ที่ไมโครติก โหมดอุโมงค์ และ y โหมดการขนส่ง เป็นโหมดการทำงานที่แตกต่างกันสองโหมดสำหรับการเชื่อมต่อ IPsec VPN
ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้
โหมดอุโมงค์
ในโหมดทันเนล การรับส่งข้อมูลทั้งหมดที่ผ่านอินเทอร์เฟซ VPN จะถูกห่อหุ้มไว้ในแพ็กเก็ต IPsec ซึ่งหมายความว่าการรับส่งข้อมูลจะถูกเข้ารหัสและถอดรหัสที่ปลายทั้งสองด้านของการเชื่อมต่อ VPN
โหมดทันเนลคือการกำหนดค่าที่ปลอดภัยที่สุดสำหรับการเชื่อมต่อ VPN เนื่องจากจะปกป้องการรับส่งข้อมูลทั้งหมด โดยไม่คำนึงถึงโปรโตคอลหรือแอปพลิเคชัน อย่างไรก็ตาม ยังเป็นการกำหนดค่าที่ต้องการทรัพยากรมากที่สุด เนื่องจากต้องการให้แพ็กเก็ตทั้งหมดถูกห่อหุ้มและแยกส่วน ในโหมดนี้ แพ็กเก็ต IP ทั้งหมดจะถูกเข้ารหัสและกลายเป็นส่วนประกอบข้อมูลของแพ็กเก็ต IP ใหม่ (และใหญ่กว่า)
ใช้บ่อยใน Ipsec site-to-site VPN
ในโหมดการขนส่ง เฉพาะข้อมูลที่ส่งระหว่างโฮสต์เฉพาะสองโฮสต์เท่านั้นที่ถูกห่อหุ้มไว้ในแพ็กเก็ต IPsec ซึ่งหมายความว่าการรับส่งข้อมูลที่ไม่ได้ถูกส่งไปยังโฮสต์ใดโฮสต์หนึ่งจะไม่ได้รับการเข้ารหัสหรือถอดรหัส
โหมดการขนส่งมีความปลอดภัยน้อยกว่าโหมดทันเนล เนื่องจากไม่ได้ป้องกันการรับส่งข้อมูลทั้งหมด อย่างไรก็ตาม ยังมีความต้องการน้อยกว่าในแง่ของทรัพยากร เนื่องจากเพียงต้องการเพียงแพ็กเก็ตที่ถูกห่อหุ้มและ deencapsulated เมื่อส่งระหว่างโฮสต์ที่ระบุเท่านั้น
คุณสมบัติโหมดการขนส่ง
- ส่วนหัว IPsec ถูกแทรกลงในแพ็กเก็ต IP
- ไม่มีการสร้างแพ็คเกจใหม่
- ทำงานได้ดีบนเครือข่ายที่การเพิ่มขนาดของแพ็คเก็ตอาจทำให้เกิดปัญหาได้
ใช้บ่อยสำหรับ VPN การเข้าถึงระยะไกล
ความแตกต่างที่สำคัญ
ตารางต่อไปนี้สรุปความแตกต่างที่สำคัญระหว่างโหมดทันเนลและโหมดการขนส่ง:
Característica | โหมดอุโมงค์ | โหมดการขนส่ง |
ความปลอดภัย | อัลตา | หล่น |
ความต้องการทรัพยากร | อัลตา | หล่น |
การห่อหุ้ม | การจราจรทั้งหมด | รับส่งข้อมูลระหว่างโฮสต์ที่ระบุเท่านั้น |
การเลือกโหมดที่ถูกต้อง
การเลือกโหมดที่ถูกต้องสำหรับการเชื่อมต่อ IPsec VPN ขึ้นอยู่กับความต้องการด้านความปลอดภัยและประสิทธิภาพของแอปพลิเคชัน
หากความปลอดภัยเป็นสิ่งสำคัญที่สุด โหมดทันเนลคือตัวเลือกที่ดีที่สุด หากประสิทธิภาพเป็นสิ่งสำคัญอันดับแรก โหมดการขนส่งก็เป็นตัวเลือกที่ดี
โดยทั่วไป โหมดทันเนลเป็นตัวเลือกที่ดีที่สุดสำหรับการเชื่อมต่อ VPN ที่ต้องการการรักษาความปลอดภัยระดับสูง เช่น การเชื่อมต่อที่ใช้ในการเข้าถึงข้อมูลที่ละเอียดอ่อน โหมดการขนส่งเป็นตัวเลือกที่ดีสำหรับการเชื่อมต่อ VPN ที่ต้องการประสิทธิภาพที่ดี เช่น การเชื่อมต่อที่ใช้ในการส่งข้อมูลความเร็วสูง
ประเภทของทันเนลที่ทำงานกับ IPSec
ประเภทอุโมงค์ | ลักษณะ |
อุโมงค์ IPsec แบบไซต์ต่อไซต์ | เชื่อมต่อเครือข่ายสองเครือข่ายแยกกันอย่างปลอดภัยผ่านอินเทอร์เน็ต อนุญาตการสื่อสารที่ปลอดภัยระหว่างซับเน็ตของทั้งสองตำแหน่ง |
