得传输模式可以适用于多种不同的网络架构和拓扑结构。

然而，传输模式也有一些局限性。

首先，由于加密只针对负载部分，IP头部信息可以被看到，这可能导致某些安全风险。

此外，传输模式只保护两个通信节点之间的数据，并不提供端对端的全面保护。

因此，在某些场景下，隧道模式可能更适用。

二、隧道模式隧道模式是IPSec的另一种传输模式，用于提供更高级别的安全性。

它适用于需要安全连接的场景，如分支机构与总部之间的连接、跨网络的安全通信以及对整个IP数据报进行保护的需求。

隧道模式将整个IP数据报包装在一个新的IP头部中，并对整个数据报进行加密和验证。

这样，除了端点之间的通信外，其他节点无法获知数据和通信详情。

通过创建虚拟的隧道，隧道模式提供了一种安全的通信方式，这在面对威胁和攻击时尤为重要。

与传输模式相比，隧道模式的主要优势在于其端对端的安全性。

它提供了更高级别的加密和保护，确保数据传输的机密性和完整性。

此外，隧道模式还可以处理复杂的网络拓扑结构，允许跨越不同子网的安全通信。

IPSec传输模式 vs 隧道模式：不同场景下的选择IPSec是一种用于网络通信的安全协议，它通过对传输的数据包进行加密、认证和完整性验证，保护网络通信的安全性。

