ESP,AH

ESP (encapsulation security paylaod) ,提供 integrity,源认证,confidenticality

IP协议号 50

包含字段:

1) SPI (安全参数索引)

2)SN(序列号):单调增长 ,防止重放攻击

3)初始化向量

4)paylaod data :加密的数据

5)padding (垫片):IPsec VPN采用CBC的块加密方式,需吧数据补齐

6)pad length

7)next header

8) authentication data

AH (authentication header),不提供 confidentiality, 很少被使用

IP协议号 51

封装

transport mode and tunnel mode

transport mode (加密点==通信点)

通信点 ; 实际通信设备

加密点:加密数据的设备

tunnel mode (加密点 不等于 通信点):

将原始IP数据包封装在一个新的IP包内, 在原始IP头和新的IP头内插入ESP头部

站点到站点的IPsec VPN 是经典的tunnel mode实例,若仍然使用transport mode,包将被丢弃,since 10.1.1.1是客户内部网络,在互联网上不可路由

results matching ""

    No results matching ""