为什么加密不会破坏网络的工作方式？

我对加密的工作原理有非常基本的了解。

据我了解，只要是，CCNA发现水平的CISCO课程（以及一些其他的东西，如史蒂夫·吉布森和利奥·拉波特的“ 安全现在 ”在各种各样的情节）。

我的问题是：

加密会不会破坏数据包/帧中源IP / MAC目标和MAC地址的网络概念？

因为...

显然，任何“未加密”（密钥）数据都可以与数据一起发送，但这会破坏安全性，同时交换机也无法在内部网络上定向数据并建立其MAC表。

现在，我将对我所知道的做一些假设。要么：

1. 交换机可以使用数据包IP和MAC地址的已封装报头中的内容，以及从先前连接中获知的数据，对使用源帧和目标帧MAC地址封装的数据包进行解密。
2. 路由器可以使用数据包/先前连接数据包数据中的内容来解密使用源IP地址和目标IP地址封装的数据包。
3. 互联网上的整个加密概念是行不通的（显然是不正确的）
4. 对于加密的数据包，未加密地发送源和目标MAC / ip。（如果是这种情况，这是否意味着中间人可以捕获所有数据，将其记录下来，然后花费尽可能多的时间（蛮横地强迫密钥对其进行解密）？）

否则，我的假设出于某种原因是虚假的（为什么它们是虚假的？）。

这个问题来自学习这些课程的全部理论知识，因此，即使您认为自己说的是显而易见的内容，也请尽可能地进行详细介绍。我问这纯粹是出于学术原因/强烈的好奇心，而不是因为我有实际问题。

您的假设4部分正确。在SSL / TLS等技术中，IP地址和MAC地址通常不加密地发送。更具体地说，如果我们查看OSI网络模型，则IP地址是级别3的一部分，MAC地址是级别2的一部分，而SSL / TLS则是级别4。大多数加密技术都在级别3之上工作，以便寻址可以由标准路由器和交换机读取。

为了解决中间人的问题，加密技术必须在启动和加密会话之前提供某种身份验证。在SSL / TLS示例中，使用由受信任的证书颁发机构（即Verisign）提供的证书进行身份验证。

深入了解可能的细节：出于您所关注的原因，加密发生在传输层及更高层。传输层是IP和其他寻址方案的上一层。这意味着这些协议所需的信息未加密，因为数据属于较低层。

例如，TL​​S及其前身SSL在传输层进行加密。这意味着IP头是唯一未加密的数据。

同时，当您选择在自己喜欢的电子邮件程序中加密电子邮件时，它只会加密实际的电子邮件，而IP，TCP和SMTP标头将全部未加密。反过来，此消息可能通过TLS连接传输。TLS然后将对TCP和SMTP部分进行加密，从而对消息正文进行两次有效加密。这样，未加密的IP标头就足以将其从您的计算机发送到电子邮件服务器。然后，电子邮件服务器将解密TLS，从而使其可以看到这是TCP SMTP消息。然后将其提供给SMTP程序，它将能够将其发送到正确的收件箱。到达该地址后，用户的电子邮件阅读器将具有解密消息正文所需的信息。

数字4是正确的。发送加密的数据包时，数据将被加密，而不是源地址和目标地址。

看一下这个SSH登录数据包：

它显示为加密的请求数据包。如您所见，源和目标详细信息可见。

WEP和WPA是用于无线网络的问题标签。这些协议为网络层处理加密，但是它们用于防止不在网络上的人们看到网络正在发送的内容。

无线网络上的每个节点都必须知道加密密钥，以便网络的路由器可以解码所有流量。我认为这意味着连接到加密无线网络的任何节点都可以嗅探该网络上的所有流量。

因此，WEP和WPA不能防止与您位于同一网络上的恶意用户。您仍然需要使用其他加密层来隐藏通信。

编辑：

阅读802.11i（又名WEP2）后，我看到它对广播和多播数据包使用了单独的密钥（组临时密钥）。使用成对瞬态密钥对单播流量进行加密，该成对瞬态密钥是用于基站和一个无线设备之间流量的密钥。WEP也以这种方式工作。这意味着两个无线设备无法共享彼此的密钥，因此它们无法读取彼此的流量。

我相信WEP确实对所有节点都使用一个共享密钥。

无论如何，公司环境通常会在无线链路之上使用VPN技术。这种增加的加密层提供了从无线设备一直到VPN服务器的安全性。即使无线网络被嗅探，VPN数据包仍将被加密。