数据报文在无维护的网络上传输可能会遭受各种攻击、篡改,
IPSec协议能保证数据在无维护的网络中安全传输,通过加密与验证等方式,为IP数据包出示安全服务。
IPSec可出示的安全服务包含
数据加密:通过数据加密提供数据私密性,由ESP协议实现。
数据完整性验证:通过数据完整性验证保证数据在传输途径上未经过篡改,由AH协议、ESP协议实现。
数据源验证:通过对数据源进行验证,确保数据来源可靠,由AH协议、ESP协议实现。
避免 数据播放:通过拒绝重复的数据包避免 恶意攻击,由AH协议、ESP协议实现。
IPSecVPN组网场景
点到点VPN:
主要用以企业总部与分支机构之间创建VPN隧道实现数据通信,适用IPSec静态隧道、GREoverIPSec隧道、L2TPover IPSec隧道。
IPSec静态隧道:应用IPSec静态隧道组网时,一定要在每一个IPSec隧道两端手动式进行隧道配备,无需动态商议。但随着加密点和隧道的增加,对IPSec隧道的配备和维护难度也提升,因而静态隧道技术性一般运用在分支机构比较少的场景。
GRE overIPSec隧道:出示在总部和分支之间传输广播、组播的业务,广泛适用于企业总部与分支机构间应用视频会议或动态路由协议信息等场景。
L2TPover IPSec隧道:先用IPSec封裝报文后再用L2TP封裝,通过L2TP实现客户验证和地址分配,并运用IPSec保障安全性。
点到多点VPN:
主要适用于企业总部到好几个分支机构的VPN组网场景,除了适用以上基本的GREoverIPSec隧道、L2TPover IPSec隧道组网方式之外,在考虑到多个分支机构连接互联网接口一般都为动态获得IP地址,没法配备很多的分支连接,锐捷系列产品RSR路由器还适用IPSec的动态连接、及其RSR连接系列路由器适用DMVPN技术性,不但考虑多分支连接、还可实现动态IP灵便添加网络,降低客户运维成本。
IPSec动态隧道:IPSec动态隧道一般运用于分支连接点较多的总分拓扑结构,在中心点配备动态隧道接纳各分支的IPSec VPN拨入。中心点配备简单、便于维护、扩展性强。
DMVPN技术性:是一种高拓展的VPN技术性,它是一种VPN动态运用的模型,包括了4种关键技术:MGRE、NHRP、IPSec、路由协议,MGRE由点到点的GRE技术性衍生出来,实现了点到多点的作用,主要进行VPN隧道的作用,NHRP协议用以动态获得公网NBMA地址,IPSec用以对GRE流量数据加密。路由协议是通讯的基础,是一种基本要素。
以上就是公司分支场景下的IPSecVPN组网的介绍。
桂哥网络是一家面向企业提供云交换网络服务为核心业务的技术创新企业,在全球的数据中心节点30个,POP节点超过200个,服务的大客户超过300个,涉及金融、互联网、游戏、AI、教育、制造业、跨国企业等行业领域。
