信而泰IPSec测试方法

于 2023-12-04 17:49:46 发布
阅读量194 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinertel/article/details/134789944
版权

什么是IPSec

IPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全性。

IPSec产生原因

随着网络发展,企业直接通过Internet进行互联,IP协议没有考虑安全性,但是Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络就无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。

IPSec如何工作

分为四个步骤:
1、识别“感兴趣流”。设备在收到报文后,一般会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输,需要通过IPsec隧道传输的流量被称为“感兴趣流”。
2、协商安全联盟(Security Association,以下简称SA)。SA是通信双方对某些协商要素的约定,只有建立了SA才能进行安全的数据传输。识别出感兴趣流后,本端网络设备会向对端网络设备发起SA协商。在这一阶段,通信双方建立IKE SA,然后在IKE SA的基础上协商建立IPsec SA。
3、数据传输。IPsec SA建立成功后,双方就可以通过IPsec隧道传输数据。IPsec为了保证数据传输的安全性,在这一阶段需要通过AH或ESP协议对数据进行加密和验证。
4、隧道拆除。通常情况下,通信双方之间的会话老化即代表通信双方数据交换已经完成,因此为了节省系统资源,通信双方之间的隧道在空闲时间达到一定值后会自动删除。

IPSec的重要性

部署IPSec具有以下价值:

  • 数据来源验证:接收方验证发送方身份是否合法。
  • 数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
  • 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
  • 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

对于设备能否支持IPSec协议在各种场景的部署,以及设备对于各种场景的流量转发能否达标显得尤为重要,信而泰的2-3层BigTao测试平台和层DarYu测试平台以及DarPeng2000E平台的ALPS测试平台能进行IPSec的IKEv1、IKEv2、IKEGM测试。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

如何进行IPSec VPN测试

信而泰ALPS测试平台支持的IPSec VPN测试功能:
1、信而泰ALPS测试平台支持IPSec的IKE协议两个国际标准版本IKEv1和IKEv2,以及国家标准化管理委员会提出由国家密码管理局批准的我国自主制定的IPSec行业标准——《GM-T 0022-2014 IPsec VPN技术规范》即IKEv1.1。
在这里插入图片描述
2、身份认证支持预共享密钥PSK(pre-shared key)认证、数字证书RSA(rsa-signature)认证。预共享密钥PSK(配置方式为IKEv1或IKEv2时)数字证书Cert(配置方式为IKEv1、IIKEv2或IKEGM时)。
3、IKE HD(公共密钥算法)支持MODP-768(1),MODP-1024(2),MODP-1536(5),MODP-2048(14),MODP-3072(15),MODP-4096(16),MODP-6144(17),MODP-8192(18)等。
在这里插入图片描述
4、“完善的前向保密”PFS(Perfect Forward Secrecy)支持MODP-768(1),MODP-1024(2),MODP-1536(5),MODP-2048(14)等。
在这里插入图片描述
5、IKE哈希算法支持HMAC-SHA2-318,HMAC-SHA2-512,HMAC-SHA2-256,GM-SM3;
IKE加密算法支持AES-CBC-128,AES-CTR-128,AES-CBC-192,AES-CBC-256,GM-SM4;IKE PRF伪随机数算法支持HMAC-SHA2-256,GM-SM3,AES-128,HMAC-SHA2-384,HMAC-SHA2-512,HMAC-SHA1;
ESP哈希算法支持NULL,HMAC-MD5,HMAC-SHA2-256,HMAC-SHA2-384,HMAC-SHA2-512,GM-SM3,GM-SM3-96;
ESP加密算法支持DES-CBC,3DES-CBC,AES-CTR-128,AES-CBC-128,AES-CBC-192,AES-CBC-256,GCM-128,GCM-192,GCM-256,GM-SM4;
支持校验证书;
IPsec拓扑模式支持Site To Site(两个局域网之间通过VPN隧道建立连)和Remote Access(客户端与企业内网之间通过VPN隧道建立连接)
在这里插入图片描述
应用场景示例
IPSec VPN点对多点IKEv1测试:
在这里插入图片描述
拓扑说明:

