您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

IPSec VPN中如何传输动态路由协议?理论知识分析实现原理

时间:2020-11-10 12:04:49  来源:  作者:

1、 为什么要用到GRE over IPSec、IPSec over GRE或SVTI

为什么要使用GRE over IPSec、IPSec over GRE或SVTI,其中最主要的原因是IPSec不支持组播传输,无法实现动态路由之间的通告,如果能够实现分支与总部间的动态路由传输,那么之前文章中提到的路由指向问题完全可以通过动态路由解决,前提是VPN能够传输动态路由。

使用GRE over IPSec、IPSec over GRE或SVTI的根本原因在于,能够使用隧道级VPN技术将IPsec无法分离的明文及密文流量通过隧道级VPN创建虚拟的隧道接口进行分离。

IPSecVPN中如何传输动态路由协议?理论知识分析实现原理

IPsec流量传输模型

上图为标准的IPSec VPN数据传输图,由图可见,无论是明文流量还是隧道中加密的流量都是通过物理接口进行转发的,并没有使用虚拟隧道接口。

IPSecVPN中如何传输动态路由协议?理论知识分析实现原理

gre over ipsec流量传输模型

上图以Gre over IPsec VPN为例,由图可见,明文流量通过虚拟隧道接口明文传输,隧道流量出物理接口时撞击物理接口的IPSec VPN MAP,通过物理接口IPSec SA加密转发。

做到了明文密文在端口上做到了分离,可以分别控制明文和密文流量了。

 

知识扩展:为什么IPSec VPN会不支持动态路由?

网上大部分的说法很笼统,基本上都是说IPSec VPN设计的不完善。并没有过多的解释。

下面是我对IPSec VPN设计不完善的多点理解:

1、 首先,IPSec不是一个隧道级的VPN,而是一个Site to Site的VPN,了解过动态路由协议的都知道,动态路由建立邻居是需要一个直连的互联地址。而IPSec VPN两端没有一个直连的互联地址,从而无法做到动态路由邻居的建立。

2、 再者IPSec VPN不支持组播,其原因也是因为IPsec不是一个隧道级的VPN,设计时没有独立隧道接口,所以没有接口生成在能够在隧道中传输的组播报文。

3、最后IPSec VPN不能够传输组播,首先组播是需要无连接协议所支持,而IPSec VPN的数据传输是基于IPSec SA建立的连接进行加解密传输的。

多方原因导致IPSec VPN无法支持动态路由。

 

2、 GRE over IPSec 、IPSec over GRE和SVTI的区别

2.1 GRE over IPSec

首先前两种技术从名字中就能看出,GRE over IPsec是将GRE数据报文封装在IPSec的封装中进行传输的,如下图:

IPSecVPN中如何传输动态路由协议?理论知识分析实现原理

gre over ipsec流量传输模型

数据报文封装如下图:

IPSecVPN中如何传输动态路由协议?理论知识分析实现原理

gre over IPsec 报文封装格式

由上图能够看出GRE over IPSec使用隧道模式时多封装了一次IP的头部,增加了20字节的报文载荷,所以使用GRE over IPSec时,IPSec建议使用传输模式。

 

2.2 IPSec over GRE

IPSec over GRE是将IPSec数据报文封装在GRE的报文进行传输的,如果使用动态路由协议,路由更新报文是明文传输且不安全的,而且因为IPSec VPN通过GRE虚拟隧道传输,所以无论设置隧道模式还是传输模式均协商为隧道模式,与GRE造成了重复封装,减小了数据报文的数据载荷容量,所以现实情况中很少有使用到IPSec over GRE。

流量传输如下图:

IPSecVPN中如何传输动态路由协议?理论知识分析实现原理

IPsec over gre 流量传输模型

数据报文封装如下图:

IPSecVPN中如何传输动态路由协议?理论知识分析实现原理

IPSec over gre封装格式

2.3 SVTI

SVTI,静态虚拟隧道接口,该功能可以为IPSec VPN创建一个虚拟的隧道接口,此虚拟接口上不使用GRE技术,所以可以比GRE over IPSec方式减少4个字节的GRE报文头部,降低了发送加密数据的带宽。由于有了虚拟接口,所以可以直接在虚拟接口上启用动态路由协议了。

下图为SVTI流量传输图:

IPSecVPN中如何传输动态路由协议?理论知识分析实现原理

SVTI流量传输模型

SVTI可以不用设置IPSec VPN的感兴趣数据流,只要将需要安全加密传输的流量通过路由协议导向到IPSec虚拟隧道接口即可实现数据的安全隧道传输。

SVTI由于没有使用GRE技术,所以数据报文封装与传统IPSec VPN相同。

 

