3. 详解 IPSec 的 net2net 组网实践

最新推荐文章于 2023-09-08 18:21:47 发布
最新推荐文章于 2023-09-08 18:21:47 发布
阅读量1.6k 收藏 4
点赞数 2
分类专栏: # IPSec 原理及硬件加速
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38387929/article/details/117530918
版权

实验环境

本篇记录 IPSec 的 net2net 的组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。

测试环境:

  • (1)x86-OpenWRT-19.09 镜像
  • (2)PVE ( proxmox-6.3.2 )

网络架构

net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。
在这里插入图片描述

第一步 创建 4台 openwrt 的虚机

如何把 openwrt 的镜像制作制作成 PVE 格式的虚机,请查看 《OpenWrt X86 image 导入到 ProxMox 虚拟机》 文章。

  • 配置 alice 网络参数
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'eth0'
        option ifname 'eth0'
        option proto 'dhcp'
        
config interface 'eth1'
        option ifname 'eth1'
        option proto 'static'
        option ipaddr '10.1.0.10'
        option netmask '255.255.255.0'
  • 配置 moon 网络参数

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd87:e822:78d1::/48'

config interface 'eth0'
        option ifname 'eth0'
        option proto 'dhcp'

config interface 'eth1'
        option ifname 'eth1'
        option proto 'static'
        option ipaddr '10.1.0.1'
        option netmask '255.255.255.0'
  • 配置 sun 网络参数
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd87:47a2:3306::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'lo'
        option proto 'static'
        option address '192.168.5.1'
        option netmask '255.255.255.0'

config interface 'eth0'
        option ifname 'eth0'
        option proto 'dhcp'
        option ip6assign '60'

config interface 'eth1'
        option ifname 'eth1'
        option proto 'static'
        option ipaddr '10.2.0.2'
        option netmask '255.255.255.0'
  • 配置 bob 网络参数
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'


config interface 'eth0'
        option ifname 'eth0'
        option proto 'dhcp'

config interface 'eth1'
        option ifname 'eth1'
        option proto 'static'
        option ipaddr '10.2.0.10'
        option netmask '255.255.255.0'
第二步 配置 moon 和 sun 虚主机网关
MOON 网关 IPSec 参数配置
  • 配置 moon 的 ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        authby=secret
        keyexchange=ikev2
        mobike=no

conn net-net
        left=192.168.40.80
        leftsubnet=10.1.0.0/16
        leftid=@moon.strongswan.org
        leftfirewall=yes
        right=192.168.40.79
        rightsubnet=10.2.0.0/16
        rightid=@sun.strongswan.org
        auto=add
  • 配置 ipsec.secrets
# /etc/ipsec.secrets - strongSwan IPsec secrets file

@moon.strongswan.org @sun.strongswan.org : PSK 0sv+NkxY9LLZvwj4qCC2o/gGrWDF2d21jL

@moon.strongswan.org %any : PSK 0x45a30759df97dc26a15b88ff

@sun.strongswan.org : PSK "This is a strong password"

: PSK 'My "home" is my "castle"!'

192.168.40.80 : PSK   "Andi's home"
  • 配置 strongswan.conf
# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }

        load = random nonce aes sha1 sha2 curve25519 hmac stroke kernel-netlink socket-default updown
        multiple_authentication = no
}

include strongswan.d/*.conf
SUN 网关参数配置
  • 配置 ipsec.conf

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
        # strictcrlpolicy=yes
        # uniqueids = no
# Add connections here.

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        authby=secret
        keyexchange=ikev2
        mobike=no

conn net-net
        left=192.168.40.79
        leftsubnet=10.2.0.0/16
        leftid=@sun.strongswan.org
        leftfirewall=yes
        right=192.168.40.80
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add
  • 配置 ipsec.secrets
# /etc/ipsec.secrets - strongSwan IPsec secrets file
@moon.strongswan.org @sun.strongswan.org : PSK 0sv+NkxY9LLZvwj4qCC2o/gGrWDF2d21jL
  • 配置strongswan.conf
# strongswan.conf - strongSwan configuration file
# Refer to the strongswan.conf(5) manpage for details
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }

       load = random nonce aes sha1 sha2 curve25519 hmac stroke kernel-netlink socket-default updown
       multiple_authentication = no
}
include strongswan.d/*.conf
第三步 配置 alice & bob 客户端虚拟主机路由
alice 的路由配置
route add -net 10.2.0.0/24 gw 10.1.0.1
bob 的路由配置
route add -net 10.1.0.0/24 gw 10.2.0.2
第四步 启动 IPSec

