组密钥更新周期密钥更新周期( 三 ) _生活百科

IPSec封装模式：传输模式，适用于同一个园区网内的两台主机之间的安全连接

文章插图
1、在IP报头和上层协议之间插入AH或ESP报头；对上层协议数据提供保护。
--在IP头部之后插入AH头，会对整个IP数据包进行完整性校验。
--在IP头部之后插入ESP头，在数据字段后插入尾部以及认证字段；只对IP数据包中的ESP报头，上层数据和ESP尾部进行完整性校验。
2、传输模式中的AH+ESP：在IP头部之后插入AH和ESP头，在数据字段后插入尾部以及认证字段（可选的）；对高层数据和ESP尾部进行加密，对整个IP数据包进行完整性校验。
3、在GRE over IPSec环境中必须使用传输模式，数据封装格式为：
Ethernet2|IPV4（新）|ESP|GRE|IPv4|TCP|HTTP|FCS
IPSec封装模式：隧道模式，适用于跨园区网的两台边界路由器间建立安全连接

文章插图
1、AH或ESP头封装在原始IP报文头之前，并另外生成一个新的IP报头封装到AH或ESP之前；隧道模式可以完全地对原始IP数据报进行认证和加密，而且可以使用新的IP报头来隐藏内网主机的私有IP地址。
--在IP头部之后插入AH头，会对整个IP数据包进行完整性校验。
--在IP头部之后插入ESP头，在数据字段后插入尾部以及认证字段（可选的）；只对IP数据包中的ESP报头，上层数据和ESP尾部进行完整性校验。
2、隧道模式中的AH+ESP：对整个原始IP报文和ESP尾部进行加密，对除新IP头之外的整个IP数据包进行完整性校验。
注：ESP散列封装的是数据载荷，对新封装的IP报头不会保护，这种在NAT环境中不会影响正常使用，但是在PAT环境中因为四层接口被保护，就无法实现PAT端口转换；为了支持PAT，需要开启NAT穿越功能（IPSec NAT-T），在IPSec封装报文中添加UDP字段，默认端口号为4500，PAT路由器通过记录端口号来放行对应流量；封装格式：Ethernet2|IPV4（新）|UDP|ESP|GRE|IPv4|TCP|HTTP|FCS
通过ESP和AH做散列计算时是不包含三层报头中TTL和校验和字段；AH散列保护的是整个数据包，所以是不支持NAT和PAT 。
推荐书籍：思科VPN完全配置手册
普通的IPsec-VPN主要适用于不同厂家VPN之间的对接，兼容性非常好，思科路由器和ASA可以和大部分非思科厂家的VPN设备进行IPsec-VPN对接。然而这种普通的IPsec-VPN并不适用于复杂的 *** 环境，主要存在如下问题：
1、由于没有虚拟隧道接口，不支持通过运行动态路由协议来实现路由互通；
2、由于没有虚拟隧道tunnel接口，不能对通信点之间的明文流量进行控制和监测（如ACL、QOS、NAT、Netflow等）；
3、配置复杂，每增加一个站点或网段，都要增加许多感兴趣流，排错复杂。
为了解决IPsec-VPN存在的问题，思科提供的解决方案是GRE over IPsec
?GRE Over IPsec 技术；通过GRE来建立虚拟隧道（tunnel口），运行动态路由协议来学习路由；通过在tunnel接口上配置ACL、QOS等技术来控制数据流，通过IPsec技术将GRE隧道中的数据进行保护。

文章插图
首先在两个站点之间，使用GRE在两台路由器之间建立了一条隧道（tunnel口），GRE隧道的作用就是虚拟地把两个站点连接在一起，就像是拉了一根专线一样把站点A和站点B连接起来，中间没有其他设备；这样就可以在这根"线"两端的两个接口上配置IP地址，并且运行动态路由选择协议，使得两台路由器分别学习到对方身后 *** 的路由；然后在tunnel接口进行数据控制和采集，由于站点A和B分别使用的是两个站点的公网IP地址，即不管GRE封装之前的原始数据如何，封装之后的源IP都是A，目标IP都是B，也就是我们只需要将A到B和B到A的流量分别在A和B上配置为兴趣流量即可，这样就可以把所有的GRE流量都进行了加密；通过GRE over IPSec，即解决了安全问题，也解决了普通IPSEC VPN感兴趣流过多，配置复杂的问题。
【组密钥更新周期密钥更新周期】注：GRE over IPSEC，加密点等于通信点，是一个典型的传输模式的IPsec-VPN，因此GRE over IPSEC推荐使用传输模式；如果使用隧道模式，就会增加一个20字节的IP头部，因此，GRE技术经过IPSEC加密使用传输模式更加优化。