การเข้าถึงระยะไกล IPsec VPN | อนุญาตให้ผู้ใช้ระยะไกลเชื่อมต่อกับเครือข่ายสำนักงานจากสถานที่ภายนอกได้อย่างปลอดภัย ใช้ IPsec เพื่อรักษาความปลอดภัยการเชื่อมต่อและสามารถใช้งานได้กับโปรโตคอล VPN ที่แตกต่างกัน เช่น L2TP/IPsec หรือ IKEv2/IPsec |
อุโมงค์ L2TP/IPsec | รวม L2TP (Layer 2 Tunneling Protocol) เข้ากับ IPsec เพื่อสร้างอุโมงค์ที่ปลอดภัย มักใช้สำหรับการเชื่อมต่อการเข้าถึงระยะไกล |
ช่องทาง IKEv2/IPsec | ใช้โปรโตคอล IKEv2 (Internet Key Exchange เวอร์ชัน 2) เพื่อความปลอดภัยและการแลกเปลี่ยนคีย์ รวมกับ IPsec สำหรับการปกป้องข้อมูล มีการกำหนดค่าที่มีประสิทธิภาพและแข็งแกร่งมากกว่าเมื่อเปรียบเทียบกับ IKEv1 |
ช่องทาง EoIP/IPsec | อนุญาตให้สร้างอุโมงค์ Ethernet over IP (EoIP) จากนั้นจึงรักษาความปลอดภัยโดยใช้ IPsec เพื่อมอบความปลอดภัย มีประโยชน์สำหรับการขยายเครือข่ายอีเธอร์เน็ตผ่านอินเทอร์เน็ตอย่างปลอดภัย |
ไอพีไอพี | อนุญาตให้สร้าง IPIP และได้รับความปลอดภัยโดยใช้ IPsec เพื่อให้การรักษาความปลอดภัย |
คุณสมบัติทั่วไป
IPsec tunnels ทั้งหมดใน MikroTik ใช้องค์ประกอบต่อไปนี้:
- อินเทอร์เฟซ IPsec: อินเทอร์เฟซเสมือนที่ใช้ในการห่อหุ้มการรับส่งข้อมูล IPsec
- พารามิเตอร์ความปลอดภัย: พารามิเตอร์ความปลอดภัย เช่น อัลกอริธึมการเข้ารหัสและคีย์ ถูกใช้เพื่อปกป้องข้อมูลที่ส่งผ่านอุโมงค์
- กฎไฟร์วอลล์: กฎไฟร์วอลล์อนุญาตให้การรับส่งข้อมูล IPsec สามารถส่งผ่านอุโมงค์ได้
ทางเลือกของประเภทอุโมงค์
ประเภทของอุโมงค์ IPsec ที่จะเลือกขึ้นอยู่กับความต้องการเฉพาะของแอปพลิเคชัน
- Site-to-Site IPsec Tunnel: อุโมงค์ประเภทนี้เหมาะสำหรับการเชื่อมต่อเครือข่ายสองเครือข่ายที่แยกจากกันผ่านทางอินเทอร์เน็ต
- การเข้าถึงระยะไกล IPsec VPN: ช่องทางประเภทนี้เหมาะสำหรับการอนุญาตให้ผู้ใช้ระยะไกลเชื่อมต่อกับเครือข่ายสำนักงานจากสถานที่ภายนอกได้อย่างปลอดภัย
- อุโมงค์ L2TP/IPsec: อุโมงค์ประเภทนี้เหมาะสำหรับการเชื่อมต่อการเข้าถึงระยะไกลที่ต้องการการสนับสนุนสำหรับโปรโตคอล L2TP
- IKEv2/IPsec Tunnel: อุโมงค์ประเภทนี้เหมาะสำหรับการเชื่อมต่อการเข้าถึงระยะไกลที่ต้องการการกำหนดค่าที่มีประสิทธิภาพและแข็งแกร่งยิ่งขึ้น
- อุโมงค์ EoIP/IPsec: อุโมงค์ประเภทนี้เหมาะสำหรับการขยายเครือข่ายอีเธอร์เน็ตผ่านอินเทอร์เน็ตอย่างปลอดภัย
- IPIP: อุโมงค์ประเภทนี้เหมาะสำหรับการรักษาความปลอดภัยให้กับอุโมงค์ IPIP ที่มีอยู่
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
หนังสือแนะนำสำหรับบทความนี้
หนังสือความปลอดภัยขั้นสูง RouterOS v7
เอกสารการศึกษาสำหรับหลักสูตรการรับรอง MTCSE อัปเดตเป็น RouterOS v7
บทความที่เกี่ยวข้อง
- ตัวกรอง ICMP ในไฟร์วอลล์ MikroTik
- ระหว่าง Stateful และ Stateless: การควบคุมไฟร์วอลล์ MikroTik
- วิธีบล็อกไซต์ HTTPS อย่างมีประสิทธิภาพด้วย MikroTik TLS Host
- MikroTik และการรับรองความถูกต้องแบบไร้สาย: ทำความเข้าใจ 'อนุญาตคีย์ที่ใช้ร่วมกัน'
- HSRP, VRRP, GLBP: ทำความเข้าใจโปรโตคอลหลักสำหรับความซ้ำซ้อนของเครือข่าย