SD-WAN网络中的IPsec流量是怎么转发的?我给你简单演示一下

最新推荐文章于 2024-05-01 23:03:56 发布
最新推荐文章于 2024-05-01 23:03:56 发布
阅读量789 收藏 21
点赞数 15
文章标签: 网络 智能路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136726342
版权

3ceeea7201ee84077bdc9649e710a264.gif

正文共:3707 字 11 图,预估阅读时间:10 分钟

实际应用场景中,如果和SD-WAN结合起来,很少会使用这种两端直连的场景IKE主模式及预共享密钥认证配置。或者说,两个子网的互通可能是通过第三台设备来实现的。举例说明一下,上次的实验中,RTB和RTC是直接建立的IPsec隧道,而实际应用中,有可能是RTA和RTB、RTC之间分别建立IPsec隧道,再实现RTB和RTC两台设备下挂子网的互通。

488078a012586b54c9e14bd2b3732a63.png

组网需求

953d8c473c522519b9878b6cdafae129.png

某SD-WAN使用场景,组网使用3台路由器。图中RTA为总部设备,RTB、RTC为分支设备,RTA和RTB、RTC之间分别建立IPsec隧道,对PCB所在的子网(10.1.1.0/24)与PCC所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下:

· 封装形式为隧道模式。

· 安全协议采用ESP协议。

· 加密算法采用128比特的AES,认证算法采用HMAC-SHA1。

· IKE协商方式建立IPsec SA。

cba95393b45bfbd0219dfb6e16721915.png

组网图

70e7bbc2e47b6dd7ff40edfc89c107d5.png

采用IKE方式建立保护IPv4报文的IPsec隧道。

ea76ba9a37ba66bdc255db04c33bf978.png

52f2ca6d513bd6b0ca2d92be94693da5.png

配置步骤

5a24fd9a6dd2af21047fb44ce84a506c.png

d2427528d6606a4b767282ad53b7fb11.png

配置思路

RTB和RTC和RTA建立IPsec隧道时,保护的数据流和上次是一样的,都是两端的私网地址。不同的是,两端私网的互访流量会在RTA上解封装,这样一来,RTA上就要增加到两端内网的路由信息。

这么一来,配置是不是就清晰了,直接上配置。

898c445bf04691a37e5a46c01d405237.png

配置RTA

#
sysname RTA
#
interface GigabitEthernet0/0
 ip address 12.1.1.1 255.255.255.0
 ipsec apply policy map2
#
interface GigabitEthernet0/1
 ip address 13.1.1.1 255.255.255.0
 ipsec apply policy map3
#
ip route-static 10.1.1.0 24 12.1.1.2
ip route-static 10.1.2.0 24 13.1.1.3
#
acl advanced 3401
 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec policy map2 10 isakmp
 transform-set tran1
 security acl 3401
 local-address 12.1.1.1
 remote-address 12.1.1.2
 ike-profile pro2
#
ipsec policy map3 10 isakmp
 transform-set tran1
 security acl 3401
 local-address 13.1.1.1
 remote-address 13.1.1.3
 ike-profile pro3
#
ike profile pro2
 keychain key2
 match remote identity address 12.1.1.2 255.255.255.0
#
ike profile pro3
 keychain key3
 match remote identity address 13.1.1.3 255.255.255.0
#
ike keychain key2
 pre-shared-key address 12.1.1.2 255.255.255.0 key simple qwe123
#
ike keychain key3
 pre-shared-key address 13.1.1.3 255.255.255.0 key simple qwe123

f290bbcf217a650c18b16da995d0de61.png

配置RTB

#
sysname RTB
#
interface GigabitEthernet0/0
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
 ip address 12.1.1.2 255.255.255.0
 ipsec apply policy map1
#
ip route-static 10.1.2.0 24 12.1.1.1
ip route-static 13.1.1.0 24 12.1.1.1
#
acl advanced 3401
 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp
 transform-set tran1
 security acl 3401
 local-address 12.1.1.2
 remote-address 12.1.1.1
 ike-profile pro1
#
ike profile pro1
 keychain key1
 match remote identity address 12.1.1.1 255.255.255.0
#
ike keychain key1
 pre-shared-key address 12.1.1.1 255.255.255.0 key simple qwe123

