Question #1395

This question delves into the fundamental aspects of IPsec VPNs, specifically the difference between its two main modes: Tunnel Mode and Transport Mode. Understanding these modes is crucial for anyone working with secure network communications. Let's break down the question and each option. --- ### **Question:** Which factor must be considered during the implementation of an IPsec VPN? **Core Concept:** The question asks about a true characteristic of IPsec VPNs that should be considered during implementation. This means we need to identify the correct statement regarding how IPsec operates. --- ### **Key Technical Terms Explained:** * **IPsec (Internet Protocol Security):** A suite of protocols used to secure IP (Internet Protocol) communications. It provides data authentication, integrity, and confidentiality (encryption) for IP packets. * **VPN (Virtual Private Network):** A technology that creates a secure, encrypted connection (a "tunnel") over a less secure network, like the public internet. This allows remote users or networks to securely access resources on a private network. * **IP Datagram (or IP Packet):** The fundamental unit of data transmitted over an IP network. It consists of two main parts: * **IP Header:** Contains information like source IP address, destination IP address, time-to-live (TTL), protocol number, etc. * **IP Payload:** The actual data being carried within the IP datagram. This payload usually includes the **Layer 4 Header** (e.g., TCP or UDP header) and the **application data**. * **Encryption:** The process of transforming information to make it unreadable to unauthorized users. * **IPsec Tunnel Mode:** An IPsec mode typically used for securing communications between two gateways (e.g., two routers connecting two offices) or between a host and a gateway. In this mode, the *entire original IP datagram (header + payload)* is encrypted, and then a *new* IP header is added for routing over the public network. * **IPsec Transport Mode:** An IPsec mode typically used for securing end-to-end communications between two hosts (e.g., a workstation and a server). In this mode, only the *IP payload* of the original IP datagram is encrypted. The original IP header remains largely intact (though some fields might be modified). * **GRE (Generic Routing Encapsulation):** A tunneling protocol that can encapsulate various network layer protocols within IP packets. GRE itself *does not provide encryption*. If you want to secure a GRE tunnel, you typically use IPsec *on top of* GRE. * **Layer 4 Header (Transport Layer Header):** This is part of the IP payload. Examples include TCP (Transmission Control Protocol) and UDP (User Datagram Protocol) headers. They contain information like source and destination port numbers, which are essential for applications to communicate. --- ### **Analysis of the Options:** #### **Correct Answer: In IPsec tunnel mode, the entire original IP datagram is encrypted.** * **Explanation:** This statement accurately describes the operation of IPsec tunnel mode. When a packet is secured using tunnel mode, IPsec takes the complete original IP packet (which includes its header and its payload), encrypts *all of it*, and then wraps this encrypted bundle inside a *new* IP header. This new header has the IP addresses of the VPN gateways (e.g., the two routers) as source and destination. This method is ideal for site-to-site VPNs because it completely hides the internal network's addressing from anyone monitoring the public internet. * **Why it's a "factor to consider":** When implementing an IPsec VPN, it's crucial to understand that tunnel mode (the most common type for site-to-site VPNs) encrypts everything from the original packet, providing maximum confidentiality for the entire communication. --- #### **Incorrect Options:** * **IPsec transport mode increases GRE tunnel security over tunnel mode.** * **Explanation:** This statement is incorrect for several reasons: 1. **GRE does not provide encryption:** GRE is merely an encapsulation protocol. To add security (encryption, authentication) to a GRE tunnel, you need to apply IPsec. 2. **Transport vs. Tunnel Mode:** IPsec tunnel mode actually provides *more comprehensive encryption* than transport mode because it encrypts the entire original IP packet, including its header. Transport mode only encrypts the payload. 3. **Common Practice:** It's common to use IPsec in *tunnel mode* to protect a GRE tunnel. This is because IPsec tunnel mode provides a new IP header, which is well-suited for securing the GRE-encapsulated traffic between two points. Using transport mode for this purpose would leave the original GRE/IP header visible. * Therefore, transport mode does not inherently "increase security over tunnel mode," and the premise is flawed. * **In IPsec tunnel mode, only the IP payload is encrypted.** * **Explanation:** This statement describes IPsec *transport mode*, not tunnel mode. In tunnel mode, the *entire original IP datagram* (both header and payload) is encrypted. This option directly contradicts the definition of IPsec tunnel mode. * **IPsec transport mode leaves the Layer 4 header unencrypted for inspection.** * **Explanation:** This statement is incorrect. In IPsec transport mode, *only the IP payload is encrypted*. As explained earlier, the IP payload *includes* the Layer 4 header (e.g., TCP or UDP header) and the application data. Therefore, in transport mode, the Layer 4 header *is* encrypted. What transport mode leaves largely unencrypted is the *original IP header*. * The purpose of transport mode is to secure the data end-to-end between hosts, and that data includes the transport layer information. --- ### **Conclusion:** The correct option accurately describes a fundamental characteristic of IPsec tunnel mode, which is the complete encryption of the original IP datagram. Understanding this distinction between tunnel and transport mode is essential for designing and implementing IPsec VPN solutions.