IPSec支持两种传输模式，即传输模式和隧道模式。

这两种模式在不同的场景下有着不同的选择。

一、IPSec传输模式IPSec传输模式实现的是端到端的数据传输安全，适用于两个网络设备之间的通信。

在传输模式下，IPSec只加密和验证数据包的有效载荷，而不对IP首部进行加密。

这样可以减少额外的开销，提高传输效率。

传输模式适用于以下场景：1. 点对点连接：当两个网络设备之间建立点对点的连接时，传输模式可以确保数据传输的安全性。

例如，在公司通过VPN连接到远程办公室时，传输模式可以保护传输的敏感信息，同时减少传输延迟。

2. 同一安全域内的主机通信：当两台主机在同一个安全域内进行通信时，传输模式可以提供端到端的传输安全。

例如，在企业内部的内部网中，传输模式可以确保内部通信的机密性和完整性，防止数据被篡改或窃取。

二、IPSec隧道模式IPSec隧道模式实现的是网对网的数据传输安全，适用于多个网络之间的连接。

在隧道模式下，IPSec对整个IP数据包进行加密和验证，包括IP首部和有效载荷。

这样可以将整个IP数据包加密，提供更高级别的安全保护。

隧道模式适用于以下场景：1. 多个分支机构之间的通信：当企业有多个分支机构时，通过隧道模式可以建立安全的虚拟专网（VPN），保护分支机构之间的通信。

隧道模式提供了更高级别的安全保护，防止恶意攻击者窃听或篡改通信内容。

2. 不同安全域之间的通信：当不同安全域之间需要进行通信时，通过隧道模式可以建立安全的通信通道。

例如，企业与合作伙伴之间的通信，或不同云服务提供商之间的通信，都可以通过隧道模式进行加密和验证，确保数据的安全传输。

综上所述，IPSec传输模式和隧道模式都是为了保护网络通信安全而设计的。

在选择适合的模式时，应根据具体的网络场景和安全需求进行考虑。

IPSec传输模式 vs 隧道模式：不同场景下的选择介绍：IPSec是一种提供网络层安全性的协议套件，可确保数据在网络中的传输过程中的机密性、完整性和身份验证。

在使用IPSec时，有两种基本的模式可供选择：传输模式和隧道模式。

本文将对这两种模式进行比较，并讨论在不同场景下的选择。

传输模式：传输模式是IPSec中较为简单的一种模式。

在传输模式下，只有数据部分被加密，而IP头部信息则保持不变。

这意味着IPSec仅对数据进行保护，而不对整个IP数据包进行处理。

传输模式的优势在于其较低的开销和较高的性能。

由于只加密数据部分，传输模式可以更快速地完成加密和解密的过程。

此外，传输模式还可以在两个端点之间直接创建连接，适用于保护两个主机之间的通信。

然而，传输模式的劣势在于其有限的保护范围。

由于只有数据部分被加密，传输模式无法保护IP头部信息，这可能暴露了一些安全风险。

因此，在需要更高级别的安全性时，隧道模式可能是更好的选择。

隧道模式：隧道模式是较为复杂的一种IPSec模式。

在隧道模式下，整个IP数据包都被加密和封装，包括IP头部和有效载荷。

加密后的数据被封装在一个新的IP数据包中，并从一个网络端点传输到另一个网络端点。

隧道模式的优势在于其全面的保护能力。

通过对整个IP数据包进行加密和封装，隧道模式可以有效地保护数据的机密性和完整性。

此外，隧道模式还可以在网络层实现虚拟私有网络（VPN）连接，用于连接不同地理位置的网络。

然而，隧道模式的劣势在于其较高的开销和较低的性能。

由于整个IP数据包都被加密和封装，处理和转发这些数据包需要更多的计算和网络资源。

因此，在资源有限的环境下，隧道模式可能会影响网络的性能。

选择场景：选择使用IPSec传输模式还是隧道模式，取决于具体的场景和需求。

如果只需要对两个主机之间的通信进行保护，并且对性能要求较高，那么传输模式可能是更合适的选择。

例如，两个办公室之间的内部通信，传输模式可以提供较好的性能并确保通信的安全性。

IPSec是一种常用的网络安全协议，用于保护数据传输时的机密性、完整性和真实性。

在实际应用中，IPSec通常可以采用传输模式或者隧道模式来进行数据传输的保护。

但是在不同的场景下，选择何种模式是一个需要权衡的问题。

传输模式与隧道模式是IPSec中两种常用的模式，它们之间有许多不同之处。

传输模式只对数据进行包装，而不对IP首部进行加密，这种模式适用于两个主机之间数据的保护，因为它只针对数据有效负载进行加密。

而隧道模式则对整个IP报文进行加密，包括IP首部和有效负载，适用于网络之间的数据传输。

