vxlan和IPsec结合使用
来源:互联网 发布:ac尼尔森 网购数据 编辑:程序博客网 时间:2024/05/23 23:27
一、使用IPsec封装Vxlan报文
如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道来加密报文。配置如下:
创建VM1的手工SA:
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965dfip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df
创建VM1的SP(安全策略)
ip xfrm policy add src 192.168.233.180 dst 192.168.233.190 proto udp dir out ptype main tmpl src 192.168.233.180 dst 192.168.233.190 proto esp mode tunnelip xfrm policy add src 192.168.233.190 dst 192.168.233.180 proto udp dir in ptype main tmpl src 192.168.233.190 dst 192.168.233.180 proto esp mode tunnel
创建VM2手工SA:
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965dfip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df
创建VM2的SP(安全策略)
ip xfrm policy add src 192.168.233.180 dst 192.168.233.190 proto udp dir in ptype main tmpl src 192.168.233.180 dst 192.168.233.190 proto esp mode tunnelip xfrm policy add src 192.168.233.190 dst 192.168.233.180 proto udp dir out ptype main tmpl src 192.168.233.190 dst 192.168.233.180 proto esp mode tunnel
注意通过策略索引到SA,这里的策略指明了协议号,要求仅对udp的报文进行加密。实际上这个范围有点大了,但是如果我指明端口号(dport 4789),发现出向策略无法匹配!也就是udp不知道为什么内核不认端口号(我尝试了tcp的,是可以根据端口号索引的)
本来还想通过出接口dev这个选项来指明仅对vxlan报文进行加密,但尝试了下,发现对虚接口vxlan10,是没有效果的,仅对物理出接口有效。
按照如上配置可以通过ping命令测试,发现已经经过ESP加密了。
二、使用IPsec UDP报文穿越NAT
当VM1和VM2中有NAT设备,需要额外的IPsec处理。这里未测试真正NAT环境,仅增加对于NAT的配置如何处理。
按照第五部的思路,理论上只需要把SA增加个选项配置即可,如下:
创建VM1的手工SA:
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0</span>ip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0</span>
创建VM2手工SA:
ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth sha1 0x96358c90783bbfa3d7b196ceabe0536b enc aes 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0</span>ip xfrm state add src 192.168.233.190 dst 192.168.233.180 proto esp spi 0x00000302 mode tunnel auth sha1 0x99358c90783bbfa3d7b196ceabe0536b enc aes 0xffddb555acfd9d77b03ea3843f2653255afe8eb5573965df <span style="color:#ff0000;">espinudp 4500 4500 0.0.0.0</span>
但是实际上是不行的,需要开启4500端口的UDP侦听功能,参见另一篇博文,就可以ping通了。
0 0
- vxlan和IPsec结合使用
- 使用postman基于opendaylight和ovsdb创建vxlan隧道
- 使用IPsec
- 使用 ipsec-tools 设置 SAD 和 SPD
- vxlan的使用
- Overlay网络和VXLAN
- GRE和VXLAN
- GRE 和 VXLAN 对比
- VxLAN和GRE
- 使用 IPsec 与组策略隔离服务器和域-附录 B:IPsec 策略摘要
- 使用 IPsec 与组策略隔离服务器和域-附录 A:IPsec 策略概念概述
- 使用 IPsec 与组策略隔离服务器和域-第 7 章:IPsec 疑难解答
- vxlan
- vxlan
- VxLAN
- vxlan
- vxlan
- vxlan报文和基本组网
- 二叉搜索树的后序遍历序列
- 神奇的 BlocksKit (二)
- 移动端自适应方法
- 主成分分析PCA工作原理和简单介绍
- 设计模式之访问者模式
- vxlan和IPsec结合使用
- iOS字体包导入过程
- select、poll、epoll之间的区别总结
- android分享 ------ 友盟分享(续)
- 【mybatis源码分析】原理分析之四:一次SQL查询的源码分析
- hrbust/哈理工oj 1617 回家【BFS+BFS】
- GNU __attribute__ 机制
- 插入排序C++实现
- Clustering