A Mikrotik, el mode túnel i el mode transport són dos modes de funcionament diferents per a les connexions VPN IPsec.
Al final de l'article trobareu un petit prova que et permetrà avaluar els coneixements adquirits en aquesta lectura
Mode túnel
Al mode túnel, tot el trànsit que passa per la interfície VPN s'encapsula en un paquet IPsec. Això significa que el trànsit es xifra i es desxifra als dos extrems de la connexió VPN.
El mode túnel és la configuració més segura per a les connexions VPN, ja que protegeix tot el trànsit, independentment del protocol o aplicació. Tanmateix, també és la configuració més exigent en termes de recursos, ja que requereix que tots els paquets s'encapsulin i desencapsulin. En aquest mode El paquet IP complet es xifra i es converteix en el component de dades dun paquet IP nou (i més gran).
Utilitzat amb freqüència en una VPN de lloc a lloc de Ipsec
En el mode transport, només les dades que es transmeten entre dos hosts específics s'encapsulen en un paquet IPsec. Això significa que el trànsit que no s'adreça als hosts específics no es xifra ni desxifra.
El mode transport és menys segur que el mode túnel, ja que no protegeix tot el trànsit. No obstant això, també és menys exigent en termes de recursos, ja que només requereix que els paquets s'encapsulin i desencapsulin quan es transmeten entre els hosts específics.
Característiques del Mode Transport
- La capçalera IPsec s'insereix al paquet IP
- No es crea cap paquet nou
- Funciona bé a les xarxes on augmentar la mida d'un paquet podria causar un problema
Utilitzat sovint per a les VPN d'accés remot
Diferències clau
La taula següent resumeix les diferències clau entre el mode túnel i el mode transport:
característica | Mode túnel | Modo de transport |
Seguretat | Alta | Baixa |
Exigència de recursos | Alta | Baixa |
encapsulació | Tot el trànsit | Només el trànsit entre els hosts específics |
Elecció del mode correcte
L'elecció del mode correcte per a una connexió IPSec VPN depèn de les necessitats de seguretat i rendiment de l'aplicació.
Si la seguretat és la prioritat principal, el mode túnel és la millor opció. Si el rendiment és la prioritat principal, el mode de transport és una bona opció.
En general, el mode túnel és la millor opció per a les connexions VPN que requereixen un alt nivell de seguretat, com ara les connexions que s'utilitzen per accedir a dades confidencials. El mode transport és una bona opció per a les connexions VPN que requereixen un bon rendiment, com ara les connexions que s'utilitzen per transmetre dades d'alta velocitat.
Tipus de túnels que treballen amb IPSec
Tipus de túnel | Descripció |
Túnel IPsec de lloc a lloc | Connecteu dues xarxes separades a través d'Internet de manera segura. Permet la comunicació segura entre les subxarxes de les dues ubicacions. |
IPSec d'accés remot VPN | Permet als usuaris remots connectar-se de manera segura a la xarxa de l'oficina des d'ubicacions externes. Utilitza IPsec per assegurar la connexió i pot ser implementat amb diferents protocols de VPN com ara L2TP/IPsec o IKEv2/IPsec. |
Túnel L2TP/IPsec | Combina el protocol L2TP (Layer 2 Tunneling Protocol) amb IPsec per crear un túnel segur. Sovint es fa servir per a connexions d'accés remot. |
Túnel IKEv2/IPsec | Utilitza el protocol IKEv2 (Internet Key Exchange version 2) per establir la seguretat i intercanvi de claus, combinat amb IPsec per a la protecció de dades. Ofereix una configuració més eficient i robusta en comparació amb IKEv1. |
Túnel EoIP/IPsec | Permet crear un túnel Ethernet sobre IP (EoIP) i després s'assegura mitjançant IPsec per proporcionar seguretat. Útil per estendre una xarxa Ethernet a través de la Internet de manera segura. |
IPIP | Permet crear un IPIP i després s'assegura mitjançant IPsec per proporcionar seguretat. |
Característiques comunes
Tots els túnels IPsec a MikroTik utilitzen els elements següents:
- Interfície IPsec: Una interfície virtual que s'utilitza per encapsular el trànsit IPsec.
- Paràmetres de seguretat: Els paràmetres de seguretat, com ara l'algorisme de xifratge i la clau, s'utilitzen per protegir les dades que es transmeten a través del túnel.
- Regles de tallafocs: Les regles de tallafocs permeten que el trànsit IPsec es transmeti a través del túnel.
Elecció del tipus de túnel
El tipus de túnel IPsec que cal triar depèn de les necessitats específiques de l'aplicació.
- Site-to-Site IPsec Tunnel: Aquest tipus de túnel és adequat per connectar dues xarxes separades a través d'Internet.
- Remote Access IPsec VPN: Aquest tipus de túnel és adequat per permetre als usuaris remots connectar-se de manera segura a la xarxa de l'oficina des d'ubicacions externes.
- L2TP/IPsec Tunnel: Aquest tipus de túnel és adequat per a connexions d'accés remot que requereixen la compatibilitat amb el protocol L2TP.
- IKEv2/IPsec Tunnel: Aquest tipus de túnel és adequat per a connexions d'accés remot que requereixen una configuració més eficient i robusta.
- EoIP/IPsec Tunnel: Aquest tipus de túnel és adequat per estendre una xarxa Ethernet a través de la Internet de manera segura.
- IPIP: Aquest tipus de túnel és adequat per proporcionar seguretat a un túnel IPIP existent.
Breu qüestionari de coneixements
Què et va semblar aquest article?
T'atreveixes a avaluar els teus coneixements apresos?
Llibre recomanat per a aquest article
Llibre Seguretat Avançada RouterOS v7
Material d'estudi per al Curs de Certificació MTCSE, actualitzat a RouterOS v7