2-5 IPSec AH 操作模式
IPSec AH 協定有『傳輸模式』(Transport Mode)與『通道模式』(Tunnel Mode)兩種操作模式,其不同點在於 AH 標頭所存放的位置。AH 可以利用通道模式重疊使用,也可以和 ESP 一起使用(12-6-2 節介紹),以下先介紹這兩種操作模式。 2-5-1 AH 傳輸模式 AH 傳輸模式是將認證標頭放置於 IP 封包標頭與傳輸層協定(TCP、UDP 或其他協定)的標頭之間,有 IPv4 與 IPv6 兩種不同封包格式。圖 12-8 (a) 為原 IPv4 封包,經過 AH 傳輸模式包裝後的格式如圖 12-8 (b)所示,IP 標頭的長度可以由 20 Bytes 到 60 Bytes 之間,之所以不定長度是因為有可能在標頭後面加入選項(Options)資料,如果沒有選項資料,則 IP 標頭長度為 20 Bytes。
圖 12-8 IPv4 的AH 傳輸模式包裝 基本上,原來 IPv4 封包標頭是不用修改的,只要將 AH 標頭加入即可,但因原 IP 封包所承載的協定已變成 AH 協定,而非原來的協定,因此還是需要將 IP 標頭內的『協定』(Protocol)欄位內容設定為 51(AH 協定),並將原來的值置於 AH 標頭的『Next Header』欄位上。譬如,原來 IP 封包所承載的是 TCP 協定(Protocol=5), 經過 AH 傳輸模式包裝後,IP 標頭上的 Protocol 欄位便成為 51(AH 協定),而 AH 標頭上的 Next Header 欄位則需設定為 5(TCP 協定,如圖 12-8 (b) 所示)。 2-5-2 AH 通道模式 所謂『通道模式』(Tunnel Mode),即是隱藏原來的 IP 標頭,而另外製作一個新的封包標頭,並且利用 AH 標頭保護原來的 IP 標頭。圖 12-10 為 IPv4 與 IPv6 AH 通道模式的封包包裝,新的封包標頭稱之為『外部標頭』(Outer Header);而原來封包標頭稱之為『內部標頭』(Inner Header)。基本上,外部標頭的封裝格式與原 IP 標頭一樣,但它的目的位址與來源位址,可能和內部標頭不同,不相同的原因是該 AH 通道所扮演的角色有所不同(連接主機或安全閘門,容後介紹)。外部標頭的內容也可以被所經過的路由器修改,譬如 TTL 或標頭檢查碼等欄位。
圖 12-10 IPv4 與 IPv6 AH 通道模式的封裝格式 我們用一個簡單的範例來說明 AH 通道模式的特殊用途,相信可讓讀者更容易瞭解 AH 通道模式的特性。一般在 VPN 網路上,都希望將內部的網路位址隱藏起來,並透過 NAT(Network Address Translator)將內部位址轉換到外部位址,如圖 12-11 所示。兩區域網路(192.168.1.0/24 與 192.168.2.0/24)是透過 Internet 網路做 VPN 連接,並且將 IPSec AH Tunnel 與 NAT 軟體安裝於雙方網路的『安全閘門』(Security Gateway, SG)上,連結到外部的合法位址分別是 163.17.8.141 與 163.20.9.5。當內部網路 A 的工作站(工作站 M,位址為 192.168.1.52)欲傳送封包給內部網路 B 的工作站(工作站 N,位址為 192.168.2.121)時,SG-A 將工作站 A 所發送的封包經由 IPSec AH Tunnel 包裝。在包裝當中,內部標頭的目的位址將會是 192.168.2.121;而外部標頭的目的位址是 163.20.9.5。區域網路 B 的 SG-B 收到封包後,再拆解外部標頭,並從事認證的工作,如果認證無誤的話,便捨棄外部標頭,恢復原來封包格式,並發送到內部網路;工作站 B 再由網路上收到該封包。如此,對雙方工作站而言,並不知道有 VPN 網路的存在,猶如在同一區域網路上運作一樣,也就是說,好像在公眾網路上建立一個秘密通道,故稱為『通道模式』。
圖 12-11 AH 通道模式範例 就另一方面而言,AH 傳輸模式並不適合圖 12-11 網路使用,我們用兩種安裝架構說明它不適合的原因:
|
翻轉工作室:粘添壽
資訊與網路安全技術
翻轉電子書系列:
|