深入解读IPsec V*N

最新推荐文章于 2024-02-16 16:30:55 发布
最新推荐文章于 2024-02-16 16:30:55 发布
阅读量1k 收藏 10
点赞数 2
分类专栏: CCIE 文章标签: IPSec SA ESP AH
原文链接:https://mp.weixin.qq.com/s/fQ9sv5m5tgq5QHJ1jqwzyA
版权

解读IPsec VP*的原因是其使用比较广泛,技术比较成熟,比如企业互联是最常用的场景,在VXLAN那篇中提到了阿里云CPE端到端解决方案也用到了IPsec,还有SDWAN服务中IPsec是使用最多的(在underlay层面CPE与Controller、CPE之间通信几乎都是使用XXX over IPsec的方案)

一、IPSec V*N应用场景

在这里插入图片描述

  1. Site——to——Site(站点到站点或网关到网关):企业内网之间的数据通过这些网关建立的IPSEC隧道实现安全互联。例如:网关1至网关2.
  2. End——to——End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPsec会话保护、而不是网关。例如:Server1到Server2.
  3. End——to——Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。例如:出差员工PC到网关1

二、IPsec基础和基础架构

IPsec=IP security:目的是为IP提高安全性特性,V*N则是实现这种安全特性的方式下产生的方案。
IPsec是一个框架性架构,具体由两类协议组成:

  1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源性确认、防重放等安全特性。AH常使用MD5和SHA1实现该特性。
  2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。

三、为什么AH协议使用较少,而ESP协议使用较广?

  1. AH无法提供数据加密,所以数据在传输时以明文传输,而ESP提供数据加密。
  2. AH因为提供数据来源确认(源地址一旦改变,AH校验失败),所以AH协议无法穿越NAT。
  3. IPSec在极端情况下可以同时使用AH和ESP实现最完整的安全特性。
    备注:最大的区别在于是否能穿越NAT和是否能数据加密

四、IPsec提供的封装模式(IPsec的两种应用方式)

4.1. 传输模式下AH和ESP的封装格式、
在这里插入图片描述
4.2.隧道模式下AH和ESP的封装格式

在这里插入图片描述
4.3. 传输模式和隧道模式的区别

  1. 传输模式下AH、ESP处理前后IP头保持不变
  2. 隧道模式下AH、ESP处理之后在封装了一个外网IP头

五、两种模式使用场景图解

在这里插入图片描述
5.1. PC至PC之间IPsec保护PC之间流量可使用传输模式,也可以使用隧道模式。
PC至网关之间IPsec保护PC之间流量只能用隧道模式
网关至网关之间IPsec保护PC之间流量只能用隧道模式
总结:隧道模式适合任何场景,传输模式只适合PC到PC的场景。
但是:隧道模式虽然适合任何场景,但是隧道模式需要多加一层IP头开销,所以如果是PC至PC的场景,建议还是使用传输模式

5.2. 解析为何网关到网关场景只能使用隧道 模式
以下场景中假如使用传输模式:
在这里插入图片描述
总结:由于传输模式下AH、ESP处理前后IP头部不变,假如网关至网关的场景使用传输模式,那么企业内网发起的源IP和目的IP均为内网IP,在传输模式下IP头部不变,导致在发起放100.100.1.2就会丢弃,即便不丢弃,到了相应方200.200.1.2并不能进行解密,从而发给内网PC 10.10.1.2还是密文,所以PC也会丢弃

六、Ipsec协商原理

在这里插入图片描述
兴趣流:需要IPsec保护的流量就是兴趣流,兴趣流是发起方和相应方指定的兴趣流的交集。
eg:发起方指定兴趣流为192.168.1.0/24→10.10.0.0/8,而响应方的兴趣流为10.10.0.0/8→192.168.0.0/16,那么其交集是192.168.1.0/24←→10.10.0.0/8,这就是最后会被IPSec所保护的兴趣流。
发起方:IPSec会话协商的触发方。IPsec会话通常是由指定兴趣流触发协商,触发的过程通常是将数据包中的源、目的地址、协议、源端口、目的端口与提前指定的IPSec兴趣流匹配模板(如ACL进行匹配),如果匹配成功则属于指定兴趣流。指定兴趣流只是用于触发协商。
响应方:Ipsec会话协商的接收方。响应方是被动协商。
发起方和响应方协商内容:双方身份的确定和密钥种子刷新周期、AH/ESP的组合方式及各自使用的算法,还包括兴趣流、封装模式等。
发起方安全联盟SA(security association):双方协商的结果就是SA。包括:密钥及密钥生存期、算法、封装模式、发起方和响应方的地址、兴趣流等内容。

