VPP上利用IPSec加密Vxlan隧道实验

最新推荐文章于 2024-02-29 17:37:43 发布
最新推荐文章于 2024-02-29 17:37:43 发布
阅读量877 收藏
点赞数
分类专栏: 网络 文章标签: 网络 服务器 运维
原文链接:http://www.fuzhinet.com/article/get/23
版权

在HOST1上创建命名空间和接口

sudo ip netns add h1ns1
sudo ip link add h1ns1_veth1 type veth peer name veth1
sudo ip link set dev h1ns1_veth1 up netns h1ns1
sudo ip netns exec h1ns1 ip addr add 192.168.5.2/24 dev h1ns1_veth1
sudo ip netns exec h1ns1 ip link set dev lo up
sudo ip link set veth1 up
sudo ip netns exec h1ns1 ip route add default gw 192.168.5.1

sudo ip netns add h1ns2
sudo ip link add h1ns2_veth2 type veth peer name veth2
sudo ip link set dev h1ns2_veth2 up netns h1ns2
sudo ip netns exec h1ns2 ip addr add 192.168.6.2/24 dev h1ns2_veth2
sudo ip netns exec h1ns2 ip link set dev lo up
sudo ip link set veth2 up
sudo ip netns exec h1ns2 ip route add default via 192.168.6.1

配置启动器

set int ip addr enp0s3 192.168.51.105/24
set int state enp0s3 up

loopback create-interface
set interface state loop0 up
set interface ip address loop0 2.2.2.2/24

create host-interface name veth1
set interface ip addr host-veth1 192.168.5.1/24
set interface state host-veth1 up

ikev2 profile add pr1
ikev2 profile set pr1 auth shared-key-mic string Vpp123
ikev2 profile set pr1 id local ip4-addr 2.2.2.2
ikev2 profile set pr1 id remote ip4-addr 6.6.6.6
ikev2 profile set pr1 traffic-selector remote ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
ikev2 profile set pr1 traffic-selector local ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
ikev2 profile set pr1 responder loop0 6.6.6.6
ikev2 profile set pr1 ike-crypto-alg aes-gcm-16 256 ike-dh modp-2048
ikev2 profile set pr1 esp-crypto-alg aes-gcm-16 256
create ipip tunnel src 2.2.2.2 dst 6.6.6.6
ikev2 profile set pr1 tunnel ipip0
set interface unnumbered ipip0 use enp0s3
ip route add 6.6.6.6/24 via 192.168.51.205

loopback create-interface
set interface state loop1 up
set interface ip address loop1 3.3.3.3/24

create host-interface name veth2
set interface ip addr host-veth2 192.168.6.1/24
set interface state host-veth2 up

ikev2 profile add pr2
ikev2 profile set pr2 auth shared-key-mic string Vpp123
ikev2 profile set pr2 id local ip4-addr 3.3.3.3
ikev2 profile set pr2 id remote ip4-addr 7.7.7.7
ikev2 profile set pr2 traffic-selector remote ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
ikev2 profile set pr2 traffic-selector local ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
ikev2 profile set pr2 responder loop1 7.7.7.7
ikev2 profile set pr2 ike-crypto-alg aes-gcm-16 256 ike-dh modp-2048
ikev2 profile set pr2 esp-crypto-alg aes-gcm-16 256
create ipip tunnel src 3.3.3.3 dst 7.7.7.7
ikev2 profile set pr2 tunnel ipip1
set interface unnumbered ipip1 use enp0s3
ip route add 7.7.7.7/24 via 192.168.51.205

在HOST2上创建命名空间和接口

sudo ip netns add h2ns1
sudo ip link add h2ns1_veth1 type veth peer name veth1
sudo ip link set dev h2ns1_veth1 up netns h2ns1
sudo ip netns exec h2ns1 ip addr add 192.168.3.2/24 dev h2ns1_veth1
sudo ip netns exec h2ns1 ip link set dev lo up
sudo ip link set veth1 up
sudo ip netns exec h2ns1 ip route add default via 192.168.3.1

sudo ip netns add h2ns2
sudo ip link add h2ns2_veth2 type veth peer name veth2
sudo ip link set dev h2ns2_veth2 up netns h2ns2
sudo ip netns exec h2ns2 ip addr add 192.168.4.2/24 dev h2ns2_veth2
sudo ip netns exec h2ns2 ip link set dev lo up
sudo ip link set veth2 up
sudo ip netns exec h2ns2 ip route add default via 192.168.4.1

