专业提供IPLC、MPLS专线、SD-WAN、IEPL、海外IDC、云专线等技术方案。
咨询热线:400-028-9798

海外专线-国际带宽-微云网络

IPLC

手工方式建立保护IPv4报文的IPsec-ESP隧道

发布时间:2021-06-26 13:48:58作者:衡水铁头哥阅读:0

[导读]: 组网需求 在RT1和RT2之间建立一条IPsec隧道,对PCA所在的子网(192.168.1.0/24)与PCB所在的子网(192.168.2.0/24)之间的数据流进行安全保护。具体要求如下: 封装形式为隧道模式。 安全协议
组网需求

在RT1和RT2之间建立一条IPsec隧道,对PCA所在的子网(192.168.1.0/24)与PCB所在的子网(192.168.2.0/24)之间的数据流进行安全保护。具体要求如下:

封装形式为隧道模式。

安全协议采用ESP协议。

加密算法采用128位的AES,认证算法采用HMAC-SHA1。

手工方式建立IPsec SA。

组网图

手工方式建立保护IPv4报文的IPsec-ESP隧道

设备配置

IPsec是一个基础实验,结合配置任务和RFC2401的要求我们可以发现,IPsec的主要配置任务包括以下几点:

1、配置IPsec保护的数据流量。一般也称为感兴趣流,用ACL来进行匹配;

2、配置IPsec安全提议。指定对IP报文的封装形式为传输模式或隧道模式,选择安全协议为AH或ESP、并配置加密算法及认证算法。

3、配置IPsec安全策略。包含配置应用感兴趣流,应用IPsec安全提议,指定IPsec隧道地址,配置安全协议的SPI(Security Parameter Index,安全参数索引)和SA(Security Association,安全联盟)密钥。

4、在接口上应用IPsec安全策略。

上面流程了解之后,直接贴出设备配置。

RT1

#

interface GigabitEthernet0/0

ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/1

ip address 12.1.1.1 255.255.255.0

nat outbound 3401

ipsec apply policy ipsec

#

ip route-static 23.1.1.0 24 12.1.1.2

ip route-static 192.168.2.0 24 12.1.1.2

#

acl advanced 3400

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

#

acl advanced 3401

rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 5 permit ip

#

ipsec transform-set tran1

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

#

ipsec policy ipsec 10 manual

transform-set tran1

security acl 3400

remote-address 23.1.1.3

sa spi inbound esp 123456

sa string-key inbound esp simple qwer

sa spi outbound esp 654321

sa string-key outbound esp  simple asdf

RT2

#

interface GigabitEthernet0/0

ip address 192.168.2.1 255.255.255.0

#

interface GigabitEthernet0/1

ip address 23.1.1.3 255.255.255.0

nat outbound 3401

ipsec apply policy ipsec

#

ip route-static 12.1.1.0 24 23.1.1.2

ip route-static 192.168.1.0 24 23.1.1.2

#

acl advanced 3400

rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

acl advanced 3401

rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 5 permit ip

#

ipsec transform-set tran1

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

#

ipsec policy ipsec 10 manual

transform-set tran1

security acl 3400

remote-address 12.1.1.1

sa spi inbound esp 654321

sa string-key inbound esp simple asdf

sa spi outbound esp 123456

sa string-key outbound esp simple qwer

RT-ISP

#

interface GigabitEthernet0/0

ip address 12.1.1.2 255.255.255.0

#

interface GigabitEthernet0/1

ip address 23.1.1.2 255.255.255.0

验证配置

验证设备

查看RT1上IPsec安全策略的信息

display ipsec policy

手工方式建立保护IPv4报文的IPsec-ESP隧道

查看RT1上IPsec SA的相关信息

display ipsec sa

手工方式建立保护IPv4报文的IPsec-ESP隧道

查看RT1上IPsec安全提议的信息

display ipsec transform-set

手工方式建立保护IPv4报文的IPsec-ESP隧道

查看RT1上IPsec隧道的信息

display ipsec tunnel

验证主机

从PC1向PC2发起ping从测试,可以连通。观察TTL值为253,表明中间经过了两跳设备,应该就是IPsec隧道两端的RT1和RT2,中间的互联网无感知。但是使用tracert探测路径,则无法看到网络转发路径。

手工方式建立保护IPv4报文的IPsec-ESP隧道

通过抓包可以发现,RT2没有回应TTL超时的ICMP错误消息,应该是没有接口响应吧。

手工方式建立保护IPv4报文的IPsec-ESP隧道

查看IPsec SA信息时,隧道下有一行Path MTU: 1428的信息,那就来验证一下MTU的大小吧。

手工方式建立保护IPv4报文的IPsec-ESP隧道

测试发现实际最大能通过的报文大小为1400字节,1401字节及更大的报文无法通过。

手工方式建立保护IPv4报文的IPsec-ESP隧道

抓包发现IPsec设备发出的报文大小为1510字节,其中包含14字节的以太网报文头封装,内部数据长度为1496字节。还可以看到DF标志、隧道的源目地址以及ESP SPI等信息。

手工方式建立保护IPv4报文的IPsec-ESP隧道

安全协议数据封装格式如下表。我们采用的是ESP-Tunnel的方式,所以数据封装格式为:[OUTER-IP][ESP][INNER-IP][DATA][ESP-T]。

手工方式建立保护IPv4报文的IPsec-ESP隧道

再次对比数据包长度,减掉20字节的外部报文头,得到[ESP][INNER-IP][DATA][ESP-T]部分长度为1476字节。再减掉ESP封装的SPI和序列号的8字节,还有1468字节。

手工方式建立保护IPv4报文的IPsec-ESP隧道

我们再反着考虑一下,这个1428字节是隧道的MTU,IPsec网关路由器接收到的报文是多大呢?