a12e9ec804a0a2160c9790cad9223057.png

配置RTC

#
sysname RTC
#
interface GigabitEthernet0/0
 ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet0/1
 ip address 13.1.1.3 255.255.255.0
 ipsec apply policy map1
#
ip route-static 10.1.1.0 24 13.1.1.1
ip route-static 12.1.1.0 24 13.1.1.1
#
acl advanced 3401
 rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp
 transform-set tran1
 security acl 3401
 local-address 13.1.1.3
 remote-address 13.1.1.1
 ike-profile pro1
#
ike profile pro1
 keychain key1
 match remote identity address 13.1.1.1 255.255.255.0
#
ike keychain key1
 pre-shared-key address 13.1.1.1 255.255.255.0 key simple qwe123

e2f5b7413b5a845ef29a2235c2990d48.png

验证配置

b9a48341752b11fe977d19ecaa1db4f1.png

以上配置完成后,使用10.1.2.2主动访问10.1.1.2,来触发IKE进行IPsec SA的协商。

9d08f0b640534957ac64f9357ef87219.png

IKE成功协商出IPsec SA后,子网10.1.1.0/24与子网10.1.2.0/24之间数据流的传输将受到IPsec SA的保护。

可通过命令查看到RTA的IKE提议信息。

a0518878d20255e32d408cb12132d227.png

可通过命令查看到RTA上IKE第一阶段协商成功后生成的IKE SA信息。

d09c5da60785efa0f9f34cecbb4eda6b.png

如果带上verbose,可以看到更多的详细信息。

38180a3073efa7984db08d92c22f98d1.png

和上次不同,我们可以看到RTA既是发起者又是响应者。我发起访问的流量是从RTC过来的,所以对于RTA来讲,RTC是发起者,RTA是响应者;当流量去往RTB时,RTA对于RTB来讲就又是发起者了。

同样的,两段IKE SA中本地和对端的端口号都是500,也能看到1阶段的交换模式是主模式。

通过命令查看到协商生成的IPsec SA。

display ipsec sa

151d99ed2e8680c18b572aff6bec1e86.png

上面是RTA和RTB之间的SA,下面是RTA和RTC之间的SA。

dafabe4fa42aa1bbfba6faee8f0562ce.png

可以看到,这次PCB和PCC之间的互访是经过了两段隧道。我们在RTA上debug一下PING报文。

50895610648bb8d1afd68c0b8a117e85.png

竟然没有显示,也看不到会话表项。

难道不会进内核?那是不是不需要配置RTA到两端内网的明细路由?删掉相关配置试一下。

7965ba56ea4bbb688b40de70a0bc19d6.png

删掉路由之后,两端就不通了,恢复配置就正常,证明路由确实是有必要的。

好吧,我忘了debug看不到过路的ICMP报文了。

但是通过ACL的匹配次数,可以看到报文确实是一进一出的。(差的5次是删掉路由之后没通的5个)

b5b6633c74be72c2459af7015b527e38.png

查看SA建立过程,抓包截图如下:

39b1c908d5406ec7f7942c4b613ad4aa.png

OK,没有问题。

你知道SD-WAN是怎么工作的了不?

