IPSEC 英文全称 Internet Protocol Security。IPSEC有两种封装模式:传输模式和隧道模式,常用的是隧道模式。二种模式最根本的区别就是:传输模式没有对原始报文的IP包头进行加密,只对TCP和DATA部分加密,隧道模式生成新的IP包头作为封装后加密后报文的IP头部,这样完全地对原始IP数据报进行认证和加密,可以隐藏用户私有的IP地址。
建立一个IPSec 隧道需要满足哪些条件?
1、网络可达:例如A和B之间要建立隧道,那么A的IP地址和B的IP地址要相互可达。A能访问B,B也能访问A,因为隧道是单向的。
2、定义数据流:决定哪些数据流需要通过IPsec隧道传输
3、配置IPSec的proposal:配置数据流经过IPSec 隧道时候使用的安全协议、加密算法、封装模式等
4、将proposal应用到IPSec的安全策略里面
5、将IPSec安全策略应用到某个具体接口
请看下面拓扑
地址规划如下:
1、北京使用私网地址段10.10.1.0/24,其中.1是网关,.2是site1;上海方面情况类似
2、北京用户的CE路由器从ISP获得一个公网地址为202.0.0.2/30,上海用户的CE路由器从ISP获得一个公网地址为58.0.0.2/30
在这种情况下,site1想访问site2是不能通,因为ISP的大网里面没有用户私网段的路由。这个时候,我们可以在北京CE和上海CE之间建立IPSec隧道。
北京CE配置如下:
查看当前已建立的安全通道:
查看IPSEC的相关配置信息:
在site1上ping site2,结果如下:
在北京CE出口上抓包查看:
只能看到建立隧道时候使用的两端IP地址在通讯,原IP报文被加密无法看到。