用于工业 VPN 路由的 GRE 和 IPSEC

2021-09-24 16:00:25 admin 90

GRE和IPSEC两种协议是3G路由器中常用的VPN封装协议。GRE VPN,Generic Routing Encapsulation,为某些网络层协议(如IP和IPX)封装数据报,使这些封装后的数据报可以在另一个网络层协议(如IP)中传输。


GRE是VPN(Virtual Private Network)的第2层隧道协议,它在协议层之间使用了一种称为隧道的技术。但是GRE并不是一个完整的VPN协议,因为它不能完成数据加密、身份认证、数据报完整性校验等。在3G路由器使用GRE的常见情况下,往往与IPSEC结合使用来弥补其安全缺陷。


工业路由器中的 IPSEC 安全协议

 (1) AH(Authentication Header)协议

它用于在提供防重放服务的同时为 IP 通信提供数据完整性和身份验证。

IPv6采用AH协议后,由于在主机上设置了基于算法独立交换的密钥,可以有效防止非法潜行现象。密钥由客户端和服务提供商共同设置。IPv6 认证在传输每个数据包时根据这个密钥和数据包生成一个检查项。在数据接收端重新运行校验项并进行比较,以保证数据包来源的确认,数据包没有被非法修改。

 

(2) ESP(Encapsulated Security Payload)协议

它提供 IP 层加密保证和数据源验证以处理网络监控。AH虽然可以保护通讯不被篡改,但它不会对数据进行转换,数据对黑客来说仍然是一目了然的。为了有效保证数据传输的安全性,IPv6中还有另外一个头部ESP,进一步提供了数据保密性和防止篡改。


(3) 安全协议

SA(Security Association)记录了每个IP安全路径的策略和策略参数。安全关联是 IPSEC 的基础。它是两个通信方之间建立的协议,用于确定用于保护数据包的协议、转码方法、密钥和密钥有效期。AH 和 ESP 都使用安全关联。IKE 的主要功能之一是建立和维护安全联盟。


(4) 密钥管理协议

密钥管理协议 ISAKMP,提供共享的安全信息。Internet 密钥管理协议是在应用层定义的。IETF 规定了互联网安全协议和 ISAKMP(互联网安全协会和密钥管理协议)来实现 IPSEC 密钥管理、密钥管理、身份认证的 SA 设置和密钥交换技术。


标签: GRE IPSEC
网站首页
解决方案
产品中心
在线咨询