Sa Mikrotik, ang tunnel mode at mode ng transportasyon Ang mga ito ay dalawang magkaibang mga mode ng operasyon para sa mga koneksyon sa IPsec VPN.
Sa dulo ng artikulo ay makikita mo ang isang maliit pagsusulit papayagan ka nito suriin ang kaalamang natamo sa pagbasang ito
tunnel mode
Sa tunnel mode, lahat ng trapiko na dumadaan sa interface ng VPN ay naka-encapsulated sa isang IPsec packet. Nangangahulugan ito na ang trapiko ay naka-encrypt at naka-decrypt sa magkabilang dulo ng koneksyon sa VPN.
Ang tunnel mode ay ang pinakasecure na configuration para sa mga koneksyon sa VPN, dahil pinoprotektahan nito ang lahat ng trapiko, anuman ang protocol o application nito. Gayunpaman, ito rin ang pinaka-hinihingi ng mapagkukunan na pagsasaayos, dahil nangangailangan ito ng lahat ng mga packet na ma-encapsulated at decapsulated. Sa mode na ito ang buong IP packet ay naka-encrypt at nagiging bahagi ng data ng isang bago (at mas malaking) IP packet.
Madalas na ginagamit sa isang Ipsec site-to-site na VPN
Sa transport mode, tanging ang data na ipinadala sa pagitan ng dalawang partikular na host ang naka-encapsulate sa isang IPsec packet. Nangangahulugan ito na ang trapiko na hindi nakadirekta sa mga partikular na host ay hindi naka-encrypt o naka-decrypt.
Ang transport mode ay hindi gaanong secure kaysa sa tunnel mode, dahil hindi nito pinoprotektahan ang lahat ng trapiko. Gayunpaman, ito ay hindi gaanong hinihingi sa mga tuntunin ng mga mapagkukunan, dahil nangangailangan lamang ito na ang mga packet ay i-encapsulated at i-deencapsulated kapag ipinadala sa pagitan ng mga partikular na host.
Mga Tampok ng Transport Mode
- Ang IPsec header ay ipinasok sa IP packet
- Walang bagong package na nalikha
- Gumagana nang maayos sa mga network kung saan ang pagtaas ng laki ng isang packet ay maaaring magdulot ng problema
Madalas na ginagamit para sa malayuang pag-access sa mga VPN
Mga pangunahing pagkakaiba
Ang sumusunod na talahanayan ay nagbubuod sa mga pangunahing pagkakaiba sa pagitan ng tunnel mode at transport mode:
Característica | tunnel mode | Mode ng transportasyon |
Katiwasayan | Mataas | Tanggihan |
Kinakailangan ng mapagkukunan | Mataas | Tanggihan |
Encapsulasyon | Lahat ng traffic | Trapiko lamang sa pagitan ng mga partikular na host |
Pagpili ng tamang mode
Ang pagpili ng tamang mode para sa koneksyon ng IPsec VPN ay depende sa mga pangangailangan sa seguridad at pagganap ng application.
Kung seguridad ang pangunahing priyoridad, ang tunnel mode ang pinakamagandang opsyon. Kung ang pagganap ang pangunahing priyoridad, ang transport mode ay isang magandang opsyon.
Sa pangkalahatan, ang tunnel mode ay ang pinakamahusay na pagpipilian para sa mga koneksyon sa VPN na nangangailangan ng mataas na antas ng seguridad, tulad ng mga koneksyon na ginagamit upang ma-access ang sensitibong data. Ang transport mode ay isang mahusay na pagpipilian para sa mga koneksyon sa VPN na nangangailangan ng mahusay na pagganap, tulad ng mga koneksyon na ginagamit upang magpadala ng mataas na bilis ng data.
