ipsec你了解多少
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
cwmp undo cwmp enable
# interface Aux0
127.0.0.1
127.0.0.0/8
Direct 0 0
127.0.0.1
127.0.0.1/32
Direct 0 0
127.0.0.1
192.3.1.1/32
Direct 0 0
127.0.0.1
没有二级分部的路由。
这里说明下。0.0.0.0/0
Static 70 0
这条路由是通过 DHCP 获得的。优先级为 70。
深入 ipsec 篇。 (此文档只适合对 IPsec 有一定认识的人阅读并探讨)
在没有路由的情况下。如果说数据能够正常的转发。你或许不会信。对的。在正常的情况下。 路由进行深度查表。如果没有可以匹配那么数据包将会被丢弃,但是用 ipsec(IKE 模式) 的话。将可以使用类似于递归查表的功能(我把这种现象暂时称之为递归查询吧,各位大师 请谅解)。从而可以从某种程度上讲。没有路由也可以转发。当然。前提是在某种特殊的环 境下。在正常的情况下。我想没人会把这种原理套到现实工程上去吧,下面我将做个试验。 试验拓扑及需求。全部由本人模拟。(在正常的情况下加条静态就可以实现了,这里需求之 所以这样出,那是为了让大家更加形象的记住此实验,以及此文档的价值。本人不才,写文 档不是为了炫耀自己有多牛 B,而是呈现给大家一种学习的精神,任何细节,只要你有去专 研的心,都会给你带来意外的惊喜,当我在实验室里面每次攻破一个难题,心里有一种小小 的成就感,我知道,我只是一个半路出家的小小菜鸟,跟一些经验丰富的工程师比,太显的 一文不值,有时候我甚至怀疑我所学的东西能否给我带来成正比的物质,因为我年龄小,又 没证书,找工作是我学网络旅途中面对的第一大挑战,所以,除了理论和实战之外,心里要 有比别人更强的心理素质准备,认认真真的学完每一个协议的细节,之外。和实验室的哥们 一起讨论兴趣这个话题的时候,我坦白,我学网络,压力大于兴趣,说句难听的话,要不是 当初走投无路,我应该是不会选择这条路,既然是自己选的路。那么跪着也要走完、)。OK, 扯了这么多,下面进入正题,
Eth0/0 Eth0/0 InLoop0 Tun1 InLoop0 InLoop0 InLoop0 Tun1 InLoop0
version 5.20, Release 1910P15, Standard #
sysname r5 #
ike local-name r5 #
domain default enable system #
interface Tunnel1
description fenbu1
ip address 13.13.13.2 255.255.255.252
source 1.1.1.2
destination 61.67.1.1
#
load xml-configuration
#
load tr069-configuration
Rቤተ መጻሕፍቲ ባይዱutes : 9
phase doi
1
IPSEC
2
IPSEC
Destination/Mask Proto Pre Cost
NextHop
Interface
0.0.0.0/0
Static 70 0
2.2.2.0/30
Direct 0 0
2.2.2.2/32
Direct 0 0
15.15.15.0/30
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
[r3]
R3 的路由表
[r3]dis ip rou
Routing Tables: Public
Destinations : 8
Routes : 8
Destination/Mask Proto Pre Cost
#
user-interface con 0
user-interface tty 13
user-interface aux 0
user-interface vty 0 4
#
return
[r3]
R5 的 IKE 状态
<r5>dis ike sa
total phase-1 SAs: 1
connection-id peer
Direct 0 0
15.15.15.2/32
Direct 0 0
127.0.0.0/8
Direct 0 0
127.0.0.1/32
Direct 0 0
192.0.0.0/8
Static 60 0
192.5.1.1/32
Direct 0 0
指向总公司的静态。
R5 的全局配置
[r5]dis cu
#
2.2.2.1 2.2.2.2 127.0.0.1 15.15.15.2 127.0.0.1 127.0.0.1 127.0.0.1 15.15.15.2 127.0.0.1
access-limit disable state active idle-cut disable self-service-url disable # ike peer 1 exchange-mode aggressive pre-shared-key simple h3c id-type name remote-name r1 remote-address 61.67.1.1 # ipsec proposal 1 # ipsec policy h3c 1 isakmp security acl 3000 ike-peer 1 proposal 1 # user-group system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! authorization-attribute level 3 service-type telnet #
R3 的全局配置
[r3]dis cu
#
version 5.20, Release 1910P15, Standard
#
sysname r3
#
ike local-name r3
#
domain default enable system