  • 本例使用测试仪上的Port1(作为多个分支机构模拟的多个防火墙来和DUT的G0/0/1端口建立IPSec隧道)和Port2(作为DUT的G0/0/2端口后的网络,模拟DUT后的总部)。

操作步骤:
第一步:预约端口,创建并设置网络邻居
第二步:创建测试用例,编辑流量模型及应用模型
第三步:保存配置并运行
在这里插入图片描述
查看结果:
统计中第一阶段及第二阶段协商成功数量为100。
在这里插入图片描述
DUT上IPSec VPN协商成功数量为100。
在这里插入图片描述

XINERTEL
关注
博客
高效验证SRv6 TE Policy:解锁网络设备性能测试的关键技巧
09-02 1054
SRv6 TE Policy是在SRv6技术基础上发展的一种新的隧道引流技术。SRv6 TE Policy路径表示为指定路径的段列表(Segment List),称为SID列表(Segment ID List)。每个SID列表是从源到目的地的端到端路径,并指示网络中的设备遵循指定的路径,而不是遵循IGP计算的最短路径。如果数据包被导入SRv6 TE Policy中,SID列表由头端添加到数据包上,网络的其余设备执行SID列表中嵌入的指令。SRv6 TE Policy包括以下三个部分:
博客
VBRAS场景测试方法——如何高效验证网络设备的性能与稳定性
08-30 1147
01 vBRAS的产生背景为了解决传统BRAS中存在的设备资源利用率低、运维复杂和新业务开通缓慢等问题,业界提出了基于转发与控制分离的vBRAS系统架构。基于转发与控制分离的vBRAS系统架构包括CP和UP两种角色,由二者共同实现BRAS功能。CP(ControlPlane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。UP(UserPlane,用户平面):负责完成用户业务流量转发和流量控制等转发平面功能。02 系统架构组成1、控制平面控制平面采用vBRAS-CP进行池化
博客
探索802.1X:构筑安全网络的认证之盾
08-21 1691
首先,让我们了解一下什么是802.1x。802.1x是一个基于端口的网络访问控制机制,由IEEE(电气电子工程师学会)开发,属于IEEE 802.1标准家族。它的主要作用是通过认证管理用户和设备对网络的访问权限。更通俗地说,802.1x就像是网络的门卫,负责检查每一个试图进入网络的设备或用户的身份,只有通过认证的合法用户才能进入。这不仅可以防止未授权的设备接入,还可以确保网络的安全和稳定。
博客
将真实世界带入实验室—如何使用ALPS进行网络损伤仿真测试
07-31 955
信而泰X-Compass系列网络损伤仪配合信而泰BigTao/DarYu系列网络测试仪串接在测试网络中,针对网络测试仪发生的流量引入带宽限制、延时/抖动、丢包、乱序、重复报文、物理链路损伤等损伤仿真功能,并支持同时设立8类场景,每个损伤应用场景可针对特定的流量进行过滤,并支持独立配置各类损伤及组合,以验证在特定网络损伤模型下(如:特定的丢包率、特定的时延及抖动下)对上层应用业务的影响。既然真实网络环境中的网络损伤是不可避免的,我们能否在测试网络环境中模拟真实的网络环境?
博客
家庭网络全新升级,信而泰FTTR测试方案助您打造超高速光纤到房间
07-17 1085
光接入网是“连接+算力+能力”的第一跳入口,运营商正全面提升光接入网络的带宽、时延和覆盖等网络基础能力,实现面向用户的万兆体验保障。而光+Wi-Fi协同组网正是以FTTR(Fiber to The Room)主没备为控制中心,光+WLAN联合调度,实现域内Wi-Fi组网有序收发;以OLT为控制中心,实现面向FTTR密集部署场景的跨域无缝漫游。
博客
如何使用信而泰测试仪构建802.1CB测试模型
07-05 1081
