ipsec

云平台内网络资源整合技术 1.1 网络拓扑 。不仅支持云平台的全局拓扑，还支持针对自定义资源生成拓扑图，快速定位资源状态。 图 10:全局拓扑 图 11: 自定义拓扑 1.2 二层网络资源 VXLANPool VXLANPool表示使用UDP进行报文封装的VXLAN类型的集合，是基于IP网络组建的大二层网络，可满足大规模云计算中心的需求，最大支持16M个逻辑子网。 •VXLANPool和VxlanNetwork共同提供了VxlanNetwork类型的配置，使用VxlanNetwork需先创建VXLANPool，VxlanNetwork对应了VXLANPool里的一个虚拟网络。•VXLANPool最大可支持16777216（16M）个虚拟网络。其Vni（VXLAN网络ID）范围可从1-16777216设置。 •在创建VXLANPool时，如果需要加载到相应集群，则需设置相应的VTEP（VXLAN隧道端点）。•VTEP一般对应于集群内计算节点中的某一网卡的IP地址， 对 VTEP的设置基于相应的CIDR进行配置，例如： ▬假定计算节点某网卡的IP为10.12.0.8，子网掩码为255.0.0.0，网关为10.0.0.1，则VTEP输入的CIDR应为10.0.0.1/8； ▬假定计算节点某网卡的IP为172.20.12.13，子网掩码为255.255.0.0，网关为172.20.0.1

伴随着不断出现的外部，内部挑战，我们将业务向公有云迁移。随着时间的推移，逐渐形成了混合云架构。 原文：http://blog.51cto.com/13857458/2139484

一、组网需求 1、如图所示，RouterA为企业分支网关，RouterB为企业总部网关，分支与总部通过公网建立通信。分支子网为10.1.1.0/24，总部子网为10.1.2.0/24。 企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于维护网关较少，可以考虑采用手工方式建立IPSec隧道。 2、网络拓扑 3、采用如下思路配置采用手工方式建立IPSec隧道： 配置接口的IP地址和到对端的静态路由，保证两端路由可达。 配置ACL，以定义需要IPSec保护的数据流。 配置IPSec安全提议，定义IPSec的保护方法。 配置安全策略，并引用ACL和IPSec安全提议，确定对何种数据流采取何种保护方法。 在接口上应用安全策略组，使接口具有IPSec的保护功能。 二、操作步骤 1、配置接口IP地址 <Huawei>system-view [Huawei]sysname RouterA [RouterA]interface GigabitEthernet 0/0/2 [RouterA-GigabitEthernet0/0/2]ip address 10.1.1.1 24 [RouterA-GigabitEthernet0/0/2]q [RouterA]interface

子标题：ipsec rekey是否会导致丢包 author: classic_tong 前言 什么叫rekey。 rekey是指ipsec的通信两端定期更换加密信道秘钥的机制。 为了安全性考虑，随着秘钥使用时间的延迟，对称秘钥被破解的可能性会逐渐增大。所以，定期更换 对称秘钥，是保证ipsec安全性的必要手段。 我们知道key有两个key，IKE sa的key和child sa（ipsec sa）的key。所以rekey也有两个，ike rekey 和child rekey。 这里只讨论child sa的rekey。 所有内容，都来自这里： https://tools.ietf.org/html/rfc7296#section-2.8 一 概念 rekey是指，一旦满足rekey条件（soft条件）时，会向另一端发送一个CREATE_CHILD_SA请求消息，另一个端回复 一个CREATE_CHILD_SA响应消息。从而协商出一个新的sa的过程。 这个时候，旧的SA并没有被删除，一旦瞒住删除条件（hard条件）时，旧的SA会被满足条件的一段，通过INFORMATION条件触发删除。 rekey的触发条件分三种，时间触发，报数触发，字节数触发。其中各又被分为soft和hard两种条件。用来分别触发上边的描述。 例如：设置了时间触发为100秒。就是指child

首先，推荐跑下面的脚本： https://github.com/BoizZ/PPTP-L2TP-IPSec-VPN-auto-installation-script-for-CentOS-7 这个脚本将pptp l2tp ipsec都按照，并且配置好，当然很多配置不准确 跑脚本的时候配置好ip规划，PPsk共享秘钥（这个后面客户端连接需要用到） 用户名 ，密码 （后面连接都需要用到） PSK共享秘钥在/etc/ipsec.secrets可以找到和配置 用户名密码在/etc/ppp/chap-secrets 可以找到配置 下面的简单修改流程： vim /etc/ipsec.conf config setup # NAT-TRAVERSAL support, see README.NAT-Traversal #nat_traversal=yes # exclude networks used on server side by adding %v4:!a.b.c.0/24 virtual_private =% v4 : 10.0 . 0.0 / 8 ,% v4 : 192.168 . 0.0 / 16 ,% v4 : 172.16 . 0.0 / 12 # OE is now off by default. Uncomment and change to on, to enable.

