分類
CISSP

常見的隧道協議(Common Tunneling Protocols)

常見的隧道協議
以下是常見的隧道協議:
. GRE(協議 47):通用路由封裝
. SSTP(TCP 端口 443):安全套接字隧道協議
. IPSec(協議 50/ESP和 51/AH):互聯網協議安全
. L2TP(協議 115):第 2 層隧道協議
. VXLAN(UDP 端口 4789):虛擬可擴展局域網
封裝安全負載 (ESP)
封裝安全負載 (ESP),IP 協議編號 50,是 IPsec 協議套件的成員。它可以在主機到主機傳輸模式以及站點到站點隧道模式中實現:
. 在傳輸模式下,只對IP數據包的有效載荷進行加密或認證,通常在使用其他隧道協議(如GRE、L2TP)先封裝IP數據包時使用,然後使用ESP保護隧道數據包。(Juniper
. 在隧道模式下,整個 IP 數據包都經過加密和認證。

第2層轉發協議 (L2F)
L2F 或第 2 層轉發是 Cisco Systems, Inc. 開發的隧道協議,用於在 Internet 上建立虛擬專用網絡連接。L2F 本身不提供加密或機密性;它依賴於被隧道傳輸的協議來提供隱私。L2F 專門設計用於隧道點對點協議 (PPP)流量。
資料來源:維基百科

點對點隧道協議 (PPTP)
由於許多眾所周知的安全問題,主要由Microsoft支持的點對點隧道協議 (PPTP)是一種過時的用於實現虛擬專用網絡 (VPN) 的方法。
. PPTP 使用 TCP 控制通道和通用路由封裝隧道來封裝點對點協議 (PPP)數據包。
. PPTP 規範不描述加密,Microsoft 點對點加密 (MPPE)支持加密。

VXLAN 問題陳述
目前的VLAN數量有限,為4094,無法滿足數據中心或云計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。

VXLAN (RFC 7348) 旨在解決以下問題:

  1. 生成樹和 VLAN 範圍施加的限制
  2. 多租戶環境
  3. ToR(架頂式)交換機的表尺寸不足
    VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。Leaf-Spine架構採用葉子交換機和骨幹交換機組成的兩層網絡拓撲結構。

https://ithelp.ithome.com.tw/upload/images/20210623/20132160uIiJ8sl9Cf.png
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。

  • 底層協議:BGP、OSPF、IS-IS、EIGRP

一個 覆蓋網絡 是一個 虛擬的網絡 ,其路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。

  • 覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN

覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network

參考
隧道協議
第 2 層轉發協議 (L2F)
通用路由封裝 (GRE)
點對點隧道協議
虛擬可擴展局域網 (VXLAN)
VPN隧道解釋
什麼是 VPN 隧道?
什麼是 VPN 隧道及其工作原理
什麼是 IKEv2?
互聯網協議安全 (IPsec)

資料來源: Wentz Wu QOTD-20210405

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。