在 moon 虚拟网关上启动 IPSec

ipsec restart
ipsec up net-net
第五步 验证 alice & bob 打流测试

iperf3 -c 10.1.0.10 -t 60

Connecting to host 10.1.0.10, port 5201
[  5] local 10.2.0.10 port 52260 connected to 10.1.0.10 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  52.2 MBytes   438 Mbits/sec    0   1.88 MBytes
[  5]   1.00-2.00   sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]   2.00-3.00   sec  50.0 MBytes   419 Mbits/sec    0   1.88 MBytes
[  5]   3.00-4.00   sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]   4.00-5.00   sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]   5.00-6.00   sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]   6.00-7.00   sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]   7.00-8.00   sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]   8.00-9.00   sec  48.8 MBytes   409 Mbits/sec    0   1.88 MBytes
[  5]   9.00-10.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  10.00-11.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  11.00-12.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  12.00-13.00  sec  50.0 MBytes   419 Mbits/sec    0   1.88 MBytes
[  5]  13.00-14.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  14.00-15.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  15.00-16.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  16.00-17.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  17.00-18.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  18.00-19.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  19.00-20.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  20.00-21.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  21.00-22.00  sec  50.0 MBytes   419 Mbits/sec    0   1.88 MBytes
[  5]  22.00-23.00  sec  48.8 MBytes   409 Mbits/sec    0   1.88 MBytes
[  5]  23.00-24.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  24.00-25.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  25.00-26.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  26.00-27.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  27.00-28.00  sec  50.0 MBytes   419 Mbits/sec    0   1.88 MBytes
[  5]  28.00-29.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  29.00-30.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  30.00-31.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  31.00-32.00  sec  55.0 MBytes   461 Mbits/sec    0   1.88 MBytes
[  5]  32.00-33.00  sec  48.7 MBytes   409 Mbits/sec    0   1.88 MBytes
[  5]  33.00-34.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  34.00-35.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  35.00-36.00  sec  53.8 MBytes   451 Mbits/sec    0   1.88 MBytes
[  5]  36.00-37.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  37.00-38.00  sec  47.5 MBytes   398 Mbits/sec  154   1.39 MBytes
[  5]  38.00-39.00  sec  51.2 MBytes   430 Mbits/sec    0   1.52 MBytes
[  5]  39.00-40.00  sec  53.8 MBytes   451 Mbits/sec    0   1.63 MBytes
[  5]  40.00-41.00  sec  50.0 MBytes   419 Mbits/sec    0   1.71 MBytes
[  5]  41.00-42.00  sec  51.2 MBytes   430 Mbits/sec    0   1.78 MBytes
[  5]  42.00-43.00  sec  51.2 MBytes   430 Mbits/sec    0   1.82 MBytes
[  5]  43.00-44.00  sec  50.0 MBytes   419 Mbits/sec    0   1.85 MBytes
[  5]  44.00-45.00  sec  51.2 MBytes   430 Mbits/sec    0   1.87 MBytes
[  5]  45.00-46.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  46.00-47.00  sec  53.8 MBytes   451 Mbits/sec    0   1.88 MBytes
[  5]  47.00-48.00  sec  50.0 MBytes   419 Mbits/sec    0   1.88 MBytes
[  5]  48.00-49.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  49.00-50.00  sec  48.8 MBytes   409 Mbits/sec    0   1.88 MBytes
[  5]  50.00-51.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  51.00-52.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  52.00-53.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  53.00-54.00  sec  47.5 MBytes   398 Mbits/sec    0   1.88 MBytes
[  5]  54.00-55.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  55.00-56.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  56.00-57.00  sec  52.5 MBytes   440 Mbits/sec    0   1.88 MBytes
[  5]  57.00-58.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  58.00-59.00  sec  51.2 MBytes   430 Mbits/sec    0   1.88 MBytes
[  5]  59.00-60.00  sec  50.0 MBytes   419 Mbits/sec    0   1.88 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-60.00  sec  3.00 GBytes   430 Mbits/sec  154             sender
[  5]   0.00-60.07  sec  3.00 GBytes   429 Mbits/sec                  receiver
net2net 适用场景