## Cisco 200-301 CCNA v1.1 試験問題の詳細解析 この問題は、IPsec VPN の実装において最も重要な要素の一つである「IPsec のモード」に関する理解度を問うものです。特に、IPsec トンネルモードとトランスポートモードの違い、およびそれぞれの暗号化範囲に焦点が当てられています。CCNA レベルでは、これらのモードの基本的な動作と、どのシナリオでどちらのモードが適切かを知ることが求められます。 --- ### 問題文の再確認 **Question:** Which factor must be considered during the implementation of an IPsec VPN? (IPsec VPN の実装時に考慮すべき要素はどれか？) この問いは、IPsec VPN を設定する際に考慮すべき「正しい事実」を識別するものです。 --- ### 正解の選択肢とその詳細解説 **Correct Answer:** **In IPsec tunnel mode, the entire original IP datagram is encrypted.** (IPsec トンネルモードでは、元の IP データグラム全体が暗号化されます。) **解説:** この選択肢が正しい理由は、IPsec トンネルモードの根本的な動作を正確に記述しているからです。 * **IPsec トンネルモードの目的:** サイト間 VPN (Site-to-Site VPN) やリモートアクセス VPN (Remote Access VPN) など、主にネットワークゲートウェイ間での通信を保護するために使用されます。 * **暗号化の範囲:** * オリジナルの IP パケット（IP ヘッダと IP ペイロード、つまり TCP/UDP ヘッダとアプリケーションデータを含む）**全体**が暗号化の対象となります。 * 暗号化されたオリジナルの IP パケットは、新しい IP ヘッダと IPsec ヘッダ（ESP ヘッダなど）によってカプセル化（ラップ）されます。 * これにより、外部の傍受者は元の送信元 IP アドレス、宛先 IP アドレス、および内部の通信内容を一切知ることができません。 **例としてのパケット構造 (ESP トンネルモードの場合):** * **元のパケット:** `[Original IP Header][TCP/UDP Header][Data]` * **IPsec トンネルモード後のパケット:** `[New IP Header][ESP Header][Original IP Header][TCP/UDP Header][Data][ESP Trailer][ESP Auth]` * ここで暗号化される部分：`[Original IP Header][TCP/UDP Header][Data]` この特性により、企業ネットワーク間のトラフィックや、リモートユーザーが社内リソースにアクセスする際のトラフィックを安全に保護することができます。 --- ### 不正解の選択肢とその詳細解説 1. **IPsec transport mode increases GRE tunnel security over tunnel mode.** (IPsec トランスポートモードは、トンネルモードよりも GRE トンネルのセキュリティを向上させます。) **解説:** この選択肢は誤りです。 * **GRE と IPsec:** GRE (Generic Routing Encapsulation) は、IP パケットを別の IP パケットでカプセル化するトンネリングプロトコルです。通常、GRE は暗号化機能を持たないため、IPsec と組み合わせて使用され、GRE トンネルを保護します。 * **IPsec のモードと GRE の保護:** * GRE トンネルを保護する場合、一般的には **IPsec トンネルモード**が使用されます。これは、GRE でカプセル化された IP パケット（これ自体がオリジナルの IP ヘッダとペイロードを持つ）全体を暗号化するためです。 * IPsec トランスポートモードは、オリジナルの IP ペイロードのみを暗号化します。GRE over IPsec のシナリオで IPsec トランスポートモードを使用すると、GRE ヘッダは暗号化されず、元の送信元/宛先 IP アドレスは外部に露出してしまいます。 * したがって、IPsec トンネルモードの方が GRE トンネルのセキュリティをより広範に保護するため、この選択肢は誤りです。 2. **In IPsec tunnel mode, only the IP payload is encrypted.** (IPsec トンネルモードでは、IP ペイロードのみが暗号化されます。) **解説:** この選択肢は誤りです。 * この記述は、**IPsec トランスポートモード**の特徴を説明しています。 * IPsec トンネルモードでは、前述の通り、元の IP ヘッダと IP ペイロード**全体**が暗号化されます。この選択肢は正解の選択肢と直接矛盾します。 3. **IPsec transport mode leaves the Layer 4 header unencrypted for inspection.** (IPsec トランスポートモードは、検査のためにレイヤー 4 ヘッダを暗号化せずに残します。) **解説:** この選択肢は誤りです。 * **IPsec トランスポートモードの暗号化範囲:** IPsec トランスポートモードは、元の IP ヘッダはそのまま残しますが、**IP ペイロード**（TCP/UDP ヘッダやアプリケーションデータを含む）を暗号化します。 * したがって、**レイヤー 4 (TCP/UDP) ヘッダは暗号化の対象**となり、外部から「検査」することはできません。 * このモードは主に、ホスト間のエンドツーエンドの通信を保護する際に使用されます。 **例としてのパケット構造 (ESP トランスポートモードの場合):** * **元のパケット:** `[Original IP Header][TCP/UDP Header][Data]` * **IPsec トランスポートモード後のパケット:** `[Original IP Header][ESP Header][TCP/UDP Header][Data][ESP Trailer][ESP Auth]` * ここで暗号化される部分：`[TCP/UDP Header][Data]` --- ### CCNA レベルにおける重要なポイント * **IPsec の基本:** IPsec は、IP レベルでセキュリティサービス（機密性、完全性、認証、リプレイ保護）を提供するプロトコルスイートです。主に VPN (Virtual Private Network) の実現に使用されます。 * **IPsec のモードの理解:** * **トンネルモード (Tunnel Mode):** * **用途:** ゲートウェイ間 (Site-to-Site VPN)、リモートアクセス VPN。 * **暗号化範囲:** 元の IP パケット全体（IP ヘッダとペイロード）。 * **特徴:** 新しい IP ヘッダが付加される。元の送信元/宛先情報は隠蔽される。 * **トランスポートモード (Transport Mode):** * **用途:** ホスト間 (End-to-End Security)。 * **暗号化範囲:** IP ペイロードのみ（L4 ヘッダとデータ）。 * **特徴:** 元の IP ヘッダはそのまま使用される。元の送信元/宛先 IP アドレスは外部に露出する。 * **IPsec プロトコル (ESP/AH):** * **ESP (Encapsulating Security Payload):** 機密性（暗号化）、データ完全性、認証、リプレイ保護を提供。VPN で最も一般的に使用される。 * **AH (Authentication Header):** データ完全性、認証、リプレイ保護を提供。暗号化は提供しない。現在では ESP がより広く使用されている。 この問題は、IPsec VPN の基礎を理解しているかを確認するための典型的なものです。特にトンネルモードとトランスポートモードの暗号化範囲の違いは、CCNA 試験で頻繁に出題される重要な概念です。それぞれのモードがどのようなシナリオで使われるか、そしてそのパケット構造がどうなるかをしっかりと把握しておくことが重要です。

這是一個針對 200-301 CCNA v1.1 考試中 IPsec VPN 核心概念的典型題目。它主要考察考生對 IPsec 兩種主要模式（傳輸模式與通道模式）下加密範圍的理解。 --- ### **題目考察知識點 (Knowledge Point Examined):** 此題目的核心考察點在於考生是否理解 IPsec VPN 的兩種運作模式：**通道模式 (Tunnel Mode)** 和 **傳輸模式 (Transport Mode)**，以及這兩種模式各自的加密範圍和對原始 IP 資料包的處理方式。這是 CCNA 考試中關於 IPsec VPN 的基礎且關鍵的知識點。 ### **核心概念解析 (Core Concept Analysis):** **IPsec (Internet Protocol Security)** 是一套在 IP 層提供安全服務的協定集，主要提供資料的機密性 (confidentiality)、完整性 (integrity) 和身份驗證 (authentication)。它可以在兩種模式下運作： 1. **傳輸模式 (Transport Mode):** * **加密範圍:** 僅對原始 IP 資料包的 **IP 酬載 (IP Payload)** 進行加密和/或驗證。 * **原始 IP 標頭:** 保持不變且未被加密。 * **應用場景:** 主要用於兩端點之間的保護，例如主機到主機 (host-to-host) 的通信。IPsec 標頭（AH 或 ESP）被插入在原始 IP 標頭和上層協定（如 TCP/UDP）標頭之間。 * **可見性:** 由於原始 IP 標頭未加密，中間路由器仍可看到原始的來源和目的 IP 位址。 2. **通道模式 (Tunnel Mode):** * **加密範圍:** 對整個原始 IP 資料包（包括**原始 IP 標頭**和 **IP 酬載**）進行加密和/或驗證。 * **新增 IP 標頭:** 在加密後的原始 IP 資料包外面，會添加一個全新的 IP 標頭 (稱為外層 IP 標頭或外部 IP 標頭)。這個新的 IP 標頭包含 VPN 隧道兩端點的 IP 位址。 * **應用場景:** 這是最常見的 VPN 模式，廣泛用於站點到站點 (site-to-site)、遠端存取 (remote access) VPN 以及保護其他隧道協定（如 GRE over IPsec）。 * **可見性:** 中間路由器只會看到新的 IP 標頭，無法得知隧道內部的原始來源和目的 IP 位址，提供了更好的隱私保護。 ### **選項逐一分析 (Option-by-Option Analysis):** * **A. In IPsec tunnel mode, the entire original IP datagram is encrypted.** * **分析:** 此選項描述了 IPsec **通道模式** 的正確行為。在通道模式下，為了提供最大的安全性，整個原始 IP 資料包（包括其原始的 IP 標頭和 IP 酬載）都會被加密和/或驗證，然後再封裝在一個新的 IP 標頭內。 * **結論:** **此選項是正確的。** * **B. IPsec transport mode increases GRE tunnel security over tunnel mode.** * **分析:** 這個說法是錯誤的。 * **GRE (Generic Routing Encapsulation)** 是一種隧道協定，它本身不提供任何安全性。 * 當使用 IPsec 來保護 GRE 隧道時，通常的做法是將 GRE 隧道作為 IPsec 的酬載，並以 **IPsec 通道模式** 進行保護。這是因為 IPsec 通道模式會加密整個 GRE 資料包（包括 GRE 標頭和其內部封裝的資料），然後再添加一個新的 IP 標頭。 * 如果使用 IPsec **傳輸模式** 來保護 GRE，只會加密 GRE 酬載，而 GRE 標頭和原始 IP 標頭則不會被加密，這顯然會降低安全性。因此，傳輸模式不會增加 GRE 隧道的安全性，反而可能降低。 * **結論:** **此選項是錯誤的。** * **C. In IPsec tunnel mode, only the IP payload is encrypted.** * **分析:** 此選項描述的是 IPsec **傳輸模式** 的行為，而非通道模式。在通道模式下，加密範圍是整個原始 IP 資料包。 * **結論:** **此選項是錯誤的。** * **D. IPsec transport mode leaves the Layer 4 header unencrypted for inspection.