手工方式建立保护IPv4报文的IPsec-ESP隧道

数据长度为1400字节,ICMP报文标志位长度为8字节,再加上IP报文头的20字节,长度正好是1428字节,也就是[INNER-IP][DATA]的长度为1428字节。外层的14字节的以太网封装,进入设备之后就脱掉了,但是依然可以看到最外层封装的源MAC地址为PCA的MAC地址,目的MAC地址为网关设备的MAC地址。

再计算一下,[ESP-T]这段的长度应该是40字节吧?

总结

1、IPsec网关设备应用NAT时,要将IPsec保护的数据流量排除掉。因为接口下NAT优先级高于IPsec,会导致互访流量的源地址被转换为无法进入IPsec隧道;

2、ESP + Tunnel模式下,数据的封装格式为:[OUTER-IP][ESP][INNER-IP][DATA][ESP-T]。其中[INNER-IP][DATA]长度受隧道MTU限制,报文的整体长度受IPsec网关设备出接口MTU限制。

3、ESP配置中的SPI和SA在两台IPsec网关设备的出入方向相反,需要注意。

以上就是手工方式建立保护IPv4报文的IPsec-ESP隧道的介绍,Vecloud除了IPsec组网外,还提供MPLS企业组网、SD-WAN网络专线、IPLC国际专线、IEPL海外专线等云专线业务。

免责声明:部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,是出于传递 更多信息之目的,并不意味着赞同其观点或证实其内容的真实性,请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:手工方式建立保护IPv4报文的IPsec-ESP隧道

TAG标签:

地址:http://www.vecloud.com.cn/zhishibaike/290.html

常见问题

  • Microsoft Teams海外会议共享演示PPT掉线怎么办?

    Microsoft Teams海外会议共享演示PPT掉线:Microsoft Teams视频会议国际版服务器在海外欧美等国家,主要原因是较差的Internet连接海外云服务器,音频和视频质量低,延迟。...

  • 什么是香港国际专线,为什么走香港呢

    为什么我们现在一说国际专线习惯性的说走香港呢?香港与国际专线有什么关联呢? 大陆与海外的网络访问通过香港的互联网的我们称之为香港国际专线,大陆到香港的局域网专线我们也

  • 回国带宽服务器有哪些优点?

    提到香港服务器,许多人印象中的第一反应是cn2服务器,访问速度很快,但实际上除了cn2,此外,还有一种回国带宽服务器,近年来也很受用户欢迎,用户也很多。那么租用回国带宽服务器有什么好处呢?具体如下:1

  • MPLS L3VPN是什么?

    MPLSL3VPN是什么?MPLSL3VPN组网方案该怎么架构?MPLSL3VPN是三层VPN,是MPLSVPN的一种。MPLSVPN是一种基于MPLS技术的IP-VPN,根据PE(ProviderE...

  • MPLS、SD-WAN、混合WAN这三者有什么不同

    我们一直在讨论使用Internet做为整体广域网(WAN)策略的一部分。但软件定义广域网(SD-WAN)与混合型广域网有何不同?企业通常通过MPLS等专用数据服务连接其分支机构。在使用Inte

  • 公司里的 webex视频会议经常卡顿怎么解决?

    国际版 Cisco webex视频会议卡顿一般是这几个原因造成。 1、企业办公计算机性能不足,造成打开缓慢;解决办法:重点升级计算机cpu和内存。 网 2、网络问题:由国外客户发起Cisco WebE

  • 游戏服务器总被DDoS攻击,到底是为什么?

    一直都说游戏是受DDoS攻击的重灾区,游戏行业确实是DDoS攻击的热门目标,而且现在海外DDoS攻击真的很强大。 在腾讯安全发布的一份报告中,其表明游戏行业仍是DDoS的首要攻击目标。

  • 在海外玩国内游戏网络卡,延迟高如何解决

    大部分国内游戏客户端游戏服务器放在国内,经常会遇到海外用户访问国内游戏服务器缓慢,导致用户体验下降,那如何可以加快游戏服务器的访问呢? 1、国际互联网加速方案 用户机房

  • 鱼龙混杂的海外IDC市场下,如何选择?

    现在香港和美国有那么多服务器。这是什么情况?香港和美国有那么多机房吗?起初,海外市场对大陆来说是很陌生的,资源利用率也不高,做的人也不多,所以会导致市场价格偏高,很多人想入驻其中分得一杯羹,导致从业人

  • idc哪家好?关键要看这些标准

    在过去的几年中,中国的创业形式可谓风起云涌,各类创客层出不穷,商业模式也发生了翻天覆地的变化,几乎涉及了传统经济与新经济的各个领域,而其中以互联网+最为火爆。主要原

  • 返回顶部