以上内容均为本人对所掌握知识的总结归纳所创作的原创文章,希望能给大家的学习过程带来帮助,如有技术理解错误希望能够得到大家的及时指正,大家共同学习,共同进步。

欢迎关注我的头条号,私信交流,学习更多网络技术



Tags:IPSec VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Tags: IPSec VPN  点击:(38)  评论:(0)  加入收藏
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Tags: IPSec VPN  点击:(504)  评论:(0)  加入收藏
IPSec VPN高可用性解决方案需要用到DPD、RRI、路由、SLA等技术组合使用才能做到简单的高可用性,缺点是使用场景单一且配置繁琐。由于IPSec VPN的局限性,思科基于IPSec VPN和动...【详细内容】
2020-11-12  Tags: IPSec VPN  点击:(854)  评论:(0)  加入收藏
1、 为什么要用到GRE over IPSec、IPSec over GRE或SVTI为什么要使用GRE over IPSec、IPSec over GRE或SVTI,其中最主要的原因是IPSec不支持组播传输,无法实现动态路由之间的...【详细内容】
2020-11-10  Tags: IPSec VPN  点击:(406)  评论:(0)  加入收藏
一、基本原理介绍: IPSec VPN是目前VPN技术中点击率较高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 一.IPSec VPN应用场景 1.IPSec V...【详细内容】
2020-05-15  Tags: IPSec VPN  点击:(106)  评论:(0)  加入收藏
拓扑: 需求,Beijing作为总部,需要与Company进行连接,同时SH部分采用双线介入ISP保证网络高可用性,现需求,在SH1down的情况下,SH2接替SH1的工作保证VPN连接的持续有效性. Be...【详细内容】
2020-05-12  Tags: IPSec VPN  点击:(151)  评论:(0)  加入收藏
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。IPSec VPN应用场景 IPSec VPN的应用场景分为3种:1....【详细内容】
2020-03-19  Tags: IPSec VPN  点击:(386)  评论:(0)  加入收藏
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,今天就来介绍一下IPSec VPN的原理。IPSec VPN的应用场景 Site-to-Site(站点到站点或者网关...【详细内容】
2020-03-10  Tags: IPSec VPN  点击:(1181)  评论:(0)  加入收藏
我们知道VPN相当于是基于Internet上建立了一个虚拟的专用通道,和物理专线还是不一样,数据其实还是通过Internet在传输的,那这样还是不能够保证这些私有的数据传输安全,所以VPN是...【详细内容】
2019-10-17  Tags: IPSec VPN  点击:(139)  评论:(0)  加入收藏
IPSec VPNIPSec是为实现VPN功能而使用的协议。IPSec给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全...【详细内容】
2019-07-29  Tags: IPSec VPN  点击:(930)  评论:(0)  加入收藏
▌简易百科推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  K佬食古    Tags:shell   点击:(1)  评论:(0)  加入收藏
步骤1、配置 /etc/sysconfig/network-scripts/ifcfg-eth0 里的文件。it动力的CentOS下的ifcfg-eth0的配置详情:[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifc...【详细内容】
2021-12-24  忆梦如风    Tags:网卡   点击:(9)  评论:(0)  加入收藏
1、查找当前目录下所有以.tar结尾的文件然后移动到指定目录find . -name “*.tar” -execmv {}./backup/ ;注解:find –name 主要用于查找某个文件名字,-exec 、xargs可...【详细内容】
2021-12-17  郭主任    Tags:运维   点击:(18)  评论:(0)  加入收藏
对于经常上网的朋友来说,除了手机购物上网,pc端玩网页游戏还是很多小伙伴首选的,但是有时候明明宽带链接上了,打开浏览器却出现上不了网的现象,下面小编要来跟大家说说电脑有网络...【详细内容】
2021-12-16  小白系统    Tags:网页无法打开   点击:(28)  评论:(0)  加入收藏
在访问像github、gitlab这样的外国网站时,很有可能会出现页面加载不出来或找不到页面的错误。这时候有的朋友就会以为是网络的问题,于是把Wifi断掉连上自己手机的热点,结果却还...【详细内容】
2021-12-15  启施技术IT狼叔    Tags:外网   点击:(14)  评论:(0)  加入收藏
网络地址来源:获取公网IP地址 https://ipip.yy.com/get_ip_info.phphttp://pv.sohu.com/cityjson?ie=utf-8http://www.ip168.com/json.do?view=myipaddress...【详细内容】
2021-12-15  韦廷华12    Tags:外网ip   点击:(14)  评论:(0)  加入收藏
准备好软件IPOP、用ENSP模拟一下华为交换机 启动交换机 <Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname FTPClient[FTPClient]interface vla...【详细内容】
2021-12-15  思源Edward    Tags:交换机   点击:(22)  评论:(0)  加入收藏
我们经常用到netstat命令查看主机连接状况,包括连接ip、端口、状态等,今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里,格式如下:Pro...【详细内容】
2021-12-14  K佬食古    Tags:netstat   点击:(19)  评论:(0)  加入收藏
什么是滑动窗口?窗口是操作系统开辟的一块缓存空间,发送方在收到接收方ACK应答之前,必须在缓冲区保留已发送的数据,如果按期收到确认应答,数据就可以从缓冲区移除。什么是滑动窗...【详细内容】
2021-12-14  DifferentJava    Tags:TCP   点击:(28)  评论:(0)  加入收藏
概述日常管理华为路由设备过程中,难为会忘记设备登录密码,那么该如何重置设备登录密码吗?本期文章将全面向各位小伙伴总结分享。重置华为设备登录密码思路先行 采用console登录...【详细内容】
2021-12-10  onme0    Tags:   点击:(27)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条