根据不同的场景需求，我们可以选择合适的模式来保护数据传输的安全。

在某些情况下，我们可能只希望在两个远程主机之间实现安全的通信，而不对网络中的其他设备进行保护。

此时，传输模式是一个理想的选择。

传输模式仅加密数据有效负载，而不改变IP首部，因此有效地减少了协议处理的开销，并提高了传输速度。

比如，当我们需要在两个办公楼之间进行安全通信时，传输模式可以保证数据在传输过程中不会被窃取或篡改。

在这种情况下，传输模式提供了一种轻量级、高效的数据保护方式。

然而，在其他一些情况下，我们可能需要在不同的网络之间进行安全的数据传输。

这时，隧道模式就更适合了。

隧道模式对整个IP报文进行加密，包括IP首部和有效负载。

它通过在原始IP报文中插入一个新的IP首部来实现，然后将整个IP报文进行加密。

隧道模式可以确保网络中的所有设备都可以获得安全的数据传输，而不只是两个通信主机。

例如，当我们需要在公司内部网络和公共互联网之间建立VPN连接时，隧道模式可以保护数据在传输过程中不会被窃取或篡改。

此时，隧道模式提供了一种全面、安全的数据保护方式。

此外，传输模式与隧道模式在网络拓扑结构上也有所不同。

传输模式适用于端到端的通信，而隧道模式适用于站点到站点的通信。

传输模式是主机之间的安全通信，而隧道模式是网络之间的安全通信。

因此，在设计网络拓扑结构时，我们需要根据具体的通信需求来选择合适的模式。

IPSec VPN基基础基本理之阳早格格创做IPSec VPN是暂时VPN技能中面打率非常下的一种技能，共时提供VPN战疑息加稀二项技能，那一期博栏便去介绍一下IPSec VPN的本理.IPSec VPN应用场景IPSec VPN的应用场景分为3种：1. Site-to-Site（站面到站面大概者网闭到网闭）：如蜿蜒评论的3个机构分散正在互联网的3个分歧的场合，各使用一个商务收航网闭相互修坐VPN隧道，企业内网（若搞PC）之间的数据通过那些网闭修坐的IPSec隧道真止仄安互联.2. End-to-End（端到端大概者PC到PC）：二个PC之间的通疑由二个PC之间的IPSec会话呵护，而不是网闭.3. End-to-Site（端到站面大概者PC到网闭）：二个PC 之间的通疑由网闭战同天PC之间的IPSec举止呵护.VPN不过IPSec的一种应用办法，IPSec本去是IP Security 的简称，它的手段是为IP提供下仄安性个性，VPN则是正在真止那种仄安个性的办法下爆收的办理规划.IPSec是一个框架性架构，简直由二类协议组成：1. AH协议（Authentication Header，使用较少）：不妨共时提供数据完备性确认、数据基础确认、防沉搁等仄安个性；AH时常使用纲要算法（单背Hash函数）MD5战SHA1真止该个性.2. ESP协议（Encapsulated Security Payload，使用较广）：不妨共时提供数据完备性确认、数据加稀、防沉搁等仄安个性；ESP常常使用DES、3DES、AES等加稀算法真止数据加稀，使用MD5大概SHA1去真止数据完备性.为何AH使用较少呢？果为AH无法提供数据加稀，所罕见据正在传输时以明文传输，而ESP提供数据加稀；其次AH 果为提供数据基础确认（源IP天面一朝改变，AH校验波折），所以无法脱越NAT.天然，IPSec正在极度的情况下不妨共时使用AH战ESP真止最完备的仄安个性，然而是此种规划极其少睹.IPSec启拆模式介绍完IPSec VPN的场景战IPSec协议组成，再去瞅一下IPSec提供的二种启拆模式（传输Transport模式战隧道Tunnel模式）上图是传输模式的启拆结构，再去对于比一下隧道模式：不妨创造传输模式战隧道模式的辨别：1. 传输模式正在AH、ESP处理前后IP头部脆持稳定，主要用于End-to-End的应用场景.2. 隧道模式则正在AH、ESP处理之后再启拆了一个中网IP头，主要用于Site-to-Site的应用场景.从上图咱们还不妨考证上一节所介绍AH战ESP的不共.下图是对于传输模式、隧道模式适用于何种场景的证明.从那弛图的对于比不妨瞅出：1. 隧道模式不妨适用于所有场景2. 传输模式只可符合PC到PC的场景隧道模式虽然不妨适用于所有场景，然而是隧道模式需要多一层IP头（常常为20字节少度）启销，所以正在PC到PC的场景，修议仍旧使用传输模式.