(4)在P1/P2发送FRER Stream到DUT,在交换机的GE4和GE5入口方向抓包查看是否为带序列号的流量,然后在Port3上进行抓包查看是否将序列号去除,并且只收到1份流量。(3)然后按照步骤分别选择DUT角色为Listener、配置端口角色(P1、P2为发送端口,P3为接收端口)、配置流,完成CB配置;(5)恢复SW1和SW2之间的链路,然后断开SW1和SW3之间的链路,查看是否有丢包产生,正常是没有丢包的。(4)断开SW1和SW2之间的链路,查看是否有丢包产生,正常是没有丢包的;
博客
信而泰测试仪表如何实现通信时延的高精度测量
06-28 948
网络时延测试的对象广泛,它不仅涵盖了单一的网络设备,如交换机(Switch)、路由器(Router)和防火墙(Firewall)等,也包括了局域网络(Local Area Network, LAN)的整体性能评估。通过观察我们发现,测试出来的时延值,随着字节的增大而增大,且每增加128字节的帧长,所增加的时延为1.024us、这里我们注意到仪表自环情况下会有一个时延抖动值(由于本次使用的bigtao系列测试仪对应板卡的时延精度为8ns,所以这里产生了0.008us的抖动值)
博客
光猫BOB 功率调测误差分析与校验指南
06-24 1051
在光路校准时,一般Tx/Rx光路校准是分开进行的,光纤插拔也是分开的,每次操作引入的误差也是不同的,所以Tx/Rx光路校准的误差一般也是独立的,不存在必然的关联性。改变输入功率,在不同输入功率PAi时查询被测光猫的RxDDMI的上报功率PBi,(或利用校准时的几组测试数据(PAi,ADi),将ADi数据代入y=Slope*Adi+Offset,计算得到相应RxDDMI的上报功率PBi),并比较实际功率PAi与上报功率PBi偏差,均小于门限,可说明功率响应是符合线性的。
博客
全光万兆时代来临:信而泰如何推动F5G-A(50PON&FTTR)技术发展
06-14 1126
RFC1242(网络互连设备基准术语)提供两种不同的延迟定义,根据测试设备(DUT)或测试系统类型、存储转发设备或直通设备(SUT)RFC2544对RFC1242中的性能评测内容,规定了具体测试方法和详细的结果格式RFC4689(网络层流量控制机制基准测试术语)定义了最后到最后(LTL)度量,也称为最后进,最后出(LILO),称为转发延迟,而不是延迟。
博客
如何高效测试防火墙的NAT64与ALG应用协议转换能力
05-28 1346
在本文开始介绍如何去验证防火墙(DUT)支持NAT64 ALG应用协议转换能力之前,我们先要简单了解2个比较重要的知识点,即,NAT64和ALG这两个家伙到底是什么?
博客
BIERv6测试解析— 如何使用仪表进行转发性能测试
05-11 1360
BIERv6(Bit Index Explicit Replication IPv6 encapsulation)是一种新型组播方案。BIERv6使用比特串封装目的节点集合,无需建立组播分发树或保存流状态,简化了网络节点操作。它与SRv6无缝融合,高效承载各种组播业务,如IPTV、视频会议、远程教育和在线直播。
博客
如何利用仪表构造InfiniBand流量在数据中心测试中的应用
04-30 1274
在当今数据爆炸的时代,数据中心作为信息处理的中心枢纽,面临着前所未有的挑战。传统的通信方式已经难以满足日益增长的数据传输需求,而InfiniBand技术的出现,为数据中心带来了全新的通信解决方案。InfiniBand(IB)是一种高性能计算和数据中心网络架构,其设计目标是通过提供低延迟、高带宽以及可扩展性来满足大规模计算和数据传输的需求。让我们深入了解InfiniBand的基本概念。InfiniBand网络采用点对点的直连架构。
博客
信而泰推出针对车载以太网测试更便捷、可靠组件
04-30 1035
通过使用叠加,编码和加扰方案(以及一些无源组件)等技术,与传统的快速以太网(100BASE-TX)解决方案相比,100BASE-T1可降低电磁干扰(EMI),布线重量,成本和占用空间。综上所述,100/1000Base-T1标准在汽车以太网领域的应用广泛,尤其在需要高速数据传输和复杂通信的应用场景中,如汽车产品开发、测试以及未来的关键车载应用如ADAS等。通过100/1000Base-T1转换模块,车辆内部的各个系统,如娱乐系统、导航系统、安全系统等,可以互相连接并交换数据,提高车辆的整体性能和用户体验。