85cc6509d6968ff0b002cc8eeafdfb4e.gif

长按二维码
关注我们吧

05d6b8e87a79eea576b644171f393efc.jpeg

951b604568455befb7f873dcea90e977.png

MD5 消息摘要算法

IKE主模式及预共享密钥认证配置

立冬了,去颐和园看2021年的第一场雪

IKE:互联网密钥交换

配合DHCP实验讲解一下DHCP考题

IKE中NAT-Traversal的协商

Danileaf_Guo
关注
  • 15
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SD-WAN流量及路由模型
02-24
SD-WAN定义(百科)SD-WAN定义(自我理解)一种使用软件定义技术保障WAN侧的通信质量,使用Overlay技术打通企业私有网络,以提速降成本为目标。实现重点包括可视化运维、轻部署、易扩展,多以虚拟化、服务化【组件化】对外体现。管理面定义:用户视角来管理和控制SD-WAN网络。根据定义,管理面流量分为两个部分:监控管理和业务控制(按理划分到控制面较为合适,但业务控制器用户存在一定的参与,并且与EMS处于相同层次)。监控管理:负责网络监测和控制,监测包括流量统计、计费管理、线路状态、设备使用率、日志等;控制包括入网授权、设备升级等。分为在线监控和离线控制,前者为设备正常运维部分,通常使用N
Vmware Velocloud SD-WAN三大组件部署官方文档
06-16
Vmware Velocloud SD-WAN三大组件部署官方文档
CCIE EI SD-WAN
03-22
│ 01-SDW-L1_01-SD-WAN简介及思科SD-WAN.mp4 网盘文件永久连接 │ 02-SDW-L1_02 SD-WAN部署.mp4 │ 03-SDW-L1-03 OMP协议讲解.mp4 │ 04-SDW-L1_04-SD-WAN数据及分段.mp4 │ 05-SD-WAN ZTP 与 Template.mp4 │ 06-SD-WAN Policy 1.mp4 │ 07-SD-WAN Policy 2.mp4 │ 08-SD-WAN Policy 3.mp4 │ 09-SD-WAN AAR.mp4 │ 10-SD-WAN ZBFW与HA.mp4 └ 11-07-SD-WAN vAnalytics 与 Clo.mp4
HCIP-Datacom-SD-WAN Planning and Deployment H12-871 教材V1.0.zip
04-05
目录 1.企业网络广域互联概述 2.企业网络广域互联场景与技术应用 3.GRE技术 4.技术 5.原理与配置 6.QoS技术 7.HA技术 8.多业务网关 9.管理与运维 10.SD-WAN解决方案技术概述 11.SD-WAN开局 12.SD-WAN灵活组网 13.SD-WAN应用体验优化 14.SD-WAN安全加固 15.SD-WAN智能运维 16.SD-WAN设计实践(金融场景)
HCIP-Datacom-SD-WAN Planning and Deployment V1.0文档.zip
03-15
HCIP-Datacom-SD-WAN Planning and Deployment V1.0 考试大纲.培训教材.实验手册及版本说明
教程篇(6.4) 07. 自动发现 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
防火墙技术专栏
07-14 1455
在这节课,你将学习自动发现VPN (ADVPN)。 完成本课程后,你应该能够实现在这张幻灯片上显示的目标。   通过演示ADVPN的能力,你将能够配置ADVPN,排除ADVPN故障,并理解SD-WAN对ADVPN的支持。 为什么要使用ADVPN?为了找到答案,你将回顾最常见的VPN拓扑。   一个点到多拓扑变化称为心辐射。正如它的名字所描述的,所有的客户连接通过一个心轮毂,类似辐条连接到轮毂上的方式。   在本幻灯片所示的示例,每个客户端辐条都是一个分支机构Forti...
教程篇(6.4) 05. 集成 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
防火墙技术专栏
07-12 854