为了使大家有个更直瞅的相识，咱们瞅瞅下图，分解一下为何正在Site-to-Site场景中只可使用隧道模式：如上图所示，如果提倡圆内网PC收往赞同圆内网PC的流量谦脚网闭的兴趣流匹配条件，提倡圆使用传输模式举止启拆：1. IPSec会话修坐正在提倡圆、赞同圆二个网闭之间.2. 由于使用传输模式，所以IP头部本去不会有所有变更，IP源天面是192.168.1.2，手段天面是10.1.1.2.3. 那个数据包收到互联网后，其运气必定是杯具的，为什么那样道，便果为其手段天面是10.1.1.2吗？那本去不是基础，基础正在于互联网本去不会维护企业搜集的路由，所以拾弃的大概性很大.4. 纵然数据包不正在互联网中拾弃，而且幸运天达到了赞同圆网闭，那么咱们指视赞同圆网闭举止解稀处事吗？凭什么，的确出什么佳的凭据，数据包的手段天面是内网PC的10.1.1.2，所以间接转收了事.5. 最杯具的是赞同圆内网PC支到数据包了，果为不介进IPSec会话的商谈聚会，不对于应的SA，那个数据包无法解稀，而被拾弃.咱们利用那个反证法，巧妙天阐明了正在Site-to-Site情况下不克不迭使用传输模式的本果.而且提出了使用传输模式的充要条件：兴趣流必须真足正在提倡圆、赞同圆IP天面范畴内的流量.比圆正在图中，提倡圆IP天面为6.24.1.2，赞同圆IP天面为2.17.1.2，那么兴趣流不妨是源6.24.1.2/32、手段是2.17.1.2/32，协议不妨是任性的，倘若数据包的源、手段IP天面稍有分歧，对于不起，请使用隧道模式.IPSec商谈IPSec除了一些协议本理中，咱们更闭注的是协议中波及到规划造定的真质：1. 兴趣流：IPSec是需要消耗资材的呵护步伐，并不是所有流量皆需要IPSec举止处理，而需要IPSec举止呵护的流量便称为兴趣流，末尾商谈出去的兴趣流是由提倡圆战赞同圆所指定兴趣流的接集，如提倡圆指定兴趣流为192.168.1.0/24à10.0.0.0/8，而赞同圆的兴趣流为10.0.0.0/8à192.168.0.0/16，那么其接集是192.168.1.0/24ßà10.0.0.0/8，那便是末尾会被IPSec所呵护的兴趣流.2. 提倡圆：Initiator，IPSec会话商谈的触收圆，IPSec会话常常是由指定兴趣流触收商谈，触收的历程常常是将数据包中的源、手段天面、协议以及源、手段端心号取提前指定的IPSec兴趣流匹配模板如ACL举止匹配，如果匹配乐成则属于指定兴趣流.指定兴趣流不过用于触收商谈，至于是可会被IPSec呵护要瞅是可匹配商谈兴趣流，然而是正在常常真施规划历程中，常常会安排成提倡圆指定兴趣流属于商谈兴趣流.3. 赞同圆：Responder，IPSec会话商谈的接支圆，赞同圆是主动商谈，赞同圆不妨指定兴趣流，也不妨不指定（真足由提倡圆指定）.4. 提倡圆战赞同圆商谈的真质主要包罗：单圆身份的确认战稀钥种子刷新周期、AH/ESP的拉拢办法及各自使用的算法，还包罗兴趣流、启拆模式等.5. SA：提倡圆、赞同圆商谈的截止便是曝光率很下的SA，SA常常是包罗稀钥及稀钥存正在期、算法、启拆模式、提倡圆、赞同圆天面、兴趣流等真质.咱们以最罕睹的IPSec隧道模式为例，阐明一下IPSec的商谈历程：上图形貌了由兴趣流触收的IPSec商谈过程，本死IPSec并不身份确认等商谈历程，正在规划上存留诸多缺陷，如无法支援提倡圆天面动背变更情况下的身份确认、稀钥动背革新等.伴伴IPSec出现的IKE（Internet Key Exchange）协议博门用去补充那些缺累：1. 提倡圆定义的兴趣流是源192.168.1.0/24手段10.0.0.0/8，所以正在接心收支提倡圆内网PC收给赞同圆内网PC的数据包，不妨得以匹配.2. 谦脚兴趣流条件，正在转收接心上查看SA不存留、逾期大概不可用，皆市举止商谈，可则使用目前SA对于数据包举止处理.3. 商谈的历程常常分为二个阶段，第一阶段是为第二阶段服务，第二阶段是真真的为兴趣流服务的SA，二个阶段商谈的偏偏沉有所分歧，第一阶段主要确认单圆身份的精确性，第二阶段则是为兴趣流创修一个指定的仄安套件，其最隐著的截止便是第二阶段中的兴趣流正在会话中是稀文.IPSec中仄安性还体目前第二阶段SA永近是单背的：从上图不妨创造，正在商谈第二阶段SA时，SA是分目标性的，提倡圆到赞同圆所用SA战赞同搁到提倡圆SA是单独商谈的，那样搞的佳处正在于纵然某个目标的SA被破解本去不会波及到另一个目标的SA.那种安排类似于单背车道安排.IPSec虽然不过5个字母的排列拉拢，然而其所波及的协议功能稠稀、规划又极其机动，本期主要介绍IPSec的基基础基本理，正在后绝博栏还会继承介绍IPSec的其余圆里知识..。