七、IPSec协商过程(隧道模式)

在这里插入图片描述

  1. IKE(Internet Key Exchange):原生的IPsec无身份确认等协商过程,存在缺陷(eg:无法支持发起方地址动态变化情况下的身份确认、密钥动态更新等),所以出现了IKE来弥补这些不足。
  2. 发起方定义兴趣流 源为192.168.1.0/24目的10.10.0.0/8,所以在接口发送发起方内网PC发给响应方内网的数据包,能够得以匹配。
  3. 满足兴趣条件,在转发接口检查SA(SA的三种情况——不存在、过期、不可用),出现以上三种情况进行协商,否则使用当前SA对数据包进行处理。
  4. IKE协商过程通常分为两个阶段:
    第一阶段:确认双方身份的正确性
    第二阶段:为兴趣流创建一个指定的安全套件(第二阶段中的兴趣流在会话中是密文)。

备注:IPsec中的安全性还体现在第二阶段的SA永远是单向的(在IKE协商的第二阶段SA发起方至响应方、响应方至发起方都是单向的)。
使用单向隧道设计实现更好的安全性

转载:搞网络就是一把梭

heibaikong6
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
虚拟隧道接口建立GRE over IPSec配置
08-31
虚拟隧道接口建立GRE over IPSec配置
vxlanIPsec结合使用
xingyeping的博客
05-09 6889
一、使用IPsec封装Vxlan报文 如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道来加密报文。配置如下: 创建VM1的手工SA:  ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth
一种基于IPsecVXLAN“专线”解决方案
最新发布
衡水铁头哥的博客
02-16 426
正文共:888 字 14 图,预估阅读时间:1 分钟我们前面曾经做过一个小实验(VXLAN小实验:降本增效,将MV互联网专线伪装成数字电路),那就是将互联网专线伪装成数字电路。实现的方案就是将具有公网IP地址的设备作为VXLAN的VTEP,采用VXLAN头端复制的方式,实现两端互联IP的直接通信。从上次的测试结果来看,传输带宽基本可以跑满,并且VXLAN封装对业务几乎无感知。但是受互联网传输的影响...
ipsec.rar_ipsec
09-21
主要用户windows的ipsec,关闭不必要的端口,执行相应脚本,自动建立ipsec。屏蔽不安全的应用端口,防止病毒木马,排除其他占用系统资源!
华为vxlan技术详解及配置手册
03-19
华为官方vxlan技术详解及配置手册,涵盖了vxlan的所有配置模式与配置方法,详细解读VXLan
ipsec.zip_Linux ipsec_ipsec
09-24
How to configure ipsec on linux (ubuntu).
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 7966
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLANIPsec和GRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)和(GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsec和GRE组合使用。 常见的两种类型包括IPsec over GRE和GRE over IPsec
FD.IO-VPP研究及使用五 (隧道环境搭建)
weixin_40815457的博客
01-25 4106
搭建IPSEC vpn vpp搭建IPSEC 有两种方式: 1,使用create ipsec tunnel方式 2,使用发起者响应者模式(ikev2) 1、使用ikev2配置ipsec 拓扑如下: //#发起者配置: set int state GigabitEthernet4/0/2 up set int ip address GigabitEthernet4/0/2 ...
1. 全面讲解 IPSec 基本原理
jj1130050965的博客
01-03 3270
转者注: 此篇转载 曹世宏 先生博文;本人在自己 IPSec 实践应用基础上,对此篇博文内容增加章节编号;在 封装协议章节中、删减两张抓包图片。 IPSec 通讯两端是互为 client 、server 的方式,双方对等加密和认证。 1. IPSec 概念简介 什么是IPSecIPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安
搭建ipsec server
menglong0329的博客
12-12 164
参考:GitHub - hwdsl2/setup-ipsec-vpn: Scripts to build your own IPsec VPN server, with IPsec/L2TP, Cisco IPsec and IKEv2
【Windows Server 2019 Ipsec安全策略】关于Server中配置IPSec的步骤实现两机之间的安全通信
校园一站式平台大学生创业团队,初心从未改变
02-14 2945
