IPsec中以ACL引流方式中不设置镜像流会出现的问题

已于 2022-04-06 18:24:06 修改
阅读量400 收藏 1
点赞数
分类专栏: HCIA/HCIP sercurity 网络技术 华为 文章标签: 网络 安全 IPsec
于 2022-04-06 18:20:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/123996511
版权
网络技术 同时被 3 个专栏收录
134 篇文章 19 订阅
订阅专栏
华为
100 篇文章 14 订阅
订阅专栏
HCIA/HCIP sercurity
88 篇文章 16 订阅
订阅专栏

设有AB两端IPsec设备,设A端的设备创建ACL为:X-->Y,B端的设备创建ACL为Y-->X,那么此时设备之间的acl是互为镜像的,则AB端可以正常地进行隧道流地封装。

若此时A端的设备创建的ACL为:Z--->P,B端设备创建的ACL为:P-->Z,Z-->M,那么此时因为AB设备两端的Z-->P和P-->Z是互为镜像的,所以当有此类流量的时候将会进行IPsec隧道转发,而当B设备遇到Z-->M的流量的时候将会导致虽然通过了路由表查找,会话建立,但是最终IPsec模块不会离会从而导致出现虽然有会话表出现而网络上却没有加密报文的出现。

如上图所示:VPN加封装是在创建会话表之后地,就是因为没有镜像流的存在,才导致会话虽然存在,但是却没有加密报文的出现

Mllllk
关注
专栏目录
IPSec之security acl
weixin_30682127的博客
09-17 653
IPSec可以通过高级Acl定义需要保护的数据流,称为感兴趣流。 Acl的规则有permit和deny之分。对于IPsec的security acl而言,若匹配到permit的规则,则进行Ipsec处理,outbound对数据进行IPsec封装,inbound对IPSec加密数据进行姐封装;若不匹配,或者匹配到了deny的规则,则数据流不需要进行保护,直接发送报文。 华为和兴的相关文档皆有...
华为数通--NAT、ACLIPSec
Arouroua的博客
01-18 1593
nat、aclipsec内容
华为防火墙综合案例(IPSec、SSL、NAT、ACL安全防护)
最新发布
qq_53058639的博客
08-07 850
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png)1、防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc5858e.png) 登录防火墙web页面 ![image-2023031401
四种引流方式
zhuimengzhe20160818的博客
08-19 3186
网站流量对于做网站优化是至关重要的,除了网站本身的基础优化要做好之外,前期做网站引流对优化排名有很大的帮助,是明显缩短网站优化排名时间的绝佳途径。今天小编跟大家分享一下。 引流的目的就是获取更多的流量,既能让网站得到进一步的优化,同时也能更好地对网站的品牌建设有很大的帮助,从而达到最终赚钱的目的。 详情如下: 1.百度系产品引流法      百度系产
防火墙学习6---引流表(跟系统与虚拟系统通过引流表互访)
weixin_48030849的博客
05-16 807
在虚拟系统和根系统互访的场景,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题引流记录的是IP地址和虚拟系统的归属关系。如下的引流表,表示10.3.0.8这个IP地址属于虚拟系统vsysa。其,第一个10.3.0.8是这个网段的起始地址,第二个10.3.0.8是这个网段的结束地址。
防火墙/ACL/IPsecVPN专题
flytalei的博客
04-23 973
软考直接涉及分值约4-10分,主要掌握一些防火墙的基本配置命令和基于域间安全的配置。涉及的知识点主要有接口地址配置,区域安全策略配置,ACL配置等。
浅谈在IXP2400中以IPSec实现安全网关的一种方案
10-22
“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows ...
嵌入式系统/ARM技术IPSec与NAT之间的兼容性分析和解决方案
12-08
而在隧道模式下,由于IPSec不涉及传输层头部,这个问题不会出现。 3. IPSec与NAPT:NAPT不仅要转换IP地址,还需要改变传输层的端口号。但IPSec的ESP协议保护的完整性包括端口号,因此NAPT的修改会导致接收方IPSec...
通信与网络的基于SoC的IPSec协议实现技术
12-13
引 言 IPSe[1]作为一种实现VPN的安全协议体系,目前已在VPN设备广泛使用。但是,随着千兆位高速网络的技术发展,对VPN设备在时效性等方面提出了更高的要求。因此,必须从体系结构等方面,研究新的技术方法实现...
GRE 和 IPsec 的 IPv4 分段、MTU、MSS和 PMTUD 问题
06-23