博客
BGP-LS原理及基本功能测试方法
04-03 1404
博客
如何进行设备的非对称性能测试
03-22 1185
RFC2544是RFC组织提出的用于评测网络互联设备(防火墙、IDS、Switch等)的国际标准。主要是对RFC1242中定义的性能评测参数的具体测试方法、结果的提交形式作了较详细的规定。标准中定义了4个重要的参数:吞吐量(Throughput)、丢包率(Lost Rate)、时延(Latency)和背靠背(Back-to-Back),通常用这四个参数指标来评估网络转发性能。在针对交换机、核心路由器等网络设备进行测试时,得益于设备强大的转发能力,大部分情况下设备能够实现全接口线速转发数据包。
博客
浅析TSN网络之车载以太网协议测试
02-29 1498
TSN是一项从视频音频数据领域延伸至工业领域、汽车领域的技术。TSN最初来源于音视频领域的应用需求,当时该技术被称为AVB,由于针对音视频网络需要较高的带宽和最大限度的实时,借助AVB能较好的传输高质量音视频。2012年,AVB任务组在其章程中扩大了时间确定性以太网的应用需求和适用范围,并同时将任务组名称改为现在的:TSN任务组。TSN是以以太网为基础的新一代网络标准,具有时间同步、延时保证等确保实时性的功能。
博客
混合攻击流量对系统安全性的综合评估
02-02 1262
我们根据需要挑选所需要的流量,并进行流量比例设置,流量比例可以基于带宽或者流来进行设置,设置时可以直观的看到每条流占用的带宽、应用流占总流数的比例,另外,如果需要进行如丢包、乱序等损伤,可以针对单条流或者所有流开启损伤功能。此外,为了更好的进行测试,我们一般会在应用背景流量达到稳定时再发出DDoS攻击,所以这里我们需要将DDoS攻击做一个延时启动,例如,应用流量设置在20秒后达到稳定,DDoS的延时启动可以设置为20秒。对于恶意代码、病毒,我们可以查看攻击结果和相应的MD5等信息,和被测设备日志比对确认。
博客
工业4.0开放平台通信 统一架构OPC UA的一种测试方法
01-25 867
OPC全称为OLE for Process Control,其中,OLE 可以简单理解为接口,而UA 则为Unified architecture,故OPC UA 全称为“开放性生产控制与统一架构”。OPC UA是传统OPC技术取得很大成功之后的又一突破,让数据采集、信息模型化以及工厂底层与企业层面之间的通信更加安全、可靠。OPC UA通信是跨平台的,具有更高的安全性和可靠性,满足了企业信息高度连通的需求。⑴ 客户端 - 服务器模型绝大部分OPC UA都是基于这种模型来实现的。
博客
时间触发以太网TTE交换机混合流量测试方法
01-19 1246
TTEthernet,全称为Time Triggered Ethernet 时间触发以太网技术,即以时间触发代替事件触发,将通信任务通过合理的调度定时触发发送。TTE 将时间触发传输的实时性、确定性、容错能力等特点与传统以太网“尽力投递”的灵活性、动态性等特点结合在了一起,其目的就是在于通过全局时钟精确同步,可有效避免数据帧在传输过程中造成的冲突,保证通信延迟与时间偏移的确定性。1、 TTE网络体系架构示意图。
博客
如何使用网络测试仪构造特殊流量
01-12 1418
Renix软件支持调度表方式构造复杂流量,如下图所示:图中的参数,关系如下图所示:Entry:条目编号(只读)PortName:端口名称(只读)Name:调试条目名称(默认生成)Enable:使能该调底条目StreamState:条目状态(只读)Stream Block Reference:关联流块(通过下拉框选择)Return to Entry:指定跳转条目(该条目调底结束后待调度条目),与Loop Count配合使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值