W Mikrotiku, tryb tunelowy i tryb transportu Są to dwa różne tryby działania połączeń VPN IPsec.
Na końcu artykułu znajdziesz mały test to ci pozwoli oceniać wiedzę zdobytą w tej lekturze
tryb tunelowy
W trybie tunelowym cały ruch przechodzący przez interfejs VPN jest hermetyzowany w pakiecie IPsec. Oznacza to, że ruch jest szyfrowany i deszyfrowany na obu końcach połączenia VPN.
Tryb tunelowy to najbezpieczniejsza konfiguracja połączeń VPN, ponieważ chroni cały ruch, niezależnie od protokołu i aplikacji. Jest to jednak również konfiguracja najbardziej wymagająca zasobów, ponieważ wymaga enkapsulacji i dekapsulacji wszystkich pakietów. W tym trybie cały pakiet IP jest szyfrowany i staje się składnikiem danych nowego (i większego) pakietu IP.
Często używany w sieci VPN typu site-to-site Ipsec
W trybie transportu tylko dane przesyłane między dwoma określonymi hostami są hermetyzowane w pakiecie IPsec. Oznacza to, że ruch, który nie jest kierowany do konkretnych hostów, nie jest szyfrowany ani deszyfrowany.
Tryb transportowy jest mniej bezpieczny niż tryb tunelowy, ponieważ nie chroni całego ruchu. Jest jednak również mniej wymagający pod względem zasobów, ponieważ wymaga jedynie enkapsulacji i dekapsulacji pakietów podczas przesyłania między określonymi hostami.
Funkcje trybu transportu
- Nagłówek IPsec jest wstawiany do pakietu IP
- Nie jest tworzony żaden nowy pakiet
- Działa dobrze w sieciach, w których zwiększenie rozmiaru pakietu może powodować problemy
Często używany w sieciach VPN o zdalnym dostępie
Kluczowe różnice
W poniższej tabeli podsumowano kluczowe różnice między trybem tunelowym a środkiem transportu:
Característica | tryb tunelowy | Sposób transportu |
Bezpieczeństwo | Alta | Baja |
Zapotrzebowanie na zasoby | Alta | Baja |
Kapsułkowanie | Cały ruch | Tylko ruch pomiędzy określonymi hostami |
Wybór odpowiedniego trybu
Wybór prawidłowego trybu połączenia IPsec VPN zależy od potrzeb aplikacji w zakresie bezpieczeństwa i wydajności.
Jeśli bezpieczeństwo jest najwyższym priorytetem, najlepszym rozwiązaniem będzie tryb tunelowy. Jeśli wydajność jest głównym priorytetem, dobrym rozwiązaniem będzie środek transportu.
Ogólnie rzecz biorąc, tryb tunelowy jest najlepszym wyborem w przypadku połączeń VPN wymagających wysokiego poziomu bezpieczeństwa, takich jak połączenia używane w celu uzyskania dostępu do wrażliwych danych. Tryb transportowy to dobry wybór w przypadku połączeń VPN wymagających dobrej wydajności, takich jak połączenia używane do przesyłania danych z dużą szybkością.
Rodzaje tuneli współpracujących z protokołem IPSec
Typ tunelu | opis |
Tunel IPsec typu lokacja-lokacja | Bezpiecznie połącz dwie oddzielne sieci przez Internet. Umożliwia bezpieczną komunikację pomiędzy podsieciami obu lokalizacji. |
Zdalny dostęp IPsec VPN | Umożliwia zdalnym użytkownikom bezpieczne łączenie się z siecią biurową z lokalizacji zewnętrznych. Wykorzystuje protokół IPsec do zabezpieczenia połączenia i może być implementowany z różnymi protokołami VPN, takimi jak L2TP/IPsec lub IKEv2/IPsec. |
Tunel L2TP/IPsec | Łączy L2TP (protokół tunelowania warstwy 2) z IPsec, aby utworzyć bezpieczny tunel. Często używany do połączeń dostępu zdalnego. |
Tunel IKEv2/IPsec | Wykorzystuje protokół IKEv2 (Internet Key Exchange wersja 2) do bezpieczeństwa i wymiany kluczy, w połączeniu z IPsec do ochrony danych. Oferuje bardziej wydajną i niezawodną konfigurację w porównaniu do IKEv1. |
Tunel EoIP/IPsec | Umożliwia utworzenie tunelu Ethernet over IP (EoIP), a następnie jest zabezpieczany za pomocą protokołu IPsec w celu zapewnienia bezpieczeństwa. Przydatne do bezpiecznego rozszerzania sieci Ethernet przez Internet. |
IPIP | Umożliwia utworzenie adresu IPIP, a następnie jest zabezpieczany za pomocą protokołu IPsec w celu zapewnienia bezpieczeństwa. |
Wspólne cechy
Wszystkie tunele IPsec w MikroTiku wykorzystują następujące elementy:
- Interfejs IPsec: interfejs wirtualny używany do enkapsulacji ruchu IPsec.
- Parametry bezpieczeństwa: Parametry bezpieczeństwa, takie jak algorytm i klucz szyfrowania, służą do ochrony danych przesyłanych przez tunel.
- Reguły zapory: Reguły zapory umożliwiają przesyłanie ruchu IPsec przez tunel.
Wybór typu tunelu
Wybór rodzaju tunelu IPsec zależy od konkretnych potrzeb aplikacji.
- Tunel IPsec typu lokacja-lokacja: ten typ tunelu nadaje się do łączenia dwóch oddzielnych sieci przez Internet.
- Dostęp zdalny IPsec VPN: Ten typ tunelu umożliwia zdalnym użytkownikom bezpieczne łączenie się z siecią biurową z lokalizacji zewnętrznych.
- Tunel L2TP/IPsec: Ten typ tunelu jest odpowiedni dla połączeń dostępu zdalnego, które wymagają obsługi protokołu L2TP.
- Tunel IKEv2/IPsec: ten typ tunelu nadaje się do połączeń dostępu zdalnego, które wymagają bardziej wydajnej i niezawodnej konfiguracji.
- Tunel EoIP/IPsec: Ten typ tunelu nadaje się do bezpiecznego rozszerzania sieci Ethernet przez Internet.
- IPIP: Ten typ tunelu nadaje się do zapewnienia bezpieczeństwa istniejącego tunelu IPIP.
Krótki quiz wiedzy
Co sądzisz o tym artykule?
Czy odważysz się ocenić zdobytą wiedzę?
Książka polecana do tego artykułu
Książka o zaawansowanych zabezpieczeniach RouterOS v7
Materiały do kursu certyfikacyjnego MTCSE, zaktualizowane do wersji RouterOS v7
Powiązane artykuły
- Filtr ICMP w zaporze MikroTik
- Między stanem a bezstanem: opanowanie zapory sieciowej MikroTik
- Jak skutecznie blokować witryny HTTPS za pomocą hosta MikroTik TLS
- MikroTik i uwierzytelnianie bezprzewodowe: zrozumienie opcji „Zezwalaj na klucz współdzielony”
- HSRP, VRRP, GLBP: Zrozumienie kluczowych protokołów zapewniających redundancję sieci