** * **分析:** 這個說法是錯誤的。在 IPsec **傳輸模式** 中，加密的是原始 IP 資料包的 **IP 酬載 (IP Payload)**。IP 酬載包含 Layer 4 (TCP/UDP) 標頭和其承載的應用層資料。因此，Layer 4 標頭會被加密。未被加密的是原始的 Layer 3 (IP) 標頭。 * **結論:** **此選項是錯誤的。** ### **正確答案 (Correct Answer):** **A. In IPsec tunnel mode, the entire original IP datagram is encrypted.** ### **總結與考試建議 (Summary & Exam Tips):** 理解 IPsec 兩種模式的加密範圍是 CCNA 考試的基礎。考生應該能夠清楚區分以下幾點： * **傳輸模式 (Transport Mode):** 加密 `IP Payload` (L4 標頭 + 應用資料)。原始 `IP Header` 不變。 * **通道模式 (Tunnel Mode):** 加密 `Entire Original IP Datagram` (原始 `IP Header` + `IP Payload`)。然後加上一個 `New IP Header`。 建議考生可以畫圖來輔助理解這兩種模式下 IP 資料包的結構變化，特別是在有 AH 或 ESP 標頭插入時的位置，以及外層和內層 IP 標頭的作用。此外，也要理解為何在大多數 VPN 應用中，IPsec 通道模式比傳輸模式更為常用和推薦。

## 200-301 CCNA v1.1 考試題目專業解析 ### 考試主題 IPsec 虚拟专用网络 (VPN) 的实现与工作原理。 ### 題目類型 單選題 ### 正確答案 In IPsec tunnel mode, the entire original IP datagram is encrypted. ### 專業解析 #### 題目概述 本題考查考生對 IPsec VPN 兩種主要模式（隧道模式和传输模式）下，数据加密范围的理解。这是 CCNA 级别对网络安全概念的基础要求，尤其是在构建和故障排除 VPN 时至关重要。 #### 核心概念 IPsec (Internet Protocol Security) 是一套用于保护 IP 通信的协议，它通过对 IP 数据报进行认证和/或加密来提供安全服务。IPsec 有两种主要的操作模式： 1. **隧道模式 (Tunnel Mode)**： * 用于保护整个 IP 数据报（包括原始 IP 头部和数据载荷）。 * 原始 IP 数据报被完整地封装起来，然后对其进行加密和/或认证。 * 一个新的 IP 头部被添加在加密后的数据报外部，用于在公共网络中路由。 * **常见应用场景**：站点到站点 (Site-to-Site) VPN、远程访问 VPN (通过 VPN 客户端)。 2. **传输模式 (Transport Mode)**： * 仅保护 IP 数据报的有效载荷（从第 4 层头部开始的数据）。 * 原始 IP 头部保持不变且未加密，IPsec 头部（AH 或 ESP）插入在原始 IP 头部和第 4 层头部之间。 * **常见应用场景**：主机到主机 (Host-to-Host) 通信，在同一 IP 网络内提供端到端安全，例如在防火墙或路由器上终止 IPsec 会话。 #### 逐項分析 **正確答案解析：** * **In IPsec tunnel mode, the entire original IP datagram is encrypted.** (在 IPsec 隧道模式下，整个原始 IP 数据报都被加密。) * **分析：** 此描述完全符合 IPsec 隧道模式的定义。在隧道模式中，源主机发送的原始 IP 数据包（包括其 IP 头部、传输层头部和应用数据）首先被封装到一个新的 IP 数据包内部，然后这个被封装的“内部”数据包（即整个原始 IP 数据报）被加密。之后，新的外部 IP 头部被添加到加密后的数据上，用于在网络中传输。这意味着原始 IP 地址、端口号等信息在公共网络中是不可见的，提供了高度的机密性。 * **結論：** 此選項是正確的。 **錯誤選項解析：** * **IPsec transport mode increases GRE tunnel security over tunnel mode.