85.当 AP 与 AC 处于不同三层网络时,推荐使用哪种方式让 AP 发现 AC?

好的，我们来详细解析一下这道判断题。 ### 题目背景 IPSec（Internet Protocol Security）是一种用于保护 IP 网络通信安全的协议。它提供了两种工作模式：隧道模式（Tunnel Mode）和传输模式（Transport Mode）。 ### 选项解析 #### 1. 隧道模式（Tunnel Mode） - **定义**：在隧道模式下，整个原始 IP 数据包被封装在一个新的 IP 数据包中，并且新的 IP 头部被添加到最前面。 - **安全性**：由于整个原始数据包都被加密和封装，因此不仅数据部分得到了保护，连原始的 IP 头部信息（如源 IP 地址和目的 IP 地址）也被隐藏了。这使得攻击者更难确定数据包的真实来源和目的地。 - **应用场景**：通常用于站点到站点的 VPN 连接，或者需要隐藏内部网络结构的场景。 #### 2. 传输模式（Transport Mode） - **定义**：在传输模式下，只有原始 IP 数据包的数据部分被加密和封装，而原始的 IP 头部保持不变。 - **安全性**：虽然数据部分得到了保护，但原始的 IP 头部信息仍然暴露在外，攻击者可以轻易地看到数据包的源 IP 地址和目的 IP 地址。 - **应用场景**：通常用于端到端的安全通信，例如两台主机之间的直接通信。 ### 为什么选择“正确” 从安全性角度来看，隧道模式确实优于传输模式，原因如下： 1. **完整的封装**：隧道模式将整个原始 IP 数据包（包括头部和数据部分）都进行了加密和封装，这使得攻击者无法获取到任何关于原始数据包的信息。 2. **隐藏源和目的地址**：隧道模式隐藏了原始的源 IP 地址和目的 IP 地址，增加了攻击者的难度。 3. **更广泛的保护范围**：隧道模式不仅保护了数据部分，还保护了整个 IP 包，适用于更复杂的网络环境，如多跳网络或需要隐藏内部网络结构的场景。 ### 示例 假设你有一个公司网络，需要通过互联网与另一个远程办公室建立安全连接。 - **使用传输模式**：虽然数据部分是加密的，但攻击者可以看到数据包的源 IP 地址和目的 IP 地址，可能会尝试对这些地址进行进一步的攻击。 - **使用隧道模式**：整个数据包都被加密和封装，攻击者无法获取到任何关于原始数据包的信息，从而提高了安全性。 ### 结论 因此，从安全性角度考虑，IPSec 隧道模式确实优于传输模式，所以这道题的答案是“正确”。