常見的隧道協議
以下是常見的隧道協議:
. GRE(協議 47):通用路由封裝
. SSTP(TCP 端口 443):安全套接字隧道協議
. IPSec(協議 50/ESP和 51/AH):互聯網協議安全
. L2TP(協議 115):第 2 層隧道協議
. VXLAN(UDP 端口 4789):虛擬可擴展局域網
封裝安全負載 (ESP)
封裝安全負載 (ESP),IP 協議編號 50,是 IPsec 協議套件的成員。它可以在主機到主機傳輸模式以及站點到站點隧道模式中實現:
. 在傳輸模式下,只對IP數據包的有效載荷進行加密或認證,通常在使用其他隧道協議(如GRE、L2TP)先封裝IP數據包時使用,然後使用ESP保護隧道數據包。(Juniper)
. 在隧道模式下,整個 IP 數據包都經過加密和認證。
第2層轉發協議 (L2F)
L2F 或第 2 層轉發是 Cisco Systems, Inc. 開發的隧道協議,用於在 Internet 上建立虛擬專用網絡連接。L2F 本身不提供加密或機密性;它依賴於被隧道傳輸的協議來提供隱私。L2F 專門設計用於隧道點對點協議 (PPP)流量。
資料來源:維基百科
點對點隧道協議 (PPTP)
由於許多眾所周知的安全問題,主要由Microsoft支持的點對點隧道協議 (PPTP)是一種過時的用於實現虛擬專用網絡 (VPN) 的方法。
. PPTP 使用 TCP 控制通道和通用路由封裝隧道來封裝點對點協議 (PPP)數據包。
. PPTP 規範不描述加密,Microsoft 點對點加密 (MPPE)支持加密。
VXLAN 問題陳述
目前的VLAN數量有限,為4094,無法滿足數據中心或云計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。
VXLAN (RFC 7348) 旨在解決以下問題:
- 生成樹和 VLAN 範圍施加的限制
- 多租戶環境
- ToR(架頂式)交換機的表尺寸不足
VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。Leaf-Spine架構採用葉子交換機和骨幹交換機組成的兩層網絡拓撲結構。
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。
- 底層協議:BGP、OSPF、IS-IS、EIGRP
一個 覆蓋網絡 是一個 虛擬的網絡 ,其路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。
- 覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN
覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network
參考
. 隧道協議
. 第 2 層轉發協議 (L2F)
. 通用路由封裝 (GRE)
. 點對點隧道協議
. 虛擬可擴展局域網 (VXLAN)
. VPN隧道解釋
. 什麼是 VPN 隧道?
. 什麼是 VPN 隧道及其工作原理
. 什麼是 IKEv2?
. 互聯網協議安全 (IPsec)
資料來源: Wentz Wu QOTD-20210405
