IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道(上)

简介: IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道

前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案,但是我们也发现这种新技术对设备的能力有要求,成本可能会提升。那能不能用简单一点的方案呢?相信机智的小伙伴已经发现我前几天的IPsec的RFC文档,那么今天就用IPsec来操练一下吧。

实验原型借鉴H3C典型配置“采用手工方式建立保护IPv4报文的IPsec隧道”,https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983


组网需求


在RT1和RT2之间建立一条IPsec隧道,对PCA所在的子网(192.168.1.0/24)与PCB所在的子网(192.168.2.0/24)之间的数据流进行安全保护。具体要求如下:


封装形式为隧道模式。


安全协议采用ESP协议。


加密算法采用128位的AES,认证算法采用HMAC-SHA1。


手工方式建立IPsec SA。


组网图


1677228227711.jpg


设备配置


IPsec是一个基础实验,结合配置任务和RFC2401的要求我们可以发现,IPsec的主要配置任务包括以下几点:


1、配置IPsec保护的数据流量。一般也称为感兴趣流,用ACL来进行匹配;


2、配置IPsec安全提议。指定对IP报文的封装形式为传输模式或隧道模式,选择安全协议为AH或ESP、并配置加密算法及认证算法。


3、配置IPsec安全策略。包含配置应用感兴趣流,应用IPsec安全提议,指定IPsec隧道地址,配置安全协议的SPI(Security Parameter Index,安全参数索引)和SA(Security Association,安全联盟)密钥。


4、在接口上应用IPsec安全策略。


上面流程了解之后,直接贴出设备配置。


RT1

#
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/1
ip address 12.1.1.1 255.255.255.0
 nat outbound 3401
 ipsec apply policy ipsec
#
 ip route-static 23.1.1.0 24 12.1.1.2
 ip route-static 192.168.2.0 24 12.1.1.2
#
acl advanced 3400
 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
acl advanced 3401
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 5 permit ip
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec policy ipsec 10 manual
 transform-set tran1
 security acl 3400
 remote-address 23.1.1.3
sa spi inbound esp 123456
 sa string-key inbound esp simple qwer
 sa spi outbound esp 654321
 sa string-key outbound esp  simple asdf

RT2

#
interface GigabitEthernet0/0
 ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet0/1
 ip address 23.1.1.3 255.255.255.0
 nat outbound 3401
 ipsec apply policy ipsec
#
 ip route-static 12.1.1.0 24 23.1.1.2
 ip route-static 192.168.1.0 24 23.1.1.2
#
acl advanced 3400
 rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
acl advanced 3401
 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
 rule 5 permit ip
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec policy ipsec 10 manual
 transform-set tran1
 security acl 3400
 remote-address 12.1.1.1
 sa spi inbound esp 654321
 sa string-key inbound esp simple asdf
 sa spi outbound esp 123456
 sa string-key outbound esp simple qwer

RT-ISP

#
interface GigabitEthernet0/0
ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/1
ip address 23.1.1.2 255.255.255.0

验证配置


验证设备


查看RT1上IPsec安全策略的信息

display ipsec policy

1677228318779.jpg


相关文章
|
Shell 网络架构
|
3月前
|
监控 网络安全 网络虚拟化
在 Cisco 设备上配置 GRE 隧道
【8月更文挑战第31天】
77 0
在 Cisco 设备上配置 GRE 隧道
|
6月前
|
安全 算法 网络安全
IPSec VPN配置实验
IPSec VPN配置实验
128 7
|
6月前
|
网络协议
DHCP实验-动态主机配置协议
DHCP实验-动态主机配置协议
|
安全 算法 网络协议
【计算机网络】网络安全 : 网络层安全协议 ( IPsec 协议 | IPsec 协议族组成 | IP 安全数据报工作方式 | 安全关联 SA | SA 状态信息 | IP 安全数据报格式 )(一)
【计算机网络】网络安全 : 网络层安全协议 ( IPsec 协议 | IPsec 协议族组成 | IP 安全数据报工作方式 | 安全关联 SA | SA 状态信息 | IP 安全数据报格式 )(一)
537 0
【计算机网络】网络安全 : 网络层安全协议 ( IPsec 协议 | IPsec 协议族组成 | IP 安全数据报工作方式 | 安全关联 SA | SA 状态信息 | IP 安全数据报格式 )(一)
|
存储 网络协议 安全
IPv6 规范中的通用数据包隧道
本文档为 Internet 社区指定了 Internet 标准跟踪协议,并请求讨论和改进建议。本协议的标准化状态和现状请参考当前版本的《互联网官方协议标准》(STD 1)。本备忘录的分发不受限制。
296 0
IPv6 规范中的通用数据包隧道
|
安全 网络安全 网络虚拟化
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道(下)
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道(下)
|
网络协议 网络虚拟化 数据中心
VXLAN小实验:静态方式手工建立隧道
VXLAN小实验:静态方式手工建立隧道
VXLAN小实验:静态方式手工建立隧道
|
网络协议 网络架构
第四章TCP/IP网络层设备路由器
路由是指路由器从一个接口上收到数据包,根据数据包的目的地址进行定向并转发到另一个 接口的过程,路由通常与桥接来对比,路由工作包含两个基本的动作,一是确定最佳路径, 二是通过网络传输信息,路由分为静态路由和动态路由和直连路由三种来源
325 0
第四章TCP/IP网络层设备路由器
|
运维 网络协议 Shell
第四章 TCP/IP 网络层设备路由器
学习TCP/IP网络层设备路由器
137 0
第四章 TCP/IP 网络层设备路由器