在第一台电脑(192.168.30.11)打开cmd输入·ping 192.168.30.12 -t,在第二台电脑(192.168.30.12)打开cmd输入 ping 192.168.30.11 -t。查看第一台创建策略后两个cmd的变化,查看第两台创建策略后两个cmd的变化。本地安全策略,是指对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。首先进入本地安全策略->IP安全策略->创建IP策略。tips:创建好策略后记得分配~
vxlan配置详解
04-26
vxlan配置详解本文提供高水平概述虚拟可扩展LAN (VXLAN)和验证命令和输出按照的一些配置示例
IPSec.rar_ipsec
09-22
Internet 协议安全 (IPSec)
wireshark1.12和IPSec详解
03-13
内含低版本wirshark(1.12wendows server 2003可用),以及点对点搭建IPSec教程详解(网上搜集之后整理)
ipsec抓包.rar
10-03
多种抓取的wireshark报文,其中附带密钥信息,可以直接使用wireshark进行报文解密。 抓取的类型包括:主模式,野蛮模式,数字证书,预共享秘钥,多种加密套件,AH+ESP数据报文,IKEv1, IKEv2等多种场景和应用下的报文
VXLAN:数据中心网络的未来
Rocky006的博客
06-21 678
VXLAN是一种网络虚拟化技术,旨在解决传统以太网的限制,并提供更好的可扩展性和隔离性。VXLAN通过在现有的IP网络上创建一个虚拟的二层网络,将传统的以太网帧封装在UDP报文中进行传输。这种封装使得VXLAN可以在现有的网络基础设施上运行,而无需对网络进行大规模改造。VXLAN使用一个24位的VXLAN标识符(VNI)来标识虚拟网络,允许同时存在多个独立的虚拟网络。VXLAN报文的目的地MAC地址被替换为VXLAN网络中的虚拟机或物理主机的MAC地址,从而实现虚拟机之间的通信。
VXLAN
weixin_30498807的博客
08-11 434
和三层外面再套三层的GRE不同,VXLAN则是从二层外面就套了一个VXLAN的头,这里面包含的VXLAN ID为24位,也够用了。在VXLAN头外面还封装了UDP、IP,以及外层的MAC头VXLAN作为扩展性协议,也需要一个地方对VXLAN的包进行封装和解封装,实现这个功能的点称为VTEP(VXLAN Tunnel Endpoint)。 VTEP相当于虚拟机网络的管家。...
VPP上利用IPSec加密Vxlan隧道实验
FZUMRWANG的博客
11-12 881
VPP类似于电脑上的路由器模拟,可以在VPP中构建网络组网。本文讲述了如何在VPP中使用IPSec对二层的Vxlan隧道进行加密
CentOS搭建L2TP-IPsec Server
hsai0206的博客
05-24 7422
CentOS搭建L2TP-IPsec SERVER 需求 无锡和扬州两地公司办公室需要使用SVN协作开发,通过V/P/N的方式将2边的办公网连接在一起。 一、环境准备 准备一台带有公网IP地址的云服务器,推荐用阿里云,好用便宜。 操作系统:CentOS7.6 1、开启tun cat /dev/net/tun 如果tun已经开启,则提示: cat: /dev/net/tun: File descriptor in bad state 如果没有以上提示,则执行以下命令: cd /dev mkdir net
l2tp ipsec 配置
10-15
l2tp ipsec************ 配置 ipsec 编辑 /etc/ipsec.conf 文件,添加以下内容: ``` conn myvpn keyexchange=ikev1 authby=secret left=%defaultroute leftsubnet=0.0.0.0/0 right=%any rightsubnet=10.0.0.0/8 type=transport ike=aes256-sha1-modp1024! esp=aes256-sha1! ```***。 4. 配置 l2tp 编辑 /etc/xl2tpd/xl2tpd.conf 文件,添加以下内容: ``` [global] ipsec saref = yes [lns default] ip range = 192.168.1.10-192.168.1.20 local ip = 192.168.1.1 require chap = yes refuse pap = yes require authentication = yes name = myvpn ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes ```***址。 5. 配置 ppp 编辑 /etc/ppp/options.xl2tpd 文件,添加以下内容: ``` require-mschap-v2 ms-dns 8.8.8.8 ms-dns 8.8.4.4 auth mtu 1200 mru 1200 crtscts idle 1800 defaultroute usepeerdns debug lock ```***``` sudo sh -c "echo 'username * password *' >> /etc/ppp/chap-secrets" ```***: ``` sudo systemctl start strongswan xl2tpd ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值