1、pptp yes 2、TUN cat: /dev/net/tun: File descriptor in bad state cat /dev/net/tun 1、yum centos xl2tpd, yum yum install -y epel-release 2、xl2tpd yum install -y xl2tpd libreswan lsof 3、xl2tpd vim /etc/xl2tpd/xl2tpd.conf [global] [lns default] ip range = 192.168.1.128-192.168.1.254 local ip = 192.168.1.99 require chap = yes refuse pap = yes require authentication = yes name = LinuxVPNserver ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes 4、ppp vim /etc/ppp/options.xl2tpd ipcp-accept-local ipcp-accept-remote name xl12tpd #noccp auth #crtscts idle 1800 mtu 1410 mru 1410

IPSec工作在三层协议，在IPV6网络中IPSec被强制使用。Internet网络协议简称IPSec。IPSec是一种开放标准的框架，它通过加密安全服务确保IP网络通信的保密性和安全性。可以用于身份验证，加密数据和对数据完整性做认证。 IPSec组建协议框架： (1)第一阶段――IKE 前身是ISAKMP，主要用于第一阶段协商 （2）第二阶段――AH，ESP 主要用于第二阶段的数据保护 AH――认证头协议，保证数据完整性 ESP――封装认证协议，数据加密、数据完整性 IPSec的两种模式 传输模式：TRANSPORT用于保护主机到主机 隧道模式：Tunnel用于保护主机到网络或者网络到网络

中国建成最大的IPV6网络，关于中国最大的IPV6主干网的相关信息 参看新浪 http://tech.sina.com.cn/focus/IPv6_net/index.shtml 微软目前正在准备发布下一个版本的Windows操作系统Windows Vista。 正如你可能期待的那样，Windows Vista将配置新的功能。不过，令我感到意 外的一件事情是微软对执行TCP/IP协议的方式做了一些重要的改变。 Windows Vista将是第一个默认支持IPv6协议的Windows发布版。微软将通过默 认启用IPv6功能的方法突出这个协议的重要性，你也许会很想知道使用IPv6有什 么好处。这个协议的主要好处是具有更大的地址空间。IPv6提供了128位的地址 空间，相比之下，IPv4仅提供了32位的地址空间。如果全世界采用IPv6协议，就 不会存在公共可访问的网络地址不够用的情况了。IPv6的另一个好处是其速度比 IPv4快得多。IPv6使用的包头(packet header)比IPv4使用的包头更合理。IPv6支 持分层次的路由。这就意味着路由器发送IPv6数据包的速度比发送IPv4数据包的 速度更快。 IPv6的设计是要解决IPv4协议中发现的一些安全问题的。一项增强的功能是 IPv4有内置的支持IPsec协议的功能。的确，Windows XP和Windows Server

西北院那个我们准备用ipsec方式让他们网站服务器以我们这边的ipv6地址对外发布出去的。 首先我们ispec隧道是建立起来了的。 在我们出口负载均衡设备也能通他们的网站服务器。 但是映射会有问题。 譬如你先用ipv4做了端口映射，譬如把106.38.122.202:80映射到西北院网站10.10.150.22：80 我发现ipv4的不好使，更别说ipv6了。 之所以ipv4不好使是因为如下： 譬如公网任一用户1.1.1.1通过我们出口进入时候，虽然做了端口映射把数据包 源1.1.1.1 到目的 106.38.122.202的包转换成了 源1.1.1.1 到目的10.10.150.22，但是之后这样的数据包是无法通过ipsec隧道过去的。因为我们无法对公网任一一公网ip做ipsec。 工程师说的解决办法，写一条源nat，将公网准备发往10.10.150.22：80的这些数据包的公网地址的源ip进行源nat转换，转换成为保护网段的ip。那么就不是解决这个问题了吗?

ipsec sa ike sa 重新建立需要按照规定的时间或者达到指定的流量才会重新建立，此时中途如果一端的隧道中断，另一端可能无法感知，导致***流量不通。 使用dpd技术 相当于心跳报文，当指定周期无法收到对端的dpd报文，删除ipsec相关隧道，重新发起隧道协商，可以减少***隧道中断时间 注意： 1、实践过程中发现 a端配置dpd，b端不配置，导致a端发出的dpd报文无法得到响应，产生dpd failure ，重新发起隧道协商，但是b端认为*** 隧道正常，隧道状态up，导致*** 网络不通，此时需要2端都开启dpd 检测，或者2端都关闭dpd检测