vxlan和IPsec结合使用

其他 2020-03-03 17:32:16 阅读次数: 0


一、使用IPsec封装Vxlan报文
如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道来加密报文。配置如下:
创建VM1的手工SA:
  
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df


创建VM1的SP(安全策略)
  
ip xfrm policy add src 192.168.233.180 dst 192.168.233.190 proto udp dir out ptype main tmpl src 192.168.233.180 dst 192.168.233.190 proto esp mode tunnel
ip xfrm policy add src 192.168.233.190 dst 192.168.233.180 proto udp dir in ptype main tmpl src 192.168.233.190 dst 192.168.233.180 proto esp mode tunnel



创建VM2手工SA:
  
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df
ip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df


创建VM2的SP(安全策略)
  
ip xfrm policy add src 192.168.233.180 dst 192.168.233.190 proto udp  dir in ptype main tmpl src 192.168.233.180 dst 192.168.233.190 proto esp mode tunnel
ip xfrm policy add src 192.168.233.190 dst 192.168.233.180 proto udp  dir out ptype main tmpl src 192.168.233.190 dst 192.168.233.180 proto esp mode tunnel

注意通过策略索引到SA,这里的策略指明了协议号,要求仅对udp的报文进行加密。实际上这个范围有点大了,但是如果我指明端口号(dport 4789),发现出向策略无法匹配!也就是udp不知道为什么内核不认端口号(我尝试了tcp的,是可以根据端口号索引的)
本来还想通过出接口dev这个选项来指明仅对vxlan报文进行加密,但尝试了下,发现对虚接口vxlan10,是没有效果的,仅对物理出接口有效。
按照如上配置可以通过ping命令测试,发现已经经过ESP加密了。
二、使用IPsec UDP报文穿越NAT
当VM1和VM2中有NAT设备,需要额外的IPsec处理。这里未测试真正NAT环境,仅增加对于NAT的配置如何处理。
按照第五部的思路,理论上只需要把SA增加个选项配置即可,如下:
创建VM1的手工SA:
  
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0</span>
ip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0
</span>


创建VM2手工SA:
  
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0</span>
ip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0</span>


但是实际上是不行的,需要开启4500端口的UDP侦听功能,参见另一篇博文,就可以ping通了。
xingyeping
发布了54 篇原创文章 · 获赞 1 · 访问量 7万+
私信 关注

猜你喜欢

转载自blog.csdn.net/xingyeping/article/details/51353486
今日推荐
Linus “吃狗粮”最积极!
开源日报 | Winamp播放器即将开源;生成式AI之战升级第二轮;Linus“吃狗粮”最积极;AI进入泡沫前期;吴泳铭为阿里云带来了什么?
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
周排行
SVN服务端安装在阿里云
实战 | 相机标定
webpack核心概念
note20——》只要肯低头吃苦,人生就会有救
PAT甲级 1062 Talent and Virtue (25 分)排序
NG Toolset开发笔记--5GNR Resource Grid(26)
如何对待上司
oracle命令
第9章 STL迭代器
logstash使用es映射模板
每日归档
更多
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022