网络层协议:IP sec
IP sec工作模式:
传输模式:IPsec 实现的端到端的保护,只实现数据安全保护,不进行公网封装
隧道模式:IPsec实现站点之间的保护,不仅可以实现数据安全保护,还可以进行公网封装
IPsec的保护协议:
AH:只提供数据完整性校验和身份源验证,不支持数据加密,AH会对整个数据报文进行完整性校验,所以无法穿越NAT,协议号51
ESP:提供数据加密,完整性校验,身份源验证功能,ESP不对外层封装的IP头部进行完整性校验,所以可以穿越NAT,协议号50
IPsec SA协商流程:
第一阶段:协商出IKE SA,用于保护IPsec SA的协商
第二阶段:在IKE SA的保护下,协商出IPsec SA,用于保护数据传输
第一阶段协商模式:
主模式:6次握手,必须使用公网IP地址来标识对端身份,双方必须拥有固定的公网地址
野蛮模式:3次握手,可以使用主机名来标识对端身份,允许某一方没有固定公网地址,必须由公网地址不固定
的一端主动发起隧道协商请求;安全性没有主模式高,穿越NAT必须使用野蛮模式
第二阶段:快速模式分别协商出入站IP sec SA和出站的IP sec SA
NAT穿越:由于IPsec不封装传输层头部,所以导致NAT无法修改端口信息,就不能穿越NAT。开启NAT穿越后,IPsec会在ESP头部前封装一个UDP4500的传输头部,使数据包可以被NAT处理
IPsec的端口号:UDP500、UDP4500
本文来自投稿,不代表科技代码立场,如若转载,请注明出处https://www.cwhello.com/41436.html
如有侵犯您的合法权益请发邮件951076433@qq.com联系删除
