Tại Mikrotik, chế độ đường hầm và phương tiện giao thông Chúng là hai chế độ hoạt động khác nhau dành cho kết nối IPsec VPN.
Ở cuối bài viết, bạn sẽ tìm thấy một phần nhỏ thử nghiệm điều đó sẽ cho phép bạn đánh giá kiến thức thu được trong bài đọc này
chế độ đường hầm
Ở chế độ đường hầm, tất cả lưu lượng truy cập đi qua giao diện VPN được gói gọn trong gói IPsec. Điều này có nghĩa là lưu lượng truy cập được mã hóa và giải mã ở cả hai đầu của kết nối VPN.
Chế độ đường hầm là cấu hình an toàn nhất cho các kết nối VPN vì nó bảo vệ tất cả lưu lượng truy cập, bất kể giao thức hoặc ứng dụng của nó. Tuy nhiên, đây cũng là cấu hình đòi hỏi nhiều tài nguyên nhất vì nó yêu cầu tất cả các gói phải được đóng gói và giải mã. Ở chế độ này, toàn bộ gói IP được mã hóa và trở thành thành phần dữ liệu của gói IP mới (và lớn hơn).
Thường được sử dụng trong VPN site-to-site Ipsec
Trong chế độ vận chuyển, chỉ dữ liệu được truyền giữa hai máy chủ cụ thể mới được gói gọn trong gói IPsec. Điều này có nghĩa là lưu lượng truy cập không hướng đến máy chủ cụ thể sẽ không được mã hóa hoặc giải mã.
Chế độ vận chuyển kém an toàn hơn chế độ đường hầm vì nó không bảo vệ được tất cả lưu lượng. Tuy nhiên, nó cũng ít đòi hỏi hơn về mặt tài nguyên, vì nó chỉ yêu cầu các gói được đóng gói và giải mã khi truyền giữa các máy chủ cụ thể.
Tính năng của Chế độ Vận chuyển
- Tiêu đề IPsec được chèn vào gói IP
- Không có gói mới nào được tạo
- Hoạt động tốt trên các mạng nơi việc tăng kích thước gói có thể gây ra sự cố
Thường được sử dụng cho VPN truy cập từ xa
Sự khác biệt chính
Bảng sau đây tóm tắt những khác biệt chính giữa chế độ đường hầm và chế độ vận chuyển:
Característica | chế độ đường hầm | Phương tiện giao thông |
An ninh | Alta | Thấp |
Yêu cầu về nguồn lực | Alta | Thấp |
Đóng gói | Tất cả giao thông | Chỉ lưu lượng truy cập giữa các máy chủ cụ thể |
Lựa chọn chế độ đúng
Việc chọn chế độ chính xác cho kết nối IPsec VPN tùy thuộc vào nhu cầu bảo mật và hiệu suất của ứng dụng.
Nếu bảo mật là ưu tiên hàng đầu thì chế độ đường hầm là lựa chọn tốt nhất. Nếu hiệu suất là ưu tiên chính thì chế độ vận chuyển là một lựa chọn tốt.
Nhìn chung, chế độ đường hầm là lựa chọn tốt nhất cho các kết nối VPN yêu cầu mức độ bảo mật cao, chẳng hạn như các kết nối được sử dụng để truy cập dữ liệu nhạy cảm. Chế độ vận chuyển là lựa chọn tốt cho các kết nối VPN yêu cầu hiệu suất tốt, chẳng hạn như các kết nối được sử dụng để truyền dữ liệu tốc độ cao.
Các loại đường hầm hoạt động với IPSec
Loại đường hầm | miêu tả |
Đường hầm IPsec Site-to-Site | Kết nối an toàn hai mạng riêng biệt qua Internet. Cho phép liên lạc an toàn giữa các mạng con của hai địa điểm. |
Truy cập từ xa IPsec VPN | Cho phép người dùng từ xa kết nối an toàn với mạng văn phòng từ các vị trí bên ngoài. Nó sử dụng IPsec để bảo mật kết nối và có thể được triển khai bằng các giao thức VPN khác nhau như L2TP/IPsec hoặc IKEv2/IPsec. |
Đường hầm L2TP/IPsec | Kết hợp L2TP (Giao thức đường hầm lớp 2) với IPsec để tạo đường hầm an toàn. Thường được sử dụng cho các kết nối truy cập từ xa. |
Đường hầm IKEv2/IPsec | Nó sử dụng giao thức IKEv2 (Internet Key Exchange phiên bản 2) để bảo mật và trao đổi khóa, kết hợp với IPsec để bảo vệ dữ liệu. Nó cung cấp cấu hình hiệu quả và mạnh mẽ hơn so với IKEv1. |
Đường hầm EoIP/IPsec | Nó cho phép tạo đường hầm Ethernet qua IP (EoIP) và sau đó được bảo mật bằng IPsec để cung cấp bảo mật. Hữu ích cho việc mở rộng mạng Ethernet qua Internet một cách an toàn. |
IPIP | Nó cho phép tạo IPIP và sau đó được bảo mật bằng IPsec để cung cấp bảo mật. |
Các tính năng chung
Tất cả các đường hầm IPsec trong MikroTik đều sử dụng các thành phần sau:
- Giao diện IPsec: Giao diện ảo được sử dụng để đóng gói lưu lượng IPsec.
- Tham số bảo mật: Các tham số bảo mật, chẳng hạn như thuật toán mã hóa và khóa, được sử dụng để bảo vệ dữ liệu được truyền qua đường hầm.
- Quy tắc tường lửa: Quy tắc tường lửa cho phép lưu lượng IPsec được truyền qua đường hầm.
Lựa chọn loại đường hầm
Loại đường hầm IPsec được chọn tùy thuộc vào nhu cầu cụ thể của ứng dụng.
- Đường hầm IPsec Site-to-Site: Loại đường hầm này phù hợp để kết nối hai mạng riêng biệt qua Internet.
- Remote Access IPsec VPN: Loại đường hầm này phù hợp để cho phép người dùng từ xa kết nối an toàn với mạng văn phòng từ các vị trí bên ngoài.
- Đường hầm L2TP/IPsec: Loại đường hầm này phù hợp với các kết nối truy cập từ xa yêu cầu hỗ trợ giao thức L2TP.
- Đường hầm IKEv2/IPsec: Loại đường hầm này phù hợp với các kết nối truy cập từ xa yêu cầu cấu hình mạnh mẽ và hiệu quả hơn.
- Đường hầm EoIP/IPsec: Loại đường hầm này phù hợp để mở rộng mạng Ethernet qua Internet một cách an toàn.
- IPIP: Loại đường hầm này phù hợp để cung cấp bảo mật cho đường hầm IPIP hiện có.
Bài kiểm tra kiến thức tóm tắt
Bạn nghĩ gì về bài viết này?
Bạn có dám đánh giá kiến thức đã học của mình không?
Cuốn sách được đề xuất cho bài viết này
Sách bảo mật nâng cao RouterOS v7
Tài liệu học Khóa học Chứng chỉ MTCSE, được cập nhật lên RouterOS v7