IPSec VPN基本原理IPSec VPN是目前VPN技术中点击率非常高的一种技术，同时提供VPN和信息加密两项技术，这一期专栏就来介绍一下IPSec VPN的原理。

IPSec VPN应用场景IPSec VPN的应用场景分为3种：1. Site-to-Site（站点到站点或者网关到网关）：如弯曲评论的3个机构分布在互联网的3个不同的地方，各使用一个商务领航网关相互建立VPN隧道，企业内网（若干PC）之间的数据通过这些网关建立的IPSec隧道实现安全互联。

2. End-to-End（端到端或者PC到PC）：两个PC之间的通信由两个PC之间的IPSec会话保护，而不是网关。

3. End-to-Site（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

VPN只是IPSec的一种应用方式，IPSec其实是IP Security的简称，它的目的是为IP提供高安全性特性，VPN则是在实现这种安全特性的方式下产生的解决方案。

IPSec是一个框架性架构，具体由两类协议组成：1. AH协议（Authentication Header，使用较少）：可以同时提供数据完整性确认、数据来源确认、防重放等安全特性；AH常用摘要算法（单向Hash函数）MD5和SHA1实现该特性。

2. ESP协议（Encapsulated Security Payload，使用较广）：可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。

为何AH使用较少呢？因为AH无法提供数据加密，所有数据在传输时以明文传输，而ESP提供数据加密；其次AH因为提供数据来源确认（源IP地址一旦改变，AH校验失败），所以无法穿越NAT。

当然，IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性，但是此种方案极其少见。

两者的区别在于IP数据报的ESP负载部分的内容不同。

在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。

当这完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。

这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。

在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。

在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。

天使的嫁衣2007-05-11 13:19--------------------------------------------------------------------------------回复: 【原创】VPN中传输模式与隧道模式的区别？这个你要看他的应用场景来说才好点~~~现在IPSEC VPN中一般都用的是tunnel mode 前面好多兄弟们说的gre over ipsec 这个一般也用的是tunnel mode ~~tunnel与transport mode区别就在于tunnel他在加密前要加新的ip头，而transport mode不用加新的ip头部~~ipsec与gre的区别是ipsec不支持组播广播，而GRE都可以封装组播和广播，所以现在GRE over ipsec用的很广泛~~arieswindy 2007-05-11 13:58--------------------------------------------------------------------------------回复: 【原创】VPN中传输模式与隧道模式的区别？传输模式:是保护分组的有效负载,但不对原来的IP地址进行加密隧道模式:是对整个IP分组提供完全的保护,首先对IP分组进行加密,然后将加密的分组封装到另一个IP分组中去..yunhai100 2007-05-11 15:42--------------------------------------------------------------------------------回复: 【原创】VPN中传输模式与隧道模式的区别？鉴于在主机之间建立ipsec 传输模式vpn 的复杂性，典型的vpn使用vpn网关将一个场点中的主机同对等体的主机隔离。

即使使用传输模式，在L2L的模型中，Set Peer X.X.X.X的IP地址和原本IP包头中的目的地址不相同的话，也会在外层再添加一个新的IP包头，这个新的包头就是set peer X.X.X.X为目的地址的包头，源地址用发出接口的地址来发出数据包。

等于自动转换成了隧道模式。

所以必须要做到原始数据包中的目的IP地址和set peer语句中的ip地址一样才能是传输模式，否则会自动转换为隧道模式如GRE over IPsec 就可以使用传输模式。

而且推荐使用传输模式。

因为如果是隧道模式IPsec将会在原来的最外层ip包头的更外层添加一个以set peer x.x.x.x为目的地址和本身发出接口地址为源地址的数据包，如图所示：这个是传输模式，配置了set peer 为20.0.0.2 因为匹配最外层IP数据包的地址，所以不在更外层添加新的地址。

说一下过程，ping R2 的Loop接口，路由器首先查看路由表，发现下一条是tunnel接口，所以用tunnel接口事先定义的源和目的地址来封装数据包。

也就是用10.0.0.1到20.0.0.2来封装数据包，然后送到S0/0物理接口，由于在物理接口上有一个crypto map 路由器查看这个流量是否和crypo map的感兴趣流匹配，（感兴趣流定义permit gre host 10.0.0.1 host 20.0.0.2）由于与定义的感兴趣流匹配，也就是GRE协议的10.0.0.1到20.0.0.2，所以与set peer对端建立IKE阶段1 2 的协商，由于是传输模式，而且set peer的地址同最外层IP包头的地址相同，所以不进行再次封装。

而是直接插入AH头后从物理口送出。

这个是隧道模式，可以看到在最外层的数据包的更外层又添加了一个新的匹配set peer x.x.x.x的IP包头，浪费了资源这个是set peer 1.1.1.1 符合IP包目的地址的数据包分析，可以运行在传输模式，要注意让源地址也要符合对方的目的地址才可以建立连接可以用crypto map name local-address interface 来定义封装数据包的源端口。