使用IKE建立保护IPv6报文的IPsec隧道

于 2024-09-05 22:08:52 发布
阅读量573 收藏 4
点赞数 6
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/141948457
版权

2148cbf205a8e6cdea37af8f2108feaa.gif

正文共:999 字 11 图,预估阅读时间:1 分钟

前面我们介绍了IPv4向IPv6过渡阶段的两种应用场景,分别是GRE over IPv6/ IPv4 over IPv6配置GRE over IPv6隧道、IPv6 over IPv4配置IPv6 over IPv4的手动隧道和自动隧道,通过抓包我们可以看到,这两种封装方式对业务报文没有任何保护,毫无安全性可言。如果我们想提高安全性,类似于IPsec over GRE,我们配置了IPsec over GRE over IPv6IPsec over GRE over IPv6配置案例

那IPsec支持保护IPv6网络吗?我们今天试试使用IKE建立保护IPv6报文的IPsec隧道。

组网图如下所示,VSR1和VSR3分别连接两个IPv6内网,且通过IPv6网络进行互通。

31d73370cd4cf8af1365a923e18211fc.png

我们需要在VSR1和VSR3之间建立一条IPsec隧道,保护PCA与PCB所在的两个IPv6子网之间的互访数据流。

首先,各设备的基础配置如下。

dde1ac0bc408a266bb2290ebba82ef92.png

VSR1

#
interface GigabitEthernet1/0
 ipv6 address 11::1/64
#
interface GigabitEthernet2/0
 ipv6 address 12::1/64
#
ipv6 route-static 23:: 64 12::2

ae085a8ec4739edf8168bc98cf6a0892.png

VSR2

#
interface GigabitEthernet1/0
 ipv6 address 12::2/64
#
interface GigabitEthernet2/0
 ipv6 address 23::2/64

5c799c12ab883958cf63ac262b4b85d9.png

VSR3

#
interface GigabitEthernet1/0
 ipv6 address 33::1/64
#
interface GigabitEthernet2/0
 ipv6 address 23::3/64
#
ipv6 route-static 12:: 64 23::2

接下来,我们参考IPv4的IPsec配置方式IKE主模式及预共享密钥认证配置,配置一下IPv6的IPsec隧道。

首先,我们在设备VSR1上创建IKE keychain,名称为ipv6,配置使用的预共享密钥为明文ipv6。与IPv4相比,对端的身份标识调整为IPv6地址即可。

#
ike keychain ipv6
 pre-shared-key address ipv6 23::3 128 key simple ipv6

91070cdf1650d2f1041e4e64f2d76fa3.png

创建并配置名为ipv6的IKE profile,与IPv4相比,同样需要将对端的身份标识调整为IPv6地址。

#
ike profile ipv6
 keychain ipv6
 match remote identity address ipv6 23::3 128

0b3e9b664a5f2fa298f48b0950ddf713.png

配置到达PCB所在子网的静态路由。

#
ipv6 route-static 33:: 64 12::2

配置一个IPv6高级ACL,定义要保护由子网11::/64去往子网33::/64的数据流。

#
acl ipv6 advanced 3666
 rule 0 permit ipv6 source 11::/64 destination 33::/64

e7fd785c3106f022f288739f68c25e7c.png

创建IPsec安全提议ipv6,安全协议对IPv6报文的封装形式默认为隧道模式,采用的安全协议默认为ESP;配置ESP协议采用的加密算法为128比特的AES,认证算法为SHA1。此部分与IPv4配置一致。

#
ipsec transform-set ipv6
 encapsulation-mode tunnel
 protocol esp
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1

cdb62aa3cd9397c066b30ecb00e11742.png

创建一条IKE协商方式的IPsec安全策略,名称为ipv6,序列号为10。指定引用ACL 3666,引用安全提议为ipv6,引用的IKE profile为ipv6;指定IPsec隧道的本端IP地址为12.1.1.2,对端IP地址为13.1.1.3。