在本节课,你将学习有关FortiManager基础知识、SD-WAN管理器、VPN管理器、零接触配置和SD-WAN协调器。 完成此部分后,你应该能够实现此幻灯片上显示的目标。   通过展示理解FortiManager关键特性的能力,你将能够在你的网络有效地使用这些特性。 什么时候应该在网络使用FortiManager ?   在大型企业和托管安全服务提供商(MSSP)网络的规模带来了小型网络不具备的挑战:大规模供应;调度配置更改的推出;以及维护、跟踪和审计许多更改。 ...
Cisco Viptela SD-WAN 基本部署
Alex的博客
09-11 4452
SD-WAN 解决了​​当前的 IT 挑战。这种新的网络连接方法可以降低运营成本并提高多站点部署的资源使用率。网络管理员可以更有效地使用带宽,并可以帮助确保关键应用程序的高性能水平,而不会牺牲安全性或数据隐私。
Cisco Viptela SD-WAN实验
热门推荐
风云刀的CSDN博客
03-05 1万+
前段时间一直再看思科的SD-WAN介绍,都是基于胶片。想找个环境来具体实验下,查看很多资料都是基于官网文档,看起来确实很吃力。只能摸索这做个“简单”的实验,后续的实验慢慢研究,此文做了个记录。 实验目的 将Site1个Site2两路由的环回口1.1.1.1和2.2.2.2之间能正常通信。 其实这么“简单”的一件小事需要费一些周折。。。 本次实验将分为四个部分 1,vManage、vBond、vSm......
网络安全与密码学
weixin_61074128的博客
04-27 1304
一、密码学是一门研究信息安全保密的学科,主要涉及对信息进行加密、解密以及相关的安全技术和理论。它通过使用各种加密算法和技术,将明文信息转换为密文,以确保信息在传输和存储过程的保密性、完整性和真实性。密码学在通信、电子商务、金融、军事等领域都有着广泛的应用。密码学包括对称加密、非对称加密、哈希函数、数字签名等重要内容。同时,密码学也在不断发展和创新,以应对不断变化的安全挑战。大家要注意的是我们平时用来认证身份的密码(passwd)翻译成口令更准确。
SD-WAN怎样保障网络稳定
TIANGEKUAJING的博客
04-25 581
随着企业网络的日益复杂,如何确保线路的稳定性和高效性成为了网络管理的一大挑战。尤其是在线路出现故障、质量下降或拥塞时,如何快速响应并切换到最佳线路,就显得尤为重要。SD-WAN,作为一种新型的网络架构,为用户提供了灵活应对各种网络问题的能力。
实战对抗DDoS攻击
NSME1的博客
04-26 1048
对DDoS的深入理解才能更好的做防护
大模型引领未来:探索其在多个领域的深度应用与无限可能【第七章、大模型在科技、网络安全、农业等方面的应用探索】
今晚打老虎的专栏
05-01 252
大型模型在科技、网络安全和农业领域的应用持续演进。在科技,它们加速了天文学和科学研究的进展。在网络安全领域,大模型提高了网络威胁检测和应对的效率。而在农业,它们帮助农民做出精准决策,优化产量和质量。这些应用展示了大模型在不同领域的广泛用途,为各行业带来新的发展机遇。
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 263
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
Wireshark使用Lua脚本解析报文
文石_2009的博客
04-25 688
Wireshark ,Lua
黑马 - websocket搭建在线聊天室
最新发布
白羊座的橙子
05-01 329
websocket对象创建websocket对象相关事件websocket 对象提供的方法## 2、服务端apiTomcat 的7.0.5版本开始支持 websocket , 并且实现了Java websocket 规范。Java websocket 应用由一系列的 Endpoint组成。Endpoint 是一个java对象,代表websocket连接的一段。对于服务端,我们可以视其为处理具体websocket消息的接口。
解决主机有网络但虚拟机没网络连接问题----记录
Iamsonice的博客
04-27 558
发现只有lo本地回环网卡ip并没有真实网卡IP。
思科防火墙配置SD-WAN
01-04
2. 配置SD-WAN的传输网络: - 配置SD-WAN的传输链路,包括物理接口和虚拟接口。 - 配置SD-WAN的链路属性,如带宽、延迟和丢包率。 - 配置SD-WAN的链路优先级和故障转移策略。 3. 配置SD-WAN的安全策略: - 配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值