IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 人工智能 -> 为什么IPsec两端内网的网段能不能重复?分明可以实现! -> 正文阅读

[人工智能]为什么IPsec两端内网的网段能不能重复?分明可以实现!

上一个IPsec实验,我们测试了两端不同子网的隧道打通,那能不能打通两端相同的子网呢?

原则上是不行的,因为不同站点的网段在设计时就要求不能冲突,这样会影响报文的正常转发。当分支数量大于2个时,也会导致不同隧道的保护流量源目地址段重复,进而导致数据转发异常。

但是,大二层网络技术都已经实现了,为什么IPsec不能用呢?我们来一步一步地分析一下具体原因和解决办法。

组网需求和组网图

和上个实验相同。在RT1和RT2之间建立一条IPsec隧道,对PCA(192.168.1.101/24)与PCB(192.168.1.102/24)互访的数据流进行安全保护。

?

发现问题并解决问题

问题1

正常来讲,PCA和PCB在同一网段但是不在同一网络应该是不能通信的。举个例子,PCA(192.168.1.101)请求PCB(192.168.1.102)时,会发现在同一个广播域内,那么他就会直接发送ARP广播请求。当网关设备RT1收到ARP解析请求时,因为本身没有对应的ARP表项,也就不会响应该请求流量。

?

最终导致的结果就是,这一请求流量最终终结在了PCA的LAN侧。

解决方案

解决该问题就是要让请求流量上到网关设备上,常用的解决方案就是代理ARP。

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

所以我们此处要用的就是普通代理ARP,开启方法很简单,就是在接口下配置如下命令:

proxy-arp enable

问题2

解决了问题1,流量就可以上送到网关设备了,这个时候RT1会进行查表,不过查表的时候会发现192.168.1.0/24这个网段是直连路由,还会丢回到上来的接口。

解决方案

这个问题也很简单,大家都知道路由查表的最长匹配原则,只要有掩码长度更短的明细路由就可以了。如果用到这种场景,一般还是要规划一下,毕竟地址冲突就不好了。这个环境中我们将PCA地址配置为192.168.1.101/24,网关为192.168.1.1/24;PCB地址配置为192.168.1.102/24,网关配置为192.168.1.2/24。这样的话,我们把明细路由配置完整即可。

?

问题3

问题3其实也不是问题,就是前两个问题解决之后的正常配置调整,就是把保护的数据流量和NAT排除的地址段进行调整即可。

验证配置

此时两台主机就已经通了。

?

查看ARP信息,发现192.168.1.102的MAC地址和网关的MAC地址相同。

?

抓包看一下,没有问题。

?

问题4

两端的网关地址能不能设置成相同的IP地址192.168.1.1呢?

答案是可以。但是有一个问题,就是你没有办法判断你到对端的网关是否能通了。像下面这样,ping测网关只能是自己当前的网关,有TTL值为证。

PCA测试网关。

?

PCB测试网关。

?

而如果两端网关不同,就能看到效果了。

从PCA发起测试。

?

从PCB发起测试。

?

设备配置

RT1

#

interface GigabitEthernet0/0

ip address 192.168.1.1 255.255.255.0

?proxy-arp enable

#

interface GigabitEthernet0/1

ip address 12.1.1.1 255.255.255.0

?nat outbound 3403

?ipsec apply policy ipsec

#

?ip route-static 23.1.1.0 24 12.1.1.2

?ip route-static 192.168.1.2 32 12.1.1.2

?ip route-static 192.168.1.102 32 12.1.1.2

#

acl advanced 3402

?rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

acl advanced 3403

?rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

?rule 5 permit ip

#

ipsec transform-set tran1

?esp encryption-algorithm aes-cbc-128

?esp authentication-algorithm sha1

#

ipsec policy ipsec 10 manual

?transform-set tran1

?security acl 3402

?remote-address 23.1.1.3

?sa spi inbound esp 123456

sa string-key inbound esp simple qwer

?sa spi outbound esp 654321

?sa string-key outbound esp? simple asdf

RT2

#

interface GigabitEthernet0/0

ip address 192.168.1.2 255.255.255.0

?proxy-arp enable

#

interface GigabitEthernet0/1

ip address 23.1.1.3 255.255.255.0

?nat outbound 3403

?ipsec apply policy ipsec

#

?ip route-static 12.1.1.0 24 23.1.1.2

ip route-static 192.168.1.1 32 23.1.1.2

?ip route-static 192.168.1.101 32 23.1.1.2

#

acl advanced 3402

?rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

acl advanced 3403

?rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

?rule 5 permit ip

#

ipsec transform-set tran1

?esp encryption-algorithm aes-cbc-128

?esp authentication-algorithm sha1

#

ipsec policy ipsec 10 manual

?transform-set tran1

?security acl 3402

?remote-address 12.1.1.1

sa spi inbound esp 654321

?sa string-key inbound esp simple asdf

?sa spi outbound esp 123456

?sa string-key outbound esp simple qwer

RT-ISP

#

interface GigabitEthernet0/0

ip address 12.1.1.2 255.255.255.0

#

interface GigabitEthernet0/1

ip address 23.1.1.2 255.255.255.0

总结

其实我测试的顺序是问题4-3-2-1。先修改了两端的IP地址,再调整了配置,再增加了路由,这个时候在网关上带源地址ping,两端的网关已经能通了。最后发现没有流量上到网关,才开启的网关ARP普通代理。

1、二层流量可以通过网关的ARP代理,将流量引入到网关设备。

2、改变流量转发路径可以通过添加明细路由的方式解决,当然,这个也可以作为一个网络攻击手法,之前我也遇到过这种问题,此处就不展开了。

3、可以发现,两个区域网段相同的场景比正常场景要求的规划更多,配置更复杂,不太推荐使用啊。

  人工智能 最新文章
2022吴恩达机器学习课程——第二课(神经网
第十五章 规则学习
FixMatch: Simplifying Semi-Supervised Le
数据挖掘Java——Kmeans算法的实现
大脑皮层的分割方法
【翻译】GPT-3是如何工作的
论文笔记:TEACHTEXT: CrossModal Generaliz
python从零学(六)
详解Python 3.x 导入(import)
【答读者问27】backtrader不支持最新版本的
上一篇文章      下一篇文章      查看所有文章
加:2021-07-16 21:59:15  更:2021-07-16 21:59:34 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年3日历 -2024/3/29 16:53:22-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码