#
ipsec ipv6-policy ipv6 10 isakmp
 transform-set ipv6
 security acl ipv6 3666
 local-address ipv6 12::1
 remote-address ipv6 23::3
 ike-profile ipv6

6f2b8f7018aa777ad9abfce2edc1709d.png

在接口G2/0上应用安全策略ipv6。

#
interface GigabitEthernet2/0
 ipsec apply ipv6-policy ipv6

2fcd068622ca99906ad7c4bbcb7fa208.png

参考VSR1的配置,我们完成VSR3的配置,配置如下:

#
ike keychain ipv6
 pre-shared-key address ipv6 12::1 128 key simple ipv6
#
ike profile ipv6
 keychain ipv6
 match remote identity address ipv6 12::1 128
#
ipv6 route-static 11:: 64 23::2
#
acl ipv6 advanced 3666
 rule 0 permit ipv6 source 33::/64 destination 11::/64
#
ipsec transform-set ipv6
 encapsulation-mode tunnel
 protocol esp
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec ipv6-policy ipv6 10 isakmp
 transform-set ipv6
 security acl ipv6 3666
 local-address ipv6 23::3
 remote-address ipv6 12::1
 ike-profile ipv6
#
interface GigabitEthernet2/0
 ipsec apply ipv6-policy ipv6

95e7677f9f11560ff3568b1973be638a.png

然后,我们在PCA上ping测PCB触发IPsec协商。

f1ac0b531eab584e4c822ac926d1449f.png

跟IPv4的现象一样,也是先丢一个包,用于触发协商,之后业务正常转发。

抓包查看协商过程。

101804eeade5608e5bd341b5d6e684db.png

可以看到,协商过程与IPv4完全一致,先是使用公钥加密进行身份验证,然后进入快速模式,之后对报文进行加密转发,加密后的报文仅能看到报文头信息,ESP封装之后数据非常安全。

