VPN

• site-to-site: 点对点
• GRE: tunnel
• IPSec VPN

• MPLS VPN: MPLS技术，骨干网络

• remote access: 网络外访问

• IPSec VPN
• VPDN: PPTP, L2TP, PPPoE
• SSL VPN

GRE

IP头部和IP负载没有加密。

IPSec

特点：

• 加密传输层以上
• 完整性验证
• 来源验证

IPSec没有定义加密和hash函数：

• hash函数： MD5，SHA-1；容易遭受中间人攻击，通过“加盐”可以加强(HMAC)
• 加密算法：
• 对称（密钥相同）： DES, 3DES，AES(WPA2)， RC4； 密钥不安全
• 非对称（密钥不同）： RSA，DH, ECC； 可以使用数字签名，加密慢，密文变长
• 结合对称和非对称： 对称密钥每次随机产生，用于加密正文。初始双方持有非对称密钥，用于加密随机产生的对称密钥。

封装协议：

• ESP协议： IP协议号50。只保护IP负载数据，不保护IP头部。加密、完整性、源认证。
• AH协议： IP协议号51。完整性，源认证，不加密。

封装模式:

• Transport Mode：IP头部不变，IP负载加密，在之前插入ESP头部。IP必须可以路由。

• Tunnel Mode： IP头部和IP负载加密，在IP头部之前增加新IP头部和ESP头部。

发表评论