根據許多文檔,傳輸模式應用於主機到主機的 IPSec,而隧道用於連接網關,L2TP 用於遠端存取。
但沒有什麼可以阻止我在網關到網關中使用傳輸模式,對吧?一個網關可以讀取 ESP(或 AH),將其刪除,並將裸 IP 封包路由到其網路。
我也可以在我的電腦和資料庫伺服器之間使用隧道模式。將每個資料包包裝在單獨的 UDP 中可能是多餘的,但可以使用。
如果我是我的 PC 上的唯一用戶,我可以使用裸 IPSec(不使用 L2TP)進行遠端存取。我不會透過 IPCP 進行記帳、網路配置和其他 PPP 內容,但這並不總是必要的。
畢竟,L2TP 可用於連接 2 個網關;)
所以,我的問題是為什麼所有這些方法都存在並且彼此重複?如果 IPSec 傳輸幾乎總是可以變更為隧道傳輸,為什麼 IPSec 傳輸仍然存在,反之亦然?您能否舉例說明其中一種方法是「唯一正確使用的方法」的情況?
答案1
如果 IPSec 傳輸幾乎總是可以變更為隧道傳輸,為什麼 IPSec 傳輸仍然存在,反之亦然?
我沒有看到現在的網路設備用戶普遍使用傳輸模式 IPSec。我認為它從未建立足夠的動力來普遍部署。軟體和網路供應商有動機向有遠端存取需求的企業客戶出售隧道模式實現(加上廣泛的後端),但沒有向任何人推銷傳輸模式。這些功能可能已經存在,但易用性仍有許多不足之處。
那麼它確實存在,但它仍然相關嗎?過去,大量用戶無法使用傳輸模式。一個例外是自由軟體人士。
上面的連結描述了在各地使用 IPSec 的歷史努力,以及這些努力是如何受到阻礙的。原因可以概括為互聯網基礎設施(即 DNS)的不安全性,以及相關人員對改變它的相對自滿。
為什麼所有這些方法都存在並且相互重複?
所有這些方法的存在主要是由於在大約同一時間段內對安全遠端存取需求的變更進行了獨立識別和解決。您的問題的一個稍微改進的版本可能是“為什麼所有這些方法仍在使用?”
您已經回答了您自己關於為什麼仍在使用 L2TP 的問題:計費和配置。 (看看為什麼其他協定(例如 PPTP)不再使用可能會更有趣。)在許多情況下,即使您不關心記帳和配置,
在其他情況下,答案並不那麼明確。以網關到網關的情況為例。您可以使用純隧道模式 IPSec,或使用基於 IPSec 的 GRE 隧道(事實上,我相信它們是基於傳輸模式 IPSec)。我不知道除了熟悉之外還有什麼優點。就我個人而言,我從未在 Cisco 路由器上設定過隧道模式 IPSec。我一直在做加密 GRE。為什麼?因為我所知道的關於普通 GRE 的一切都適用於加密 GRE。所以我很熟悉。
不要忘記應用程式等級 VPN/隧道,例如 OpenVPN 或 Secure Shell。這些通常比核心或設備級實現的性能較差。但它們通常更容易使用,並且具有更容易通過代理和防火牆的優勢(至少在深度內容檢查出現之前)。而且,它們通常具有較少的依賴性;在舊的 Linux 伺服器上編譯 OpenVPN 比重新編譯核心以支援 IPSec 容易得多。
您能否舉例說明其中一種方法是「唯一正確使用的方法」的情況?
在網路領域(就像在計算領域一樣),你永遠不會看到「唯一正確的使用方式」。在大多數情況下,你會被困在可行的事情上。例如,所有 Android 裝置都可使用基於 L2TP 的 VPN。因此,即使您不需要配置或記帳,這也是可行的。我對 Cisco 設備上的 GRE 隧道的熟悉程度使我比純隧道模式 IPSec 更容易實施。我可以在我無法升級(由於某種原因)的古老 Linux 伺服器上建立 OpenVPN 或基於 SSH 的隧道。
答案2
- IPsec 隧道與傳輸模式
- 隧道模式有更多的開銷
- 傳輸模式僅在主機之間工作,因為包裝不包含一組額外的 IP 位址
- 開銷是個問題嗎?
- 想像一下,主機在進行任何通訊之前在彼此之間建立 IPsec 關聯 ** IPsec 將無所不在 ** 在隧道模式下,每個資料包中的 IP 位址將是兩次 → 資源浪費