IPSec手动创建隧道

最新推荐文章于 2025-03-05 11:10:23 发布
最新推荐文章于 2025-03-05 11:10:23 发布
阅读量3.6k 收藏 12
点赞数
分类专栏: 网络安全 隧道XFRM 文章标签: IPSec SADB SPDB xfrm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/90415139
版权

 

网络拓扑

    |-------------------|             |-------------------|
    |                   |             |                   |
    |   192.168.1.115   | <---------> |   192.168.1.142   |
    |                   |             |                   |
    |-------------------|             |-------------------|

 

配置192.168.1.115

 

创建xfrm的state,即IPSec定义的安全关联数据库(Security Association DataBase)。md5哈希算法的秘钥长度为16字节,3DES加密算法秘钥长度为24字节。可选择的哈希算法还有:sha1、sha256和sha384等,可选的加密算法有:aes、twofish等。以下创建两个方向的SA。

$ sudo ip xfrm state add src 192.168.1.115 dst 192.168.1.142 proto esp spi 0x00000301 mode tunnel auth md5 0x8896ab8654cd9875e214a978bd31209f enc des3_ede 0xea89273861739abc9e0d527ad98462108365289dcb1a6738
$
$ sudo ip xfrm state add src 192.168.1.142 dst 192.168.1.115 proto esp spi 0x00000302 mode tunnel auth md5 0x8ab2639471536c8d92a0e82618e92ac7 enc des3_ede 0xec91728a907c6d526178493027139dce56473926ac947289

以下命令查看创建的SA,使用命令ip xfrm state list可查看全部的state列表。

$ sudo ip xfrm state get src 192.168.1.115 dst 192.168.1.142 proto esp spi 0x00000301
src 192.168.1.115 dst 192.168.1.142
        proto esp spi 0x00000301 reqid 0 mode tunnel
        replay-window 0 
        auth-trunc hmac(md5) 0x8896ab8654cd9875e214a978bd31209f 96
        enc cbc(des3_ede) 0xea89273861739abc9e0d527ad98462108365289dcb1a6738
        anti-replay context: seq 0x0, oseq 0x0, bitmap 0x00000000
        sel src 0.0.0.0/0 dst 0.0.0.0/0 
$ 
$ sudo ip xfrm state get src 192.168.1.142 dst 192.168.1.115 proto esp spi 0x00000302    
src 192.168.1.142 dst 192.168.1.115
        proto esp spi 0x00000302 reqid 0 mode tunnel
        replay-window 0 
        auth-trunc hmac(md5) 0x8ab2639471536c8d92a0e82618e92ac7 96
        enc cbc(des3_ede) 0xec91728a907c6d526178493027139dce56473926ac947289
        anti-replay context: seq 0x0, oseq 0x0, bitmap 0x00000000
        sel src 0.0.0.0/0 dst 0.0.0.0/0

 

以下创建两个方向的IPSec安全策略,即Security Policy DataBase。指定采用ESP协议,内核同时也支持AH协议。模式指定为隧道tunnel模式,其它支持的模式有:传输模式transport、Bound End-to-End Tunnel隧道模式 (beet),以及应用与IPv6的route  optimization和inbound trigger模式。

$ sudo ip xfrm policy add src 192.168.1.115 dst 192.168.1.142 dir out ptype main tmpl src 192.168.1.115 dst 192.168.1.142 proto esp mode tunnel
$ sudo ip xfrm policy add src 192.168.1.142 dst 192.168.1.115 dir in ptype main tmpl src 192.168.1.142 dst 192.168.1.115 proto esp mode tunnel

 

查看安全策略的配置

$ sudo ip xfrm policy ls
src 192.168.1.142/32 dst 192.168.1.115/32 
        dir in priority 0 
        tmpl src 192.168.1.142 dst 192.168.1.115
                proto esp reqid 0 mode tunnel
src 192.168.1.115/32 dst 192.168.1.142/32 
        dir out priority 0 
        tmpl src 192.168.1.115 dst 192.168.1.142
                proto esp reqid 0 mode tunnel

 


配置192.168.1.142


配置192.168.1.142两个方向的安全关联,内容必须与以上的192.168.1.115的安全关联完全一致。

$ sudo ip xfrm state add src 192.168.1.115 dst 192.168.1.142 proto esp spi 0x00000301 mode tunnel auth md5 0x8896ab8654cd9875e214a978bd31209f enc des3_ede 0xea89273861739abc9e0d527ad98462108365289dcb1a6738
$
$ sudo ip xfrm state add src 192.168.1.142 dst 192.168.1.115 proto esp spi 0x00000302 mode tunnel auth md5 0x8ab2639471536c8d92a0e82618e92ac7 enc des3_ede 0xec91728a907c6d526178493027139dce56473926ac947289

 

