By Mikrotik, die tonnelmodus en vervoermodus Dit is twee verskillende werkswyses vir IPsec VPN-verbindings.
Aan die einde van die artikel vind u 'n klein toets dit sal jou toelaat evalueer die kennis wat in hierdie leeswerk opgedoen is
tonnelmodus
In tonnelmodus word alle verkeer wat deur die VPN-koppelvlak gaan, in 'n IPsec-pakkie ingekapsuleer. Dit beteken dat verkeer aan beide kante van die VPN-verbinding geïnkripteer en gedekripteer word.
Tonnelmodus is die veiligste konfigurasie vir VPN-verbindings, aangesien dit alle verkeer beskerm, ongeag die protokol of toepassing daarvan. Dit is egter ook die konfigurasie wat die meeste hulpbron vereis, aangesien dit vereis dat alle pakkies ingekapsuleer en gedekapsuleer moet word. In hierdie modus word die hele IP-pakkie geïnkripteer en word dit die datakomponent van 'n nuwe (en groter) IP-pakkie.
Dikwels gebruik in 'n Ipsec werf-tot-werf VPN
In vervoermodus word slegs data wat tussen twee spesifieke gashere versend word, in 'n IPsec-pakkie ingekapsuleer. Dit beteken dat verkeer wat nie na spesifieke gashere gerig is nie, nie geïnkripteer of gedekripteer word nie.
Vervoermodus is minder veilig as tonnelmodus, aangesien dit nie alle verkeer beskerm nie. Dit is egter ook minder veeleisend in terme van hulpbronne, aangesien dit slegs vereis dat pakkies ingekapsuleer en ontkapsel word wanneer dit tussen spesifieke gashere versend word.
Vervoermoduskenmerke
- IPsec-kopskrif word in die IP-pakkie ingevoeg
- Geen nuwe pakket word geskep nie
- Werk goed op netwerke waar die verhoging van die grootte van 'n pakkie 'n probleem kan veroorsaak
Dikwels gebruik vir VPN's vir afstandtoegang
Sleutel verskille
Die volgende tabel som die belangrikste verskille tussen tonnelmodus en vervoermodus op:
Característica | tonnelmodus | Vervoermodus |
sekuriteit | High | Baja |
Hulpbronvereiste | High | Baja |
Inkapseling | Alle verkeer | Slegs verkeer tussen spesifieke gashere |
Kies die regte modus
Die keuse van die korrekte modus vir 'n IPsec VPN-verbinding hang af van die sekuriteit- en werkverrigtingbehoeftes van die toepassing.
As sekuriteit die hoogste prioriteit is, is tonnelmodus die beste opsie. As prestasie die hoofprioriteit is, is vervoermodus 'n goeie opsie.
Oor die algemeen is tonnelmodus die beste keuse vir VPN-verbindings wat 'n hoë vlak van sekuriteit vereis, soos verbindings wat gebruik word om toegang tot sensitiewe data te verkry. Vervoermodus is 'n goeie keuse vir VPN-verbindings wat goeie werkverrigting vereis, soos verbindings wat gebruik word om hoëspoeddata oor te dra.
Soorte tonnels wat met IPSec werk
Tonnel tipe | beskrywing |
Werf-tot-werf IPsec-tonnel | Koppel twee afsonderlike netwerke veilig oor die internet. Laat veilige kommunikasie tussen die subnette van die twee liggings toe. |
Afstandtoegang IPsec VPN | Laat afgeleë gebruikers toe om veilig vanaf eksterne liggings aan die kantoornetwerk te koppel. Dit gebruik IPsec om die verbinding te beveilig en kan geïmplementeer word met verskillende VPN-protokolle soos L2TP/IPsec of IKEv2/IPsec. |
L2TP/IPsec tonnel | Kombineer L2TP (Layer 2 Tunneling Protocol) met IPsec om 'n veilige tonnel te skep. Dikwels gebruik vir afstandtoegangsverbindings. |
IKEv2/IPsec tonnel | Dit gebruik die IKEv2 (Internet Key Exchange weergawe 2) protokol vir sekuriteit en sleuteluitruiling, gekombineer met IPsec vir databeskerming. Dit bied 'n meer doeltreffende en robuuste konfigurasie in vergelyking met IKEv1. |
EoIP/IPsec tonnel | Dit laat die skep van 'n Ethernet oor IP (EoIP) tonnel toe en word dan beveilig met IPsec om sekuriteit te verskaf. Nuttig om 'n Ethernet-netwerk veilig oor die internet uit te brei. |
IPIP | Dit laat die skepping van 'n IPIP toe en word dan beveilig met IPsec om sekuriteit te verskaf. |
Algemene kenmerke
Alle IPsec-tonnels in MikroTik gebruik die volgende elemente:
- IPsec-koppelvlak: 'n Virtuele koppelvlak wat gebruik word om IPsec-verkeer in te kap.
- Sekuriteitsparameters: Sekuriteitsparameters, soos enkripsiealgoritme en sleutel, word gebruik om data wat deur die tonnel versend word, te beskerm.
- Firewall-reëls: Firewall-reëls laat toe dat IPsec-verkeer deur die tonnel versend word.
Keuse van tonnel tipe
Die tipe IPsec-tonnel om te kies hang af van die spesifieke behoeftes van die toepassing.
- Werf-tot-werf IPsec-tonnel: Hierdie tipe tonnel is geskik om twee afsonderlike netwerke oor die internet te koppel.
- Afstandtoegang IPsec Skynprivaatnetwerk: Hierdie tipe tonnel is geskik om afgeleë gebruikers toe te laat om veilig vanaf eksterne liggings aan die kantoornetwerk te koppel.
- L2TP/IPsec-tonnel: Hierdie tipe tonnel is geskik vir afstandtoegangverbindings wat ondersteuning vir die L2TP-protokol benodig.
- IKEv2/IPsec-tonnel: Hierdie tipe tonnel is geskik vir afstandtoegangsverbindings wat 'n meer doeltreffende en robuuste konfigurasie vereis.
- EoIP/IPsec-tonnel: Hierdie tipe tonnel is geskik om 'n Ethernet-netwerk veilig oor die internet uit te brei.
- IPIP: Hierdie tipe tonnel is geskik om sekuriteit aan 'n bestaande IPIP-tonnel te verskaf.
Kort kennisvasvra
Wat dink jy van hierdie artikel?
Durf jy jou aangeleerde kennis evalueer?
Aanbevole boek vir hierdie artikel
RouterOS v7 Advanced Security Book
Studiemateriaal vir die MTCSE-sertifiseringskursus, opgedateer na RouterOS v7
Verwante poste
- ICMP-filter in 'n MikroTik Firewall
- Tussen statig en staatloos: Bemeester die MikroTik Firewall
- Hoe om HTTPS-werwe effektief te blokkeer met MikroTik TLS Host
- MikroTik en draadlose verifikasie: Verstaan 'Laat gedeelde sleutel toe'
- HSRP, VRRP, GLBP: Verstaan sleutelprotokolle vir netwerkoortolligheid