cyber deal
RouterOS v7 Advanced Security Book
Pag-aaral ng materyal para sa MTCSE Certification Course, na-update sa RouterOS v7
$19,97
Idagdag sa cart
MikroTik IPSec: Pumili sa pagitan ng Tunnel Mode at Transport Mode para sa VPN
- Kevin Moran
- Walang mga komento
- Ibahagi ang artikulong ito
Facebook
kaba
LinkedIn
WhatsApp
Telegrama
Sa Mikrotik, ang tunnel mode at mode ng transportasyon Ang mga ito ay dalawang magkaibang mga mode ng operasyon para sa mga koneksyon sa IPsec VPN.
tunnel mode
Sa tunnel mode, lahat ng trapiko na dumadaan sa interface ng VPN ay naka-encapsulated sa isang IPsec packet. Nangangahulugan ito na ang trapiko ay naka-encrypt at naka-decrypt sa magkabilang dulo ng koneksyon sa VPN.
Ang tunnel mode ay ang pinakasecure na configuration para sa mga koneksyon sa VPN, dahil pinoprotektahan nito ang lahat ng trapiko, anuman ang protocol o application nito. Gayunpaman, ito rin ang pinaka-hinihingi ng mapagkukunan na pagsasaayos, dahil nangangailangan ito ng lahat ng mga packet na ma-encapsulated at decapsulated. Sa mode na ito ang buong IP packet ay naka-encrypt at nagiging bahagi ng data ng isang bago (at mas malaking) IP packet.
Madalas na ginagamit sa isang Ipsec site-to-site na VPN
Sa transport mode, tanging ang data na ipinadala sa pagitan ng dalawang partikular na host ang naka-encapsulate sa isang IPsec packet. Nangangahulugan ito na ang trapiko na hindi nakadirekta sa mga partikular na host ay hindi naka-encrypt o naka-decrypt.
Ang transport mode ay hindi gaanong secure kaysa sa tunnel mode, dahil hindi nito pinoprotektahan ang lahat ng trapiko. Gayunpaman, ito ay hindi gaanong hinihingi sa mga tuntunin ng mga mapagkukunan, dahil nangangailangan lamang ito na ang mga packet ay i-encapsulated at i-deencapsulated kapag ipinadala sa pagitan ng mga partikular na host.
Mga Tampok ng Transport Mode
- Ang IPsec header ay ipinasok sa IP packet
- Walang bagong package na nalikha
- Gumagana nang maayos sa mga network kung saan ang pagtaas ng laki ng isang packet ay maaaring magdulot ng problema
Madalas na ginagamit para sa malayuang pag-access sa mga VPN
Mga pangunahing pagkakaiba
Ang sumusunod na talahanayan ay nagbubuod sa mga pangunahing pagkakaiba sa pagitan ng tunnel mode at transport mode:
Característica | tunnel mode | Mode ng transportasyon |
Katiwasayan | Mataas | Tanggihan |
Kinakailangan ng mapagkukunan | Mataas | Tanggihan |
Encapsulasyon | Lahat ng traffic | Trapiko lamang sa pagitan ng mga partikular na host |
Pagpili ng tamang mode
Ang pagpili ng tamang mode para sa koneksyon ng IPsec VPN ay depende sa mga pangangailangan sa seguridad at pagganap ng application.
Kung seguridad ang pangunahing priyoridad, ang tunnel mode ang pinakamagandang opsyon. Kung ang pagganap ang pangunahing priyoridad, ang transport mode ay isang magandang opsyon.
Sa pangkalahatan, ang tunnel mode ay ang pinakamahusay na pagpipilian para sa mga koneksyon sa VPN na nangangailangan ng mataas na antas ng seguridad, tulad ng mga koneksyon na ginagamit upang ma-access ang sensitibong data. Ang transport mode ay isang mahusay na pagpipilian para sa mga koneksyon sa VPN na nangangailangan ng mahusay na pagganap, tulad ng mga koneksyon na ginagamit upang magpadala ng mataas na bilis ng data.