以下命令查看配置内容。

$ sudo ip xfrm state get src 192.168.1.115 dst 192.168.1.142 proto esp spi 0x00000301
src 192.168.1.115 dst 192.168.1.142
        proto esp spi 0x00000301 reqid 0 mode tunnel
        replay-window 0 
        auth-trunc hmac(md5) 0x8896ab8654cd9875e214a978bd31209f 96
        enc cbc(des3_ede) 0xea89273861739abc9e0d527ad98462108365289dcb1a6738
        sel src 0.0.0.0/0 dst 0.0.0.0/0 
$ 
$ sudo ip xfrm state get src 192.168.1.142 dst 192.168.1.115 proto esp spi 0x00000302    
src 192.168.1.142 dst 192.168.1.115
        proto esp spi 0x00000302 reqid 0 mode tunnel
        replay-window 0 
        auth-trunc hmac(md5) 0x8ab2639471536c8d92a0e82618e92ac7 96
        enc cbc(des3_ede) 0xec91728a907c6d526178493027139dce56473926ac947289
        sel src 0.0.0.0/0 dst 0.0.0.0/0

 

对于安全策略的配置,此处与192.168.1.115的配置唯一的区别是数据流的方向,之前的in现在为out,之前的out现在为in,参见dir参数的值。其它的配置完全一致。

$ sudo ip xfrm policy add src 192.168.1.115 dst 192.168.1.142 dir in ptype main tmpl src 192.168.1.115 dst 192.168.1.142 proto esp mode tunnel
$ sudo ip xfrm policy add src 192.168.1.142 dst 192.168.1.115 dir out ptype main tmpl src 192.168.1.142 dst 192.168.1.115 proto esp mode tunnel

 

检查安全策略的配置。

$ sudo ip xfrm policy ls
src 192.168.1.142/32 dst 192.168.1.115/32 
        dir out priority 0 ptype main 
        tmpl src 192.168.1.142 dst 192.168.1.115
                proto esp reqid 0 mode tunnel
src 192.168.1.115/32 dst 192.168.1.142/32 
        dir in priority 0 ptype main 
        tmpl src 192.168.1.115 dst 192.168.1.142
                proto esp reqid 0 mode tunnel

 

测试连通性


在192.168.1.142上执行ping操作。

$ ping 192.168.1.115
PING 192.168.1.115 (192.168.1.115) 56(84) bytes of data.
64 bytes from 192.168.1.115: icmp_seq=1 ttl=64 time=0.186 ms
64 bytes from 192.168.1.115: icmp_seq=2 ttl=64 time=0.149 ms

 

使用tcpdump在192.168.1.115上抓包。
 

$ sudo tcpdump -i any -p esp -en
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
20:51:21.557161  In 00:0c:29:69:5d:54 ethertype IPv4 (0x0800), length 152: 192.168.1.142 > 192.168.1.115: ESP(spi=0x00000302,seq=0x21), length 116
20:51:21.557321 Out 00:0c:29:de:95:00 ethertype IPv4 (0x0800), length 152: 192.168.1.115 > 192.168.1.142: ESP(spi=0x00000301,seq=0x21), length 116

 

清空配置

情况安全关联和策略。

$ sudo ip xfrm state flush 
$ sudo ip xfrm policy flush

 

 