** (IPsec 传输模式比隧道模式更能增加 GRE 隧道的安全性。) * **分析：** GRE (Generic Routing Encapsulation) 隧道本身不提供加密。当 IPsec 与 GRE 结合使用时，通常的目的是为了加密 GRE 隧道中的数据。 * 如果使用 IPsec **传输模式** 来保护 GRE 隧道，IPsec 只会加密 GRE 数据包的有效载荷（即内部的原始 IP 包），而 GRE 头部和外部 IP 头部仍然是未加密的。 * 如果使用 IPsec **隧道模式** 来保护 GRE 隧道，IPsec 会将整个 GRE 封装后的数据包（包括外部 IP 头部、GRE 头部和内部的原始 IP 包）都作为有效载荷进行加密，然后添加一个新的外部 IP 头部。 * 显然，IPsec **隧道模式** 提供了更全面的加密保护，因为它隐藏了更多的原始信息（包括 GRE 头部和原始的外部 IP 头部）。因此，此选项的说法是错误的，IPsec 隧道模式通常提供更高的安全性。 * **結論：** 此選項是錯誤的。 * **In IPsec tunnel mode, only the IP payload is encrypted.** (在 IPsec 隧道模式下，只有 IP 有效载荷被加密。) * **分析：** 此描述是 IPsec **传输模式** 的特点，而非隧道模式。如前所述，在隧道模式下，整个原始 IP 数据报（包括 IP 头部和 IP 有效载荷）都被加密。 * **結論：** 此選項是錯誤的。 * **IPsec transport mode leaves the Layer 4 header unencrypted for inspection.** (IPsec 传输模式为了检查而使第 4 层头部保持未加密。) * **分析：** 在 IPsec 传输模式中，IPsec 头部（如 ESP 头部）插入在原始 IP 头部和第 4 层头部之间。加密（如果使用 ESP）从第 4 层头部开始，一直到数据包的末尾。这意味着 **第 4 层头部是会被加密的**，而只有原始 IP 头部保持未加密。留下原始 IP 头部未加密是为了便于路由器在网络中进行路由，而不是为了“检查”第 4 层头部。如果需要对第 4 层头部进行检查（例如为了流量分类或状态防火墙），通常需要在 IPsec 解密之后进行。 * **結論：** 此選項是錯誤的。 #### 總結 本題的核心考點是辨析 IPsec 隧道模式和传输模式在数据加密范围上的区别。隧道模式加密整个原始 IP 数据报并添加新的 IP 头部，适用于网络之间的 VPN 连接；传输模式只加密 IP 有效载荷，原始 IP 头部保留，适用于端到端的主机安全。 ### 知識點和學習建議 (CCNA 級別) 1. **掌握 IPsec 协议族基础：** 理解 IPsec 是什么，它由哪些协议组成（如 AH、ESP），以及这些协议提供的安全服务（认证、机密性、完整性）。 2. **区分 IPsec 两种模式：** 必须清晰地理解隧道模式和传输模式的以下差异： * **加密范围：** 隧道模式加密整个原始 IP 数据报；传输模式加密 IP 有效载荷（从 L4 头部开始）。 * **头部变化：** 隧道模式添加新的外部 IP 头部；传输模式在原始 IP 头部和 L4 头部之间插入 IPsec 头部。 * **应用场景：** 隧道模式通常用于网关到网关 (site-to-site) VPN 或远程访问 VPN；传输模式用于主机到主机安全。 3. **ESP 和 AH 的作用：** * **ESP (Encapsulating Security Payload - 封装安全载荷)**：提供数据机密性（加密）、数据源认证、数据完整性检查和抗重放保护。通常是 IPsec VPN 中最常用的协议。 * **AH (Authentication Header - 认证头部)**：提供数据源认证、数据完整性检查和抗重放保护，但不提供机密性（不加密数据）。 4. **IPsec 与 GRE 结合：** 理解 IPsec 可以为不安全的协议（如 GRE）提供加密保护。在这种情况下，通常使用 IPsec 隧道模式来加密整个 GRE 封装的数据包，以确保最高的安全性。 5. **图示辅助理解：** 学习时多看数据包结构图，直观地理解在不同模式下，IPsec 头部是如何插入的，以及哪些部分被加密、哪些部分保持未加密。 通過深入理解這些概念，考生將能夠在 CCNA 考試中正確回答相關問題，並為將來的网络安全实践打下坚实基础。