查看SA状态的命令与IPv4也保持完全一致。

542f8cc8e54d17ab6c8542a45e1daea4.png

于此可见,IPv6的IPsec隧道与IPv4相比,主要就是底层承载网络的差异,需要将配置中的IPv4相关配置全部替换为IPv6信息,其他几乎没有差异,难度很低。

603801a813ae007b7fe8ea4a05008bbc.gif

长按二维码
关注我们吧

f37e8f5ad0637cfd101df99933d33b08.jpeg

18b910b29efa0f53f1e1286b12ccc05e.png

配置PPPoEv6服务器为终端分配IPv6地址

企业路由器配置IPv6家用宽带的PPPoE拨号示例

H3C MSR NAT66配置指北

配置GRE over IPv6隧道

IPsec over GRE over IPv6配置案例

使用ddns-go实现自动配置IPv6的DDNS

Android手机安装Kali系统并配置ddns-go

配置IPv6 over IPv4的手动隧道和自动隧道

配置strongSwan和H3C VSR的IPsec对接案例

strongSwan穿越NAT与公网VSR对接IPsec配置案例

PPPoE Server通过DHCP为用户分配IPv4地址

在Ubuntu系统手撸一个自动创建SSL证书的SHELL脚本

在Ubuntu系统手撸一个自动搭建openVPN服务端的SHELL脚本

Danileaf_Guo
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
浅谈IPsecIKEIKEv2的基本原理
网络技术联盟站
07-30 3335
使用PFS特性后,IKE第二阶段协商过程中会增加一次DH交换,使得IKE SA的密钥和IPsec SA的密钥之间没有派生关系,即使IKE SA的其中一个密钥被破解,也不会影响它协商出的其它密钥的安全性。由于IPsec的密钥交换机制仅适用于两点之间的通信保护,在广播网络一对多的情形下,IPsec无法实现自动交换密钥,同样,由于广播网络一对多的特性,要求各设备对于接收、发送的报文使用相同的SA参数(相同的SPI及密钥),因此该方式下必须手工配置用来保护IPv6路由协议报文IPsec SA。
基于VTI隧道接口IPv4封装IPv6报文IPSec实现
redwingz的博客
12-02 1281
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti-ip6-in-ip4/中的测试环境,来看一下基于路由和VTI接口的IPv4封装IPv6报文的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.con...
IPSec隧道配置案例(手动模式)
热门推荐
LiBai'S BLOG
04-08 1万+
IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问公网2.2.2.2 配置IPsec VPN PC1能直接访问PC2 抓包验证数据是否加密 拓扑 配置 基础配置 青海分部IP地址、DHCP、NAT、路由 sys sys QH dhcp enable acl 2000 rule permit
IPsec over GRE over IPv6配置案例
衡水铁头哥的博客
08-20 809
正文共:888 字 7 图,预估阅读时间:1 分钟我们前面介绍了GRE over IPv6隧道的配置方法(配置GRE over IPv6隧道),有同学评价,这种在公网上裸奔的隧道还是不太安全。既然如此,那就搞个IPsec加密一下。这次中间用不到那么多设备了,简化一下组网模型,如下所示:首先参考上次的配置过程,完成GRE over IPv6隧道的配置。VSR1# interface GigabitE...
IPv6 IPSec配置
weixin_33895695的博客
09-21 953
IPv6 IPSec配置 目前,为下一代互联网开发的安全协议——IPSec是TCP/IP协议族IP层唯一的安全协议,同时适用于IPv4和IPv6IPSec在IP层提供了IP报文的机密性、完整性、IP报文源地址认证以及有限的抗重播***能力。IPSec可以保护在所有支持IP的传输介质上的通信,保护所有运行于IP层上的所有协议在主机间进行安全传输。IPSec网关可以安装在需要安全保护的任何地方,如路...
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议
luming的博客
11-13 9247
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPsec基础(HCIE)
qq_45022073的博客
07-05 2174
IPsec基础(HCIE)
linux与防火墙建立ipsec,Linux下IPSec的实现分析及其与防火墙协同工作的改进设计...
weixin_32287563的博客
05-12 326
摘要:IPSec是为Internet通信提供安全服务的一组标准协议.其目标是为IPv4和IPv6提供具有较强互操作能力,高质量和基于密码的安全服务.Linux作为著名的开放源代码操作系统软件,对我国的软件行业来说是一个重大的机遇,因此研究Linux及Linux下的各种应用显得非常重要.本论文主要研究了Linux下IPSec的实现及其与防火墙协同工作的改进设计,主要工作如下: 总结了IPSec的研究...