Mga uri ng tunnel na gumagana sa IPSec
Uri ng lagusan | paglalarawan |
Site-to-Site IPsec Tunnel | Ligtas na ikonekta ang dalawang magkahiwalay na network sa Internet. Nagbibigay-daan sa secure na komunikasyon sa pagitan ng mga subnet ng dalawang lokasyon. |
Remote Access IPsec VPN | Nagbibigay-daan sa mga malayuang user na secure na kumonekta sa network ng opisina mula sa mga panlabas na lokasyon. Gumagamit ito ng IPsec upang ma-secure ang koneksyon at maaaring ipatupad sa iba't ibang mga protocol ng VPN tulad ng L2TP/IPsec o IKEv2/IPsec. |
L2TP/IPsec tunnel | Pinagsasama ang L2TP (Layer 2 Tunneling Protocol) sa IPsec para gumawa ng secure na tunnel. Madalas na ginagamit para sa malayuang pag-access na mga koneksyon. |
IKEv2/IPsec tunnel | Ginagamit nito ang protocol ng IKEv2 (Internet Key Exchange version 2) para sa seguridad at pagpapalitan ng susi, kasama ng IPsec para sa proteksyon ng data. Nag-aalok ito ng mas mahusay at matatag na pagsasaayos kumpara sa IKEv1. |
EoIP/IPsec tunnel | Pinapayagan nito ang paglikha ng isang Ethernet over IP (EoIP) tunnel at pagkatapos ay sinigurado gamit ang IPsec upang magbigay ng seguridad. Kapaki-pakinabang para sa pagpapalawak ng isang Ethernet network sa Internet nang ligtas. |
IPIP | Pinapayagan nito ang paglikha ng isang IPIP at pagkatapos ay sinigurado gamit ang IPsec upang magbigay ng seguridad. |
Mga karaniwang tampok
Ang lahat ng IPsec tunnels sa MikroTik ay gumagamit ng mga sumusunod na elemento:
- IPsec interface: Isang virtual na interface na ginagamit upang i-encapsulate ang trapiko ng IPsec.
- Mga parameter ng seguridad: Ang mga parameter ng seguridad, tulad ng algorithm at key ng pag-encrypt, ay ginagamit upang protektahan ang data na ipinadala sa pamamagitan ng tunnel.
- Mga panuntunan sa firewall: Ang mga panuntunan sa firewall ay nagbibigay-daan sa trapiko ng IPsec na maipadala sa pamamagitan ng tunnel.
Pagpili ng uri ng lagusan
Ang uri ng IPsec tunnel na pipiliin ay depende sa mga partikular na pangangailangan ng application.
- Site-to-Site IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa pagkonekta ng dalawang magkahiwalay na network sa Internet.
- Remote Access IPsec VPN: Ang ganitong uri ng tunnel ay angkop para sa pagpapahintulot sa mga malalayong user na secure na kumonekta sa network ng opisina mula sa mga panlabas na lokasyon.
- L2TP/IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa malayuang pag-access na mga koneksyon na nangangailangan ng suporta para sa L2TP protocol.
- IKEv2/IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa malayuang pag-access na mga koneksyon na nangangailangan ng mas mahusay at matatag na configuration.
- EoIP/IPsec Tunnel: Ang ganitong uri ng tunnel ay angkop para sa pagpapalawak ng Ethernet network sa Internet nang ligtas.
- IPIP: Ang ganitong uri ng tunnel ay angkop para sa pagbibigay ng seguridad sa isang umiiral na IPIP tunnel.
Maikling pagsusulit sa kaalaman
Ano sa palagay mo ang artikulong ito?
Naglakas-loob ka bang suriin ang iyong natutunang kaalaman?
Inirerekomendang aklat para sa artikulong ito
Kaugnay na mga Artikulo
Kaugnay na mga Artikulo
Microlabs
(ML-001) Paano maayos na pamahalaan ang maramihang pampubliko o pribadong IP sa gilid ng router
$8,99
(ML-002) Mga paraan upang magtalaga ng mga pampublikong IP address sa mga kliyente na may MikroTik
$9,99
(ML-003) Gabay upang i-configure ang mga ruta ng paglabas sa Internet na may dalawa o higit pang provider (failover at recursion sa PCC balancing)
$8,99
(ML-004) I-filter ang mga diskarte sa pagpapatupad upang paghigpitan ang pag-access sa mga web page gamit ang MikroTik
$7,99
Iba pang mga paksa na maaaring interesado ka
Mga Paraan para Magtalaga ng IPv6 Addressing (Bahagi 2)
Marso 25, 2024
Mga Paraan para Magtalaga ng IPv6 Addressing (Bahagi 1)
Marso 11, 2024
Gusto mo bang magmungkahi ng paksa?
Bawat linggo ay nagpo-post kami ng bagong nilalaman. Gusto mo bang pag-usapan natin ang isang partikular na bagay?
Mga paparating na online na kurso
MTCINE OnLine
$187,00
MTCNA Online
$187,00
MTCRE Online
$187,00
Pack 4 na MikroTik RouterOS na aklat
$68,47