Mga uri ng tunnel na gumagana sa IPSec
Uri ng lagusan | paglalarawan |
Site-to-Site IPsec Tunnel | Ligtas na ikonekta ang dalawang magkahiwalay na network sa Internet. Nagbibigay-daan sa secure na komunikasyon sa pagitan ng mga subnet ng dalawang lokasyon. |
Remote Access IPsec VPN | Nagbibigay-daan sa mga malayuang user na secure na kumonekta sa network ng opisina mula sa mga panlabas na lokasyon. Gumagamit ito ng IPsec upang ma-secure ang koneksyon at maaaring ipatupad sa iba't ibang mga protocol ng VPN tulad ng L2TP/IPsec o IKEv2/IPsec. |
L2TP/IPsec tunnel | Pinagsasama ang L2TP (Layer 2 Tunneling Protocol) sa IPsec para gumawa ng secure na tunnel. Madalas na ginagamit para sa malayuang pag-access na mga koneksyon. |
IKEv2/IPsec tunnel | Ginagamit nito ang protocol ng IKEv2 (Internet Key Exchange version 2) para sa seguridad at pagpapalitan ng susi, kasama ng IPsec para sa proteksyon ng data. Nag-aalok ito ng mas mahusay at matatag na pagsasaayos kumpara sa IKEv1. |
EoIP/IPsec tunnel | Pinapayagan nito ang paglikha ng isang Ethernet over IP (EoIP) tunnel at pagkatapos ay sinigurado gamit ang IPsec upang magbigay ng seguridad. Kapaki-pakinabang para sa pagpapalawak ng isang Ethernet network sa Internet nang ligtas. |
IPIP | Pinapayagan nito ang paglikha ng isang IPIP at pagkatapos ay sinigurado gamit ang IPsec upang magbigay ng seguridad. |
Mga karaniwang tampok
Ang lahat ng IPsec tunnels sa MikroTik ay gumagamit ng mga sumusunod na elemento:
- IPsec interface: Isang virtual na interface na ginagamit upang i-encapsulate ang trapiko ng IPsec.
- Mga parameter ng seguridad: Ang mga parameter ng seguridad, tulad ng algorithm at key ng pag-encrypt, ay ginagamit upang protektahan ang data na ipinadala sa pamamagitan ng tunnel.
- Mga panuntunan sa firewall: Ang mga panuntunan sa firewall ay nagbibigay-daan sa trapiko ng IPsec na maipadala sa pamamagitan ng tunnel.
Pagpili ng uri ng lagusan
Ang uri ng IPsec tunnel na pipiliin ay depende sa mga partikular na pangangailangan ng application.
- Site-to-Site IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa pagkonekta ng dalawang magkahiwalay na network sa Internet.
- Remote Access IPsec VPN: Ang ganitong uri ng tunnel ay angkop para sa pagpapahintulot sa mga malalayong user na secure na kumonekta sa network ng opisina mula sa mga panlabas na lokasyon.
- L2TP/IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa malayuang pag-access na mga koneksyon na nangangailangan ng suporta para sa L2TP protocol.
- IKEv2/IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa malayuang pag-access na mga koneksyon na nangangailangan ng mas mahusay at matatag na configuration.
- EoIP/IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa pagpapalawak ng Ethernet network sa Internet nang ligtas.
- IPIP: Ang ganitong uri ng tunnel ay angkop para sa pagbibigay ng seguridad sa isang umiiral na IPIP tunnel.
Maikling pagsusulit sa kaalaman
Ano sa palagay mo ang artikulong ito?
Naglakas-loob ka bang suriin ang iyong natutunang kaalaman?
Inirerekomendang aklat para sa artikulong ito
RouterOS v7 Advanced Security Book
Pag-aaral ng materyal para sa MTCSE Certification Course, na-update sa RouterOS v7
Kaugnay na mga Artikulo
- ICMP filter sa isang MikroTik Firewall
- Sa pagitan ng Stateful at Stateless: Mastering ang MikroTik Firewall
- Paano Mabisang Harangan ang Mga Site ng HTTPS gamit ang MikroTik TLS Host
- MikroTik at Wireless Authentication: Pag-unawa sa 'Allow Shared Key'
- HSRP, VRRP, GLBP: Pag-unawa sa Mga Pangunahing Protokol para sa Kalabisan ng Network