配置响应者

set int ip addr enp0s3 192.168.51.205/24
set int state enp0s3 up

loopback create-interface
set interface state loop0 up
set interface ip address loop0 6.6.6.6/24

create host-interface name veth1
set interface ip addr host-veth1 192.168.3.1/24
set interface state host-veth1 up

ikev2 profile add pr1
ikev2 profile set pr1 auth shared-key-mic string Vpp123
ikev2 profile set pr1 id local ip4-addr 6.6.6.6
ikev2 profile set pr1 id remote ip4-addr 2.2.2.2
ikev2 profile set pr1 traffic-selector local ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
ikev2 profile set pr1 traffic-selector remote ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
create ipip tunnel src 6.6.6.6 dst 2.2.2.2
ikev2 profile set pr1 tunnel ipip0
set interface unnumbered ipip0 use enp0s3
ip route add 2.2.2.2/24 via 192.168.51.105

loopback create-interface
set interface state loop1 up
set interface ip address loop1 7.7.7.7/24

create host-interface name veth2
set interface ip addr host-veth2 192.168.4.1/24
set interface state host-veth2 up

ikev2 profile add pr2
ikev2 profile set pr2 auth shared-key-mic string Vpp123
ikev2 profile set pr2 id local ip4-addr 7.7.7.7
ikev2 profile set pr2 id remote ip4-addr 3.3.3.3
ikev2 profile set pr2 traffic-selector local ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
ikev2 profile set pr2 traffic-selector remote ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
create ipip tunnel src 7.7.7.7 dst 3.3.3.3
ikev2 profile set pr2 tunnel ipip1
set interface unnumbered ipip1 use enp0s3
ip route add 3.3.3.3/24 via 192.168.51.105

发起IPSec协商请求,指定需要协商的的IPSec配置

ikev2 initiate sa-init pr1
ikev2 initiate sa-init pr2

在VPP1中配置Loop2作为VXLAN隧道端口

loopback create-interface
set interface state loop2 up
set interface ip address loop2 4.4.4.4/24
ip route add 8.8.8.8/24 via 6.6.6.6

在VPP2中配置Loop2作为VXLAN隧道端口

loopback create-interface
set interface state loop2 up
set interface ip address loop2 8.8.8.8/24
ip route add 4.4.4.4/32 via 2.2.2.2

VPP1上构建VXLAN隧道

create bridge-domain 11 learn 1 forward 1 uu-flood 1 flood 1 arp-term 0
create vxlan tunnel src 4.4.4.4 dst 8.8.8.8 vni 11 decap-next l2
set interface l2 bridge vxlan_tunnel0 11
loopback create mac 1a:2b:3c:4d:5e:6f
set interface l2 bridge loop3 11 bvi
set interface state loop3 up
set interface l2 bridge host-veth1 11

VPP2上构建VXLAN隧道

create bridge-domain 11 learn 1 forward 1 uu-flood 1 flood 1 arp-term 0
create vxlan tunnel src 8.8.8.8 dst 4.4.4.4 vni 11 decap-next l2
set interface l2 bridge vxlan_tunnel0 11
loopback create mac a1:b2:c3:d4:e5:f6
set interface l2 bridge loop3 11 bvi
set interface state loop3 up
set interface l2 bridge host-veth1 11

