ipsec数据包格式
- 格式:doc
- 大小:33.00 KB
- 文档页数:2
IPSEC数据包格式
隧道模式使用 IPSec 隧道模式时,IPSec 对 IP 报头和有效负载进行加密,而传输模式只对 IP 有效负载进行加密。通过将其当作 AH 或 ESP 有效负载,隧道模式提供对整个 IP 数据包的保护。使用隧道模式时,会通过 AH 或 ESP 报头与其他 IP 报头来封装整个 IP 数据包。外部 IP 报头的 IP 地址是隧道终结点,封装的 IP 报头的 IP 地址是最终源地址与目标地址。
IPSec 隧道模式对于保护不同网络之间的通信(当通信必须经过中间的不受信任的网络时)十分有用。隧道模式主要用来与不支持 L2TP/IPSec 或 PPTP 连接的网关或终端系统进行互操作。可以在下列配置中使用隧道模式:
•网关到网关
•服务器到网关
•服务器到服务器
AH 隧道模式如下图所示,AH 隧道模式使用 AH 与 IP 报头来封装 IP 数据包并对整个数据包进行签名以获得完整性并进行身份验证。
ESP 隧道模式如下图所示,ESP 隧道模式采用 ESP 与 IP 报头以及 ESP 身份验证尾端来封装 IP 数据包。
数据包的签名部分表示对数据包进行签名以获得完整性并进行身份验证的位置。数据包的加密部分表示受到机密性保护的信息。
由于为数据包添加了隧道新报头,因此会对 ESP 报头之后的所有内容进行签名(ESP 身份验证尾端除外),因为这些内容此时已封装在隧道数据包中。原始报头置于 ESP 报头之后。在加密之前,会在整个数据包上附加 ESP 尾端。ESP 报头之后的所有内容都会被加密,ESP 身份验证尾端除外。这包括原始报头,该报头此时被视为数据包的数据部分的一部分。
然后,会将整个 ESP 有效负载封装在未加密的新隧道报头内。新隧道报头内的信息只用来将数据包从源地址发送到隧道终结点。
如果通过公用网络发送数据包,则数据包会路由到接收方 Intranet 的网关的 IP 地址。网关对数据包进行解密、丢弃 ESP 报头并使用原始 IP 报头将数据包路由到 Intranet 计算机。
进行隧道操作时,ESP 与 AH 可组合使用,从而为隧道 IP 数据包提供保密性,同时为整个数据包提供完