Ipsec调试
一、问题概述
某5G优享项目,为保证数据安全传输,客户预建立Ipsec传输隧道,在实施方案的设计过程中发现移动核心网侧只能配置Tunnel模式,而隧道客户侧深信服5GUPF下沉配置的是Acl模式,配置模式不匹配,因此不能建立传输隧道。(注:在5G UPF下沉建立IPSec隧道时只能使用tunnel模式)
二、内容分析
1、IPSec传输模式分为隧道模式和传输模式
(1)隧道模式适用于公网传输,采用隧道封装认证加密传输,数据包进入隧道会在数据包前添加一个新的报文头部来隐藏源IP地址,保证数据在隧道中安全传输。
(2)传输模式仅适用于两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯。在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。
2、隧道模式中保护数据流方式
1.基于ACL保护数据流;
2基于隧道tunnel方式保护数据流。
配置内容如下:
1.基于ACL保护数据流配置:
设备A配置
RouterA:
sysname RouterA
#配置ACL定义要保护的数据流
acl number 3101
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#IPSec安全提议第二阶段验证
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5 #ike的安全提议 第一阶段验证
encryption-algorithm aes-cbc-128
authentication-algorithm sha1
#
ike peer spub v1 #对等体配置
pre-shared-key cipher huawei
ike-proposal 5
remote-address 202.138.162.1 引用远端地址
#在tunnel中不用指定远端地址原因:引用隧道的目的地址
#
ipsec policy map1 10 isakmp
security acl 3101
ike-peer spub
proposal tran1
interface GigabitEthernet0/0/1
ip address 202.138.163.1 255.255.255.0
ipsec policy map1 #端口使能IPSec
#
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
#保证网络可达
ip route-static 202.138.162.0 255.255.255.0 202.138.163.2
ip route-static 10.1.2.0 255.255.255.0 202.138.163.2
#
return
设备B配置
sysname RouterB
#
acl number 3101
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer spua v1
pre-shared-key cipher huawei
remote-address 202.138.163.1
#
ipsec policy use1 10 isakmp
security acl 3101
ike-peer spua
proposal tran1
#
interface GigabitEthernet0/0/1
ip address 202.138.162.1 255.255.255.0
ipsec policy use1
#
interface GigabitEthernet0/0/0
ip address 10.1.2.1 255.255.255.0
#
ip route-static 202.138.163.0 255.255.255.0 202.138.162.2
ip route-static 10.1.1.0 255.255.255.0 202.138.162.2
#
return
2.基于tunnel保护数据流方式配置:
设备A配置
sysname RouterA
#
# IPSec安全提议。
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
# IKE安全提议。
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
#IKE对等体。
ike peer spub v2
pre-shared-key cipher huawei
ike-proposal 5
#
#配置安全框架。
ipsec profile profile1
ike-peer spub
proposal tran1
#
#接口上引用安全框架。
interface Tunnel0/0/0
ip address 192.168.1.1 255.255.255.0
tunnel-protocol ipsec
source 202.138.163.1
destination 202.138.162.1
ipsec profile profile1
#
interface GigabitEthernet1/0/0
ip address 202.138.163.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 10.1.1.1 255.255.255.0
#
ip route-static 202.138.162.0 255.255.255.0 202.138.163.2
ip route-static 10.1.2.0 255.255.255.0 tunnel0/0/0 #保护的数据流引入tunnel中
#
Return
设备B配置:
sysname RouterB
#
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
#
ike peer spua v2
pre-shared-key cipher huawei
ike-proposal 5
#
ipsec profile profile1
ike-peer spua
proposal tran1
#
interface Tunnel0/0/0
ip address 192.168.1.2 255.255.255.0
tunnel-protocol ipsec
source 202.138.162.1
destination 202.138.163.1
ipsec profile profile1
#
interface GigabitEthernet1/0/0
ip address 202.138.162.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 10.1.2.1 255.255.255.0
#
ip route-static 202.138.163.0 255.255.255.0 202.138.162.2
ip route-static 10.1.1.0 255.255.255.0 tunnel0/0/0
#
return
三、联调分析(以tunnel为例)
- 是否能到达网关:ping 网关进行测试
- 公网可不可达:联系分公司负责人或者核心网负责人询问测试是否可达
测试结果:可达完成。
- 隧道是否建立
Dis internet brief
- 隧道不通:检查Ipsec加密认证算法是否一致,配置中是否嵌套必须(ike prop/ipsec prop)配置
或者使用dis ipsec sa 查看基本配置
测试结果:成功建立完成。
- Ping测试对端隧道虚拟地址查看是否可通。
测试结果:Ping通完成。
- 新增地址是否能到服务器
查看是否有静态地址:
Dis this
- 联通成功
四、问题解决
在客户侧外添加一台路由器建立IPSec隧道使用tunnel模式保护数据流。新增路由器与深信服设备直连,实现数据安全传输。
1568
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