#
Eth0/0 Eth0/0 InLoop0 Tun1 InLoop0 InLoop0 InLoop0 InLoop0
1.1.1.1
Eth0/0
dar p2p signature-file cfa0:/p2p_default.mtd #
port-security enable # acl number 3000
rule 0 permit ip rule 5 permit ip source 1.1.1.2 0 destination 61.67.1.1 0 # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # ike peer 1 exchange-mode aggressive pre-shared-key simple h3c id-type name remote-name r1 remote-address 61.67.1.1 # ipsec proposal 1 # ipsec policy h3c 1 isakmp security acl 3000 ike-peer 1 proposal 1 # user-group system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! authorization-attribute level 3 service-type telnet # cwmp undo cwmp enable # interface Aux0 async mode flow link-protocol ppp #
flag
----------------------------------------------------------
17
61.67.1.1
RD|ST
18
61.67.1.1
RD|ST
R5 的路由表
<r5>dis ip rou
Routing Tables: Public
Destinations : 9
interface Cellular0/0 async mode protocol link-protocol ppp
# interface Ethernet0/0
port link-mode route ip address dhcp-alloc ipsec policy h3c # interface Ethernet0/1 port link-mode route # interface Serial1/0 link-protocol ppp # interface NULL0 # interface LoopBack100 ip address 192.3.1.1 255.255.255.255 # interface Ethernet0/2 port link-mode bridge # interface Ethernet0/3 port link-mode bridge # interface Ethernet0/4 port link-mode bridge # interface Ethernet0/5 port link-mode bridge # interface Ethernet0/6 port link-mode bridge # interface Ethernet0/7 port link-mode bridge # interface Ethernet0/8 port link-mode bridge # interface Ethernet0/9 port link-mode bridge #
但根据各厂商所实现 IPSEC 的不同,这种实验并不是在所有的设备上都可以实现。在 H3
的设备上,只能有一方抓取 IP 数据流,一方只能指静态,(如果两边 ACL 都这样写,那么
会出现两边即使 IPSEC 建立成功那么也只能一边通讯)
老规矩。先贴个协议的状态。
R3 一级分部 IKE 正常建立
[r3]dis ike sa
既然需求上强烈要求只能一方指静态,那该用什么方法呢?思考十分钟。 在创建 IPSEC 中,抓触发 IKE 的流,相信大家都很熟悉,其实根据这种需求,可以成功利 用抓取触发流做文章,在 ACL 里面外加一条,(前提是 ipsec 正常建立好,)允许一切 IP 流 触发,那么当有到达目的地的数据查找表失败之后,依然可以成功的封装到 IPSEC 包里面, 到 R1 之后,进行拆包,然后根据目的地的 IP 地址,进行查表,从而依据 R1 路由表中的路 由依据转发,到对端后,同样,也是所有 IP 流触发 IKE,查表失败之后,依据根据 ipsec 转 发,整网的转发原理就是这样实现两个分部的数据互访,而 ACL 在写上一条允许 IP 的所有 数据,那么相当于一条缺省,这条命令是本实验的核心部分,最后补充一点。理论是这样,
NextHop
Interface
0.0.0.0/0
Static 70 0
1.1.1.1
1.1.1.0/30
Direct 0 0
1.1.1.2
1.1.1.2/32
Direct 0 0
127.0.0.1
13.13.13.0/30
Direct 0 0
13.13.13.2
13.13.13.2/32
Direct 0 0
total phase-1 SAs: 1
connection-id peer
flag
phase doi
----------------------------------------------------------
20
61.67.1.1
RD|ST
1
IPSEC
22
61.67.1.1
RD|ST
2
IPSEC
dar p2p signature-file cfa0:/p2p_default.mtd #
port-security enable # acl number 3000
rule 5 permit ip source 2.2.2.2 0 destination 61.67.1.1 0 # vlan 1 # domain system