IPSEC

IPSEC 英文全称 Internet Protocol Security。IPSEC有两种封装模式：传输模式和隧道模式，常用的是隧道模式。二种模式最根本的区别就是：传输模式没有对原始报文的IP包头进行加密，只对TCP和DATA部分加密，隧道模式生成新的IP包头作为封装后加密后报文的IP头部，这样完全地对原始IP数据报进行认证和加密，可以隐藏用户私有的IP地址。

IPSec传输模式

IPSec隧道模式

建立一个IPSec 隧道需要满足哪些条件？

1、网络可达：例如A和B之间要建立隧道，那么A的IP地址和B的IP地址要相互可达。A能访问B，B也能访问A，因为隧道是单向的。

2、定义数据流：决定哪些数据流需要通过IPsec隧道传输

3、配置IPSec的proposal：配置数据流经过IPSec 隧道时候使用的安全协议、加密算法、封装模式等

4、将proposal应用到IPSec的安全策略里面

5、将IPSec安全策略应用到某个具体接口

请看下面拓扑

IPSEC 拓扑

地址规划如下：

1、北京使用私网地址段10.10.1.0/24，其中.1是网关，.2是site1；上海方面情况类似

2、北京用户的CE路由器从ISP获得一个公网地址为202.0.0.2/30，上海用户的CE路由器从ISP获得一个公网地址为58.0.0.2/30

在这种情况下，site1想访问site2是不能通，因为ISP的大网里面没有用户私网段的路由。这个时候，我们可以在北京CE和上海CE之间建立IPSec隧道。

北京CE配置如下：

CE端 IPSEC相关配置

查看当前已建立的安全通道：

已建立的安全通道

查看IPSEC的相关配置信息：

IPSEC的相关配置信息

在site1上ping site2，结果如下：

ping测试

在北京CE出口上抓包查看：

抓包结果

只能看到建立隧道时候使用的两端IP地址在通讯，原IP报文被加密无法看到。