网点到网点场景,多个客户端都可用通过网关接入 IPSec 的 tunnel 。

官方参考文档链接

老理说的好
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
不同网段的局域网怎么互通_地址重合的多个局域网络使用IPSEC点到点组网
weixin_39929259的博客
12-08 7011
背景本文主要探讨多个使用相同网段(或网段地址有交叉)的局域网如何通过ipsec异地组网。如果是在正常情况,AB两个网络希望实现LAN-TO-LAN,一般的做法是借助ipsec建立点到点连接,并建立防火墙允许策略,感兴趣流量网段里的终端即可直接互访。回到今天的目标,由于两边的网段相同(或部分重合),感兴趣流量就无法正常配置,而且也无从区分某个ip地址属于哪一侧。问题的症结在什么地方已经清楚...
网络安全课程3 - IPsec与IKE技术详解.pdf
11-04
IPsec ....................................................................................................................................................... 1 IPsec简介.................................
锐捷网络—VPN功能—IPSEC 基础配置—IPSEC 静态、动态隧道混用
最新发布
君逍遥o
09-08 394
若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它既能实现总公司和分公司之间能够直接互相访问资源,也能对数据传输进行加密,保证了数据的安全性。若总部的IP地址固定,而部分分公司是采用拨号方式上网的(IP地址不固定),部分分公司是采用固定IP地址上互联网的,那么可以在总公司的路由器启用静态、动态混用的IPSec VPN,分公司路由器启用静态IPSEC VPN。
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
6. 详解 IPSecnet2net-RSA 组网实践
weixin_38387929的博客
06-23 754
实验环境 本篇记录 IPSecnet2net组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。 测试环境: (1)x86-OpenWRT-19.09 镜像 (2)PVE ( proxmox-6.3.2 ) 网络架构 net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。 配置net2net-rsa 配置rsa,主要是rsa需要进行
基于路由和VTI隧道接口的net2netIPSec实现
redwingz的博客
12-02 1637
以下根据strongswan代码中的testing/tests/route-based/net2net-vti/中的测试环境,来看一下基于路由和VTI接口实现的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 sun网关配置 sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为0...
企业与云IPSec组网自动化实践
weixin_33873846的博客
07-09 206
伴随着不断出现的外部,内部挑战,我们将业务向公有云迁移。随着时间的推移,逐渐形成了混合云架构。混合云架构需要组建虚拟专用网络,实现资源互通,满足加密传输要求。混合云网络连接类型总结如下:1、VPC到VPC(同一个云服务商)2、VPC到VPC(不同云服务商之间)3、企业本地网络到VPC常见的组网方案有:专线,SD-WAN。但也会带来以下问题:首先是VPC的互通。例如,将阿里...
JavaScript凌厉开发:ExtJS3详解实践
07-22
资源名称:JavaScript凌厉开发:Ext JS 3详解实践内容简介:本书详细介绍Ext JS框架体系结构,以及利用HTML/CSS/Javascript进行前端设计的方法和技巧。作者为Ext中文站站长领衔的三个国内Ext JS先锋,在开发...
详解基于Node.js的HTTP/2 Server实践
10-18
HTTP/2目前已经逐渐的在各大网站上开始使用,这篇文章主要介绍了详解基于Node.js的HTTP/2 Server实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
NET Framework 3.5开发技术详解.part2
06-03
_NET Framework 3_5开发技术详解_NET Framework 3_5开发技术详解 2个包
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
犀利开发 jQuery内核详解实践.part2
05-13
犀利开发 jQuery内核详解实践.part2
自动创建XFRM虚拟接口的net2net形式的IPSEC
redwingz的博客
12-02 761
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...
野蛮模式ipsec的典型组网和配置
weixin_34009794的博客
03-27 1814
野蛮模式ipsec的典型组网和配置 一.IPSec ×××技术原理 1.概述 虚拟专用网(×××)使得用户可以在开放的Internet上基于IPSec或PPTP/L2TP或SSL协议族的一系列加密认证以及密钥交换技术,构建一个安全的私有专网,具有同本地私有网络一样的安全性、可靠性和可管理性等特点,这样可以大大降低了企业/政府/科研机构等建设专门私有网络的...
openswan搭建ipsec *** 仅network-to-network方式
weixin_33937778的博客
01-07 507
Centos6.4 openswan 搭建使用方法直接放图好像有点问题,上传了doc文件,有兴趣的可以下载看看一.Openswan介绍Openswan简介请自行百度。二、openswan的配置介绍 1. OpenSWan主要配置文件/etc/ipsec.secrets ...
锐捷网络—VPN功能—IPSEC 基础配置—基于数字证书的IPSec动态隧道(主模式)
君逍遥o
09-05 575
若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,且分支机构采用ADSL拨号(公网IP地址不固定)的方式上互联网,总部和分支机构采用数字证书分别验证对方的合法性,此时您可以在总公司的网络设备上启用基于数字证书的动态IPSec VPN,分公司的网络设备上启用基于数字证书的静态IPSec VPN。
锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用静态隧道
君逍遥o
09-05 1054
若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它即能实现总公司和分公司之间能够直接互相访问资源,也能对数据传输进行加密,保证了数据的安全性。若总部和分公司均是固定IP地址的方式,那么可以采用静态IPSec VPN。
锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用动态模式
君逍遥o
09-05 1010
IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。
PCI Express M.2 Specification Revision 1.1
09-05
官方资料,PCI-e M.2 接口规范 V1.1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值