IPsec协议的ESP报文的装包与拆包过程
chenxz_的博客
12-23 1万+
一、IPsec简介 了解网络层相关知识应该就知道IP协议是不可靠的网络层协议,因此存在很多安全隐患。因此对IP协议进行安全加强的迫切需要催生了IPsecIPsec网络层将IP报文进行处理之后再传输,增强了IP报文的安全性。准确来说,IPsec不是一个单独的协议,而是一组协议。 IPSecIPv6的组成部分,也是IPv4的可选扩展协议,能保证IP报文的数据保密性(加密)、数据完整性度量...
IPSec基于路由建立隧道---预共享密钥认证方式实验(安全框架)
m0_49864110的博客
05-21 634
目录 基础配置-配置接口IP地址、安全区域、路由 配置接口IP地址 将接口加入相应的安全区域(本次单独为Tunnel口创建一个区域) 配置去公网的路由 配置安全策略 向服务组添加IKEIPSec协商使用的ISAKMP报文 配置IKEIPSec协商安全策略 配置安全协议(封装数据报文)的安全策略 配置PC2与PC1互访的安全策略 配置PC1出去内网1的安全策略 配置IPSec(采用IKEv1主模式建立SA) 配置IPSec感兴趣流(路由方式) 配置IKE安全提议(加密、验....
IPv6中的IPSec安全机制详解
# 1. IPv6IPSec简介 IPv6的概念和特点 IPv6(Internet Protocol version 6)是下一代互联网协议,它是IPv4的...IPSec(Internet Protocol Security)是一组用于保护IP网络通信安全的协议和技术。它提供了加密、认
关于前端服务器字体的引用
qq_69304031的博客
09-02 392
服务器字体是一种强大的工具,可以帮助我们实现全场景字体风格的统一。通过定义服务器字体,我们可以确保网页在不同的设备和浏览器上都能呈现出一致的字体效果,提升用户体验和品牌形象。在使用服务器字体时,需要注意字体文件的版权问题,并确保字体文件的加载速度不会影响网页的性能。希望这篇博客对你在网页设计中使用服务器字体有所帮助。如果你有任何问题或建议,欢迎在评论区留言。
双线服务器与BGP服务器的区别?
wanhengwangluo的博客
09-02 284
BGP服务器则能够控制路由,可以选择最佳的路由途径将数据信息进行传播,使不同的网络运营商用户都可以进行高速访问,同时BDP服务器还可以实现单IP访问,当某条线路出现故障或受到攻击,能够自动切换到其它正常的线路中。双线服务器是指会连接电线和联通两条网络线路到机房当中,同时会采用特殊的技术来判断用户访问的线路,实现自动切换到和用户相同的线路,从而时用户的访问速度更快,不会出现网络卡顿延迟的情况。双线服务器的出现解决了电线与联通之间相互访问缓慢的问题,但是双线服务器的费用也会相对贵一点。
SQL server数据库实现远程跨服务器定时同步传输数据
bing_yuan的博客
09-02 587
公司新建项目,需要访问生产数据,但是规定不能直接访问生产数据库服务器,所以得考虑通过中间库的形式实现。经过评估项目需求 ,以及当前拥有的环境。需求:1.用户不需要实时获取生产数据2.用户只需要指定的某部分数据的部分字段信息当前环境:1.有一个备份服务器已经打通到生产服务器的端口2.有一个中间库服务器供外部系统使用3.生产服务器数据库类型是SQL server 20124.备份服务器同时也打通了到中间库的服务器端口。
【Bug】Ubuntu22.04英伟达驱动安装失败,重启后服务器卡在进入系统/grub的页面
懒惰是科技进步的原始动力
09-02 757
e、将制作好的U盘插到服务器USB接口上,按F11或F2进入启动选项,选择U盘启动。,即可进入系统,然后我尝试继续解决英伟达驱动问题,但是没成功,最后还是重装了。d、点击选择启动盘(本地目录),点击启动(菜单栏)-写入硬盘镜像-写入。步骤就在上面,但是就算了重装了,依然会卡在进入系统页面,要不然就是卡在。c、启动UItralSO工具,文件(菜单栏)-打开-镜像文件。好(这个方案有3.9w阅读量),我就信了,reboot。b、制作U盘启动盘,工具可至官网下载试用版(制作启动盘,重新装系统,
二、搭建网站服务器超详细步骤——部署轻量应用服务器(Centos)
最新发布
YCH0309的博客
09-05 705
如何部署轻量应用服务器,为什么要选择Linux系统?为什么要选择CentOS作为系统镜像?
rk3568 linux sdk recovery buildroot “host-python-2.7.16“ compile failed
oushaojun2的专栏
09-02 953
steps:
监控工具monit配置文件详解-monit.conf配置文件各项配置解释及关于linux下make过程中的configure/Makefile/-j参数
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
09-03 1848
makefile定义了一系列的规则来指定,哪些文件需要先编译,哪些文件需要后编译,哪些文件需要重新编译,甚至于进行更复杂的功能操作,因为 makefile就像一个Shell脚本一样,其中也可以执行操作系统的命令。makefile带来的好处就是--“自动化编译”,一旦写好,只需要一个make命令,整个工程完全自动编译,极大的提高了软件开发的效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值