1 транспортный режим, 2 туннельный режим, 1 транспортный режим 16.3.2 туннельный режим – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

238

Глава 16 Введение в IPSec

Рис. 119 Инкапсуляция IPSec в транспортном и туннельном режимах

16.3.1 Транспортный режим

Транспортный режим используется для защиты протоколов верхнего уровня и касается
только данных в пакете IP. В транспортном режиме пакет IP содержит тип протокола
безопасности (AH или ESP), указываемый после исходного заголовка IP и
дополнительных полей, но перед любыми протоколами верхнего уровня,
содержавшимися в пакете (TCP или UDP).

В случае ESP защита применяется только к протоколам верхнего уровня, содержащимся
в пакете. Информация в заголовке IP и дополнительные поля в процессе
аутентификации не используются, поэтому исходный IP-адрес не может быть проверен
при контроле целостности данных.

Если в качестве протокола безопасности используется AH, то защита распространяется
на остальные поля заголовка IP, а использование фрагментов оригинального заголовка
IP в процессе хеширования позволяет проверить целостность всего пакета.

16.3.2 Туннельный режим

В туннельном режиме инкапсулируется весь пакет IP, что обеспечивает его
защищенную передачу. Туннельный режим необходим для шлюзов, обеспечивающих
доступ к внутренним системам. Туннельный режим фактически представляет собой IP-
туннель, дополненный средствами аутентификации и шифрования. Этот режим
используется наиболее часто. Туннельный режим требуется для соединений между
шлюзами и между хостом и шлюзом. При связи в туннельном режиме используются
два набора заголовков IP:

• Внешний заголовок : Внешний заголовок IP содержит IP-адрес целевого шлюза

VPN.

• Внутренний заголовок : Внутренний заголовок IP содержит IP-адрес конечного

получателя, находящегося за шлюзом VPN. Протокол безопасности указывается
после внешнего заголовка IP и перед внутренним заголовком IP.