- **封装机制**:GRE本身不支持PMTUD,因此在网络路径可能出现分段问题。 - **解决方案**: - **调整MSS值**:确保原始TCP段的大小适合隧道两端的MTU。 - **使用PMTUD感知的协议**:如UDP封装的GRE(GRE over ...
通信与网络的基于IPSec的嵌入式网络安全应用研究
11-08
嵌入式Internet解决了终端设备的网络问题,然而Internet提供的网络环境并不保障接入系统的安全性。可以这样说,嵌入式Internet的安全问题直接关系到嵌入式Internet的发展及其应用前景;因此,在开发和使用嵌入式...
h3c交换机基本ACL配置
热门推荐
王达专栏
04-26 2万+
以下内容摘自笔者2009年度巨作,获得多项大奖,并且已成功重印的图书《Cisco/H3C交换机配置与管理完全手册》.19.2.2 基本ACL配置基本ACL只根据源IP地址信息制定匹配规则,对报文进行相应的分析处理。其序号取值范围为2000~2999。如果要配置带有时间段参数的规则,则需要定义相应的时间段。参见19.2.1节。1.基本ACL的配置方法配置基本ACL的步
ACL的技术原理与实现,很实用
qq_23930765的博客
08-19 2839
ACL(Access Control List:访问控制列表),通过定义一系列关于数据报文的匹配规则,对数据报文的转发进行控制的技术。在数据通信过程,通过定义ACL,可以对数据流量的转发进行分类和控制。如果把一个网络比作一条高速公路,流量相当于各种不同的车辆,那么ACL就是间的收费站规则,这些规则会对车辆进行一些限制,比如不让自行车和摩托车上高速,对于要下高速的车辆也会进行各种检查等。ACL可以定义在端口的入方向或者出方向,就像高速公路会对进入和离开的车辆都进行检查一样。 ACL ACL相关的术语和特性
引流配置简单介绍
大任的网络专栏
03-30 2183
ip access-list to_SACG_G1/6 10 permit ip 10.xxx.70.0/24 any route-map to_SACG_G1/6 permit 10 match ip address Wlan-01-user set ip next-hop 192.xxx.33.196 interface Ethernet1/6ip policy route-map SACG_G1/6
引流测试-nginx_mirror镜像数据
weixin_30648963的博客
06-05 380
一、背景 最近nginx官网公布了nginx1.13.4最新的ngx_http_mirror_module模块,利用mirror模块,业务可以将线上实时访问流量拷贝至其他环境,基于这些流量可以做版本发布前的预先验证,进行流量放大后的压测等等 mirror模块配置分为两部分,源地址和镜像地址配置,配置位置可以为nginx配置文件的http, server, location上下文,配置示例为...
IPsec ACL不匹配的典型错误日志
weixin_33734785的博客
05-15 566
IPSec ACL就是我们通常说的×××感兴趣流量。在实际的工作当,由于这个ACL配置不当而造成的问题是很常见的。典型的报错为“QM FSM error”,可以在PIX/ASA上运行“debug crypto isakmp” 来查看。 May 15 09:17:11 [IKEv1]: Group = X.X.X.X, IP = X.X.X.X, QM FSM...
关于华为ACL末尾的详解
qq_43008319的博客
06-03 4907
众所周知,华为的ACL末尾是默认permit,思科的ACL末尾默认deny。 实际操作过来并不是这样的。因为错误的认知,还造成了业务断。 例: 业务出口处需要对两个源IP进行引流至防火墙,通过出口配置PBR。回包直接指静态到防火墙。 ACL里加了2条匹配源地址,末尾加了一条rule deny ip,最终结果是,引流的IP正常。其他所有业务不通。咨询华为工程师后,回复末尾加rule deny ip导致的。 最终通过模拟器测试得出以下结论。 华为的ACL末尾机制: 末尾加rule permit ip 相当于p
防火墙旁挂,策略路由引流
weixin_34001430的博客
04-04 1万+
1、案例拓扑图 2、核心设备AR2的主要配置 2.1AR2#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由#traffic classifier liu operator orif-match acl 2000#traffic behavior liuredirect ip-nexthop 2.1.1...
IPSec的IKE:安全联盟与密钥管理
IKE(Internet Key Exchange,互联网密钥交换)是IPSec的一个重要组成部分,它的主要任务是解决IPSec的自动化设置问题。在IPSec,IKE有两个关键作用: 1. 降低手工配置的复杂度:IKE通过自动协商和交换密钥,大大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值