网络协议 — IPSec 安全隧道协议族
烟云的计算
05-25 4197
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用主模式。值得注意的是,IKE 不是简单的在网络上传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
建立点到多点的IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 3156
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
IPSec隧道配置案例(手动模式)
LiBai'S BLOG
04-08 1万+
IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问公网2.2.2.2 配置IPsec VPN PC1能直接访问PC2 抓包验证数据是否加密 拓扑 配置 基础配置 青海分部IP地址、DHCP、NAT、路由 sys sys QH dhcp enable acl 2000 rule permit
【华为】IPSec (动态)的原理与配置
最新发布
2403_83112422的博客
03-05 1462
实现PC1与PC2在公网传输时加密通信(IPSec VPN),并且实现PC1访问R5的loopback8端口(NAT)
[IPSec]手工方式建立IPSec隧道
五指山的网络员
11-16 485
适用于华为所有版本、所有形态的路由器。配置和RA1一样,只是改变一下方向。
IP xfrm 配置IPSec实例。
lemon181375的博客
12-27 1283
IP xfrm 配置IPSec实例。
Linux中如何使用Openswan建立站点到站点的IPsec ×××隧道
weixin_33862993的博客
09-04 709
虚拟专用网(×××)隧道用来通过基于互联网的一条隧道,将两个不同的物理网络安全地互联起来。不同的网络是拥有全局非路由专用IP地址的专用以太网子网时,就需要隧道机制,因为这些子网无法通过基于互联网的传统路由连接到对方。比如说,常常建立×××隧道,连接属于同一家机构的使用网络地址转换(NAT)技术的不同分支机构网络。有时候,还可能仅仅为了安全方面的考虑而使用×××隧道机制。服务提...
IPsec 实操配置(隧道模式)
热门推荐
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置) 配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
配置穿越NAT设备建立IPSec隧道的示例
2301_76769137的博客
05-21 1131
所示,分支网络出口网关RouterA、总部网络出口网关RouterB之间通过NATER进行地址转换,RouterA、RouterB之间建立支持NAT穿越的野蛮模式IPSec。当进行IPSec协商的两个对端设备之间存在NAT网关时,建立IPSec隧道的两端需要进行NAT穿越能力协商,因此两端设备都必须具备NAT穿越的能力。IPSec穿越NAT功能组网图。RouterA的配置。RouterB的配置。
XFRM--IPsec协议的内核实现框架
maimang1001的专栏
12-20 888
IPsec有两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核的XFRM(Transform)中。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例子)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
IPSec隧道
Fsy-LLing的博客
08-18 9283
谈到IPSec 隧道还得回顾一下隧道的基础概念(当然我们平时爬出去所用的也是这个)。 隧道全称:专用虚拟网,依靠ISP和NSP在公共基础网络(也就是互联网)上构建的安全通信网络,这条专线是逻辑上的,并不是物理的。 专用:可以根据客户的需求定制符合自身需求的网络 虚拟:用户不需要拥有实际的长途数据线路,直接在公共基础网络的基础上构建的。 那么为什么这么多种类的,比如GRE,L2TP等,要大力推举IPSec呢。比如说Gre的不支持用户的身份认证(第一道门都没有,如果黑客进入,连验证都不需要了),只会对数据进行简
配置基于虚拟隧道接口的IPSec隧道实验
以为网工见习者
05-23 1160
本案例说明如何配置IPSec隧道保证用户的业务数据在传输过程中的安全。某公司希望对分支与总部之间相互访问的流量进行安全保护。如图1所示,分公司构建了旁挂二层组网直接转发方式的WLAN网络,Router1为公司分支网关,Router2为公司总部网关,分支与总部通过公网建立通信,在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
IPSec 原理与配置手动、自动实例
zuopiezia的博客
07-08 2300
IPSec Internet Protocol Security 作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放 机密性:对数据进行加密保护,用密文的性质传输数据 完整性:对接收的数据进行认证,以判定报文是否被篡改。 防重放:防止恶意用户通过重复发送捕获到的数据包进行攻击,拒绝接收重复的数据包 IPSec架构: IPSec 包括AH和ESP这两个安全协议来实现IP数据报文的安全传送。一般用ESP有加密功能 IKE协议:用于自动协商AH和ESP所使用的加密算.
华为模拟器GRE与IPsec隧道加密配置
q742598699的博客
10-22 1234
放通比必要的安全策略 安全策略需要放通untrust–local与local—untrust的GRE协议号报文,ip协议号47 ,local–untrust可改为local-any放通所有 创建GREVPN隧道,以下为两个设备的配置 创建GRE成功后需要手动指定到达对端内网的路由,下一条指向对端的隧道IP,否则无法到达对端内网 放通内网到对端内网的安全策略,为了局域网安全可做精细化匹配 最终GREVPN隧道配置完成可ping通对方内网 注意:因为创建的GRE属于untrust区域又做了内网到外网的
XFRM -- IPsec协议的内核实现框架
品学楼A107
09-30 3549
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。 Overview X...
XFRM -- ipsec协议的内核实现框架
01-24 4037
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
IP xfrm 命令说明1-sa
funtasty的专栏
07-23 1163
对数据加密、认证的算法。ipsec能使用的算法跟内核算法模块支持的算法不同,是其子集。不同版本的内核支持的算法列表页不同,详见附录1: 内核支持的算法列表。封装模式,ESP封装协议支持隧道和传输模式,一般使用隧道模式(过NAT)原地址、目的地址、协议(IPsec封装协议)和spi共同决定一个sa。带封装的ESP,比如espinudp 、espintcp。sa的限制,可以通过时间、数据包、数据量来更新sa。ID 是键值, 用来区分不同SA。关联sp,选择进入隧道的数据流。数据流的协议等特征。
linux内核实现ipsec,IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec...
weixin_39559277的博客
04-29 1834
1、拓扑192.168.18.101 <=======> 192.168.18.1022、配置192.168.18.101ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe05...
一文带你走进Linux内核之XFRM框架
m0_73494896的博客
09-02 1639
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
Linux GRE隧道配置详解:创建点对点连接实现IP数据报穿越
Linux IP隧道配置手册详细介绍了如何在Linux系统上实现GRE(Generic Routing Encapsulation)隧道,这是一种IP-over-IP...此外,GRE隧道并不支持加密,如果需要安全通信,可能需要使用其他隧道协议如GRE over IPSec
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值