原文

阿黄Ahuang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在虚拟机上编译、安装和运行VPP
12-24
如何在虚拟机上编译、安装和运行VPP
VPP配置指南:基于IKEv2的IPsec VPN
衡水铁头哥的博客
01-03 1624
正文共:1024 字 13 图,预估阅读时间:1 分钟现在,我们已经能够熟练地部署VPP了(不用半小时,最快8分钟即可在CentOS上完成VPP的部署),而且已经能够满足基本的转发要求,那今天我们就来介绍一下VPP如何配置IPsec VPN。前面,我们已经讲了几十篇和VPN相关的文章了,有需要的小伙伴请参考合集(VPN合集)。简单回顾一下,IPsec(IP Security,IP安全)是IETF制...
VPP学习之配置VXLAN隧道
最新发布
wjj970802的博客
02-29 1035
VXLAN完美地弥补了VLAN的上述不足,一方面通过VXLAN中的24比特VNI字段,提供多达16M租户的标识能力,远大于VLAN的4000;VPP中的VTEP(VXLAN Tunnel End Points,VXLAN隧道端点)设备就是VPP,VTEP是在创建VXLAN隧道时指定的,每个VXLAN隧道的源IP地址和目标IP地址就是本地服务器VTEP地址和目标服务器VTEP地址。的工作模型,它创建在原来的 IP 网络(L3层)上,只要是三层可达(能够通过 IP 相互通信)的网络就能部署。
strongswan与vpp实现ipsec
a363344923的专栏
04-09 7115
文章目录@[toc]1、strongswan+vpp简介strongswan与vpp如何结合已有的开源项目简介作者matfabia作者mestery作者rayshi-102、基于rayshi-10的代码和strongswan最新release5.8.3进行修改下载源码替换文件注意dnssec_status_t的修改修改PUNT read socket path3、编译项目下载依赖编译vpp编译s...
Cisco VPP vxlan tunnel
迷失的专栏
08-18 4167
拓扑环境 目的: 使用vxlan隧道连接两个主机,实现每个主机的内部网络可以通过vxlan隧道进行通信。 host1内部运行vpp和一个网络命名空间APP1。网络命令空间APP1模拟host1端的内部网络,里面有一个网络接口veth_vpp1,这个接口与vpp之间使用veth方式连接,当vpp里面的host-APP1接口收到数据包后就会发送到网络命名空间的veth_vpp1接口。host1...
FD.IO-VPP研究及使用七(使用TRex测试vpp隧道性能)
weixin_40815457的博客
01-25 5195
硬件:Intel® Atom™ CPU C3758 @ 2.20GHz, 4G内存, 4核,1G网卡 软件:ubuntu16.04, vpp18.10 TRex双向线速发64字节的小包。 测试二层报文 拓扑如下: 待测vpp设备配置: startup.conf cpu { main-core 1 corelist-workers 0,2,3 } vppctl...
记录在两台VPP打通vxlan隧道遇到的网卡状态error问题
Jonsephhy的博客
05-26 396
项目场景: VxLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)技术很好地解决了现有VLAN技术无法满足大二层网络需求的问题。VxLAN技术是一种大二层的虚拟网络技术,主要原理是引入一个UDP格式的外层隧道作为数据链路层,而原有数据报文内容作为隧道净荷加以传输。由于外层采用了UDP作为传输手段,净荷数据可以轻松地在二三层网络中传送。VxLAN已成为业界主流的虚拟网络技术之一,IETF正在制定相关标准。 问题描述 PC1和vpp1的GE1网卡相连,PC2和
同步异步你说了算:VPP 的异步Crypto框架
weixin_37097605的博客
11-18 788
点击上方蓝字关注我们吧VPP的crypto框架是VPP原生的一套数据加解密框架,其目的是为VPP框架中所有Graph node提供数据加密服务。VPP的Crypto框架包含一套为Grap...
VPP源码和在VVP上编写示例插件实例
06-09
VPP源码和在VVP上编写示例插件实例
FDIO VPP开发基础知识手册中文版
09-22
VPP开发的基础知识
Vpp session层代码详解.pdf
09-19
Vpp session层代码解析,包括vpp与其他进程的交互、session的建立和管理
dBm和Vpp转换小工具
03-21
特色: 实现单位的自动转换: 比如:50dBm对应200.00Vpp; -10dBm对应200.00mVpp; -70dBm对应200.02uVpp
vxlanIPsec结合使用
xingyeping的博客
05-09 6880
一、使用IPsec封装Vxlan报文 如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道加密报文。配置如下: 创建VM1的手工SA:  ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth
一种基于IPsecVXLAN“专线”解决方案
衡水铁头哥的博客
02-16 419
正文共:888 字 14 图,预估阅读时间:1 分钟我们前面曾经做过一个小实验VXLAN实验:降本增效,将MV互联网专线伪装成数字电路),那就是将互联网专线伪装成数字电路。实现的方案就是将具有公网IP地址的设备作为VXLAN的VTEP,采用VXLAN头端复制的方式,实现两端互联IP的直接通信。从上次的测试结果来看,传输带宽基本可以跑满,并且VXLAN封装对业务几乎无感知。但是受互联网传输的影响...
dpdk结合sriov测试vpp ipsec性能
lingshengxiyou的博客
11-24 1036
既然veth pair不好用,那就用物理网卡,但卡又不够用,外面交换机又不受控制,突然想到了sriov,多虚出来几个物理网卡。vpp另一个网卡本来想直接用整个物理网卡,但是结果用着用着就莫名其妙NO-CARRIER了,提示没有接网线,原因不明,reboot物理机就好了,试着用vf就没再碰到这个问题。测试结果300s的数据,测试了vpp三层转发,用openssl的ipsec和用dpdk mb crypto的ipsec,分别是5Mpps,1.4Mpps和1.2Mpps。领取,关注我持续更新哦!
ovs vxlan 时延和吞吐//ovs vxlan实现代码分析
lingshengxiyou的博客
03-29 418
设计云时到底要不要用vxlan,如果用vxlan到底要不要购买比较贵的smart nic做offload,采用软件vxlan还是硬件交换机vxlan,很难决策,这儿简单测试一下,给个参考,资源终究是有限的,成本还是有考虑的,了解清楚云上业务再做决策。
FD.IO-VPP研究及使用五 (隧道环境搭建)
weixin_40815457的博客
01-25 4105
搭建IPSEC vpn vpp搭建IPSEC 有两种方式: 1,使用create ipsec tunnel方式 2,使用发起者响应者模式(ikev2) 1、使用ikev2配置ipsec 拓扑如下: //#发起者配置: set int state GigabitEthernet4/0/2 up set int ip address GigabitEthernet4/0/2 ...
VPPVPP CLI 命令
zhonglinzhang
09-30 8417
VPP/Command-line Interface (CLI) Guide 参考:https://wiki.fd.io/view/VPP/Command-line_Interface_(CLI)_Guide
vpp plugin
07-28
通过使用VPP插件,开发者可以利用硬件加速的优势,实现高性能的视频处理。VPP插件支持多种视频格式和编解码器,同时还提供了一些常用的视频处理算法和滤镜,如降噪、去隔行、缩放、旋转等。 要使用VPP插件,首先...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值