IPSEC
IPSEC 英文全稱 Internet Protocol Security。IPSEC有兩種封裝模式:傳輸模式和隧道模式,常用的是隧道模式。二種模式最根本的區(qū)別就是:傳輸模式?jīng)]有對原始報文的IP包頭進行加密,只對TCP和DATA部分加密,隧道模式生成新的IP包頭作為封裝后加密后報文的IP頭部,這樣完全地對原始IP數(shù)據(jù)報進行認證和加密,可以隱藏用戶私有的IP地址。
IPSec傳輸模式
IPSec隧道模式
建立一個IPSec 隧道需要滿足哪些條件?
1、網(wǎng)絡(luò)可達:例如A和B之間要建立隧道,那么A的IP地址和B的IP地址要相互可達。A能訪問B,B也能訪問A,因為隧道是單向的。
2、定義數(shù)據(jù)流:決定哪些數(shù)據(jù)流需要通過IPsec隧道傳輸
3、配置IPSec的proposal:配置數(shù)據(jù)流經(jīng)過IPSec 隧道時候使用的安全協(xié)議、加密算法、封裝模式等
4、將proposal應(yīng)用到IPSec的安全策略里面
5、將IPSec安全策略應(yīng)用到某個具體接口
請看下面拓撲
IPSEC 拓撲
地址規(guī)劃如下:
1、北京使用私網(wǎng)地址段10.10.1.0/24,其中.1是網(wǎng)關(guān),.2是site1;上海方面情況類似
2、北京用戶的CE路由器從ISP獲得一個公網(wǎng)地址為202.0.0.2/30,上海用戶的CE路由器從ISP獲得一個公網(wǎng)地址為58.0.0.2/30
在這種情況下,site1想訪問site2是不能通,因為ISP的大網(wǎng)里面沒有用戶私網(wǎng)段的路由。這個時候,我們可以在北京CE和上海CE之間建立IPSec隧道。
北京CE配置如下:
CE端 IPSEC相關(guān)配置
查看當前已建立的安全通道:
已建立的安全通道
查看IPSEC的相關(guān)配置信息:
IPSEC的相關(guān)配置信息
在site1上ping site2,結(jié)果如下:
ping測試
在北京CE出口上抓包查看:
抓包結(jié)果
只能看到建立隧道時候使用的兩端IP地址在通訊,原IP報文被加密無法看到。
