Объесните мне пожалуйста и приведит пример использования транспортного и тунельного режимов IPSec. Я никак не вкурить их предназначения и разницу.
>Объесните мне пожалуйста и приведит пример использования транспортного и тунельного режимов IPSec.
>Я никак не вкурить их предназначения и разницу.шифовать пакет целиком или, при определенных условиях, только его часть..
>шифовать пакет целиком или, при определенных условиях, только его часть..А пример использования? В каком случае использовать режим трансопорта а в каком режим туннеля?
>>шифовать пакет целиком или, при определенных условиях, только его часть..
>
>А пример использования? В каком случае использовать режим трансопорта а в каком
>режим туннеля?транспорт используется когда не используется динамика и мультикаст между точками.
тунельный при использовании динамики(ospf, eigrp, и тд)енто как я решаю где что использовать ,а так хз
>>>шифовать пакет целиком или, при определенных условиях, только его часть..
>>
>>А пример использования? В каком случае использовать режим трансопорта а в каком
>>режим туннеля?
>
>транспорт используется когда не используется динамика и мультикаст между точками.
>тунельный при использовании динамики(ospf, eigrp, и тд)ошибаетесь.
транспортная и туннельная моды не зависят от использования динамики и мультикаста...
транспортная мода нужна для того, чтобы в некоторых случаях уменьшить overhead
>[оверквотинг удален]
>>>
>>>А пример использования? В каком случае использовать режим трансопорта а в каком
>>>режим туннеля?
>>
>>транспорт используется когда не используется динамика и мультикаст между точками.
>>тунельный при использовании динамики(ospf, eigrp, и тд)
>
>ошибаетесь.
>транспортная и туннельная моды не зависят от использования динамики и мультикаста...
>транспортная мода нужна для того, чтобы в некоторых случаях уменьшить overheadесли коротко то:
в транспортном режиме шифруется только тело ip пакета
в тунельном и тело и заголовок.
>>>>А пример использования? В каком случае использовать режим трансопорта а в каком
>>>>режим туннеля?
>>>Надеюсь, что смогу немного добавить понимания.
Туннельный режим используется тогда, когда Вам надо создать туннель. В основном, для построения VPN туннелей.
Например, Вы соединяете два офиса:192.168.1.0/24 [router] 77.122.22.1 --- (Internet) --- 87.232.32.1 [router] 192.168.2.0/24
Когда в туннельном режиме у Вас пакеты идут с SA: 192.168.1.1 и DA: 192.168.2.1, то они туннелируются (то есть инкапсулируется весь пакет IP) и добавляются новые заголовки -- SA: 77.122.22.1 и DA: 87.232.32.1
Транспортный режим используется, если Вам нужно просто обезопасить передачу данных, но не надо создавать туннель. Например, Вы передаете данные от одного в лок.сети к другому:
192.168.1.1/24 [router или switch 3 уровня] 192.168.2.1/24
Тут уже заголовки не изменяются и пакет передается просто с SA: 192.168.1.1 и DA: 192.168.2.1, но его содержимое защищено.
>[оверквотинг удален]
>и добавляются новые заголовки -- SA: 77.122.22.1 и DA: 87.232.32.1
>
>Транспортный режим используется, если Вам нужно просто обезопасить передачу данных, но не
>надо создавать туннель. Например, Вы передаете данные от одного в лок.сети
>к другому:
>
> 192.168.1.1/24 [router или switch 3 уровня] 192.168.2.1/24
>
>Тут уже заголовки не изменяются и пакет передается просто с SA: 192.168.1.1
>и DA: 192.168.2.1, но его содержимое защищено.ну Вы Наталья объяснили людям.... проще надо быть... проще ;)
Туннель нужно юзать, когда соединяется, например, парочка маршрутизаторов, т.е. грубо говоря два шлюзы IPSec. Транспортный режим скорее нужно юзать, когда поднимается ВПН между, например, непосредственно оконечными станциями. В транспортном режиме будет шифроваться лишь полезная нагрузка, но не ip-заголовок, это с одной стороны добавляет всего лишь несколько байтов к пакету, а с другой стороны при анализе пакета можно увидеть настощие адреса отправителяи получателя, также сколько пакетов отправлялось и т.п, что в последующем может создать лишние небольшие, но угрозы.
Вставлю свои 5 копеек. Все далее сказанное мое имхо.Для меня использование тунельного режима не совсем удобно, так как при этом нету явно выделеных интерфейсов через котрорые бегает трафик, к примеру, с одного офиса в другой. Отсюда специфика настройки фаервола. Для этого я использую обычные gif или gre тунели, которые защищаю с помощью ipsec но в транспортом режиме. Так как сам тунель уже добавляет свой заголовок, то в транспортном режиме ipsec шифруется как внутренний заголовок так и данные. При этом мы имеем по обе стороны по интерфейсу, через которые бегает шифрованные данные. В таком случае легко строить политики фаервола и тд.
to Алексей>
>ну Вы Наталья объяснили людям.... проще надо быть... проще ;)
>Согласна.
Ваше объяснение мне больше нравится :)Спасибо
Информация очень помогла но теперь следующяя проблема. Соединение устанавливается в режиме туннель между маршрутизатором и сервером всё нормально (пишет в логах что соединение установлено), но трафик не ходит ни пинги не иной другой. Снифер трафика не отоброжает что идут зашифрованные покеты. Сдесь в чём могут быть проблемы.
>Информация очень помогла но теперь следующяя проблема. Соединение устанавливается в режиме туннель
>между маршрутизатором и сервером всё нормально (пишет в логах что соединение
>установлено), но трафик не ходит ни пинги не иной другой. Снифер
>трафика не отоброжает что идут зашифрованные покеты. Сдесь в чём могут
>быть проблемы.в конфигурации либо сервера, либо маршрутизатора, либо того и другого :)
ты б хоть конфигур рутера что ли выложил...
>Информация очень помогла но теперь следующяя проблема. Соединение устанавливается в режиме туннель
>между маршрутизатором и сервером всё нормально (пишет в логах что соединение
>установлено), но трафик не ходит ни пинги не иной другой. Снифер
>трафика не отоброжает что идут зашифрованные покеты. Сдесь в чём могут
>быть проблемы.в acl скорей всего
Отличное объяснение, спасибо =)