正文共:999 字 11 图,预估阅读时间:1 分钟
前面我们介绍了IPv4向IPv6过渡阶段的两种应用场景,分别是GRE over IPv6/ IPv4 over IPv6(配置GRE over IPv6隧道)、IPv6 over IPv4(配置IPv6 over IPv4的手动隧道和自动隧道),通过抓包我们可以看到,这两种封装方式对业务报文没有任何保护,毫无安全性可言。如果我们想提高安全性,类似于IPsec over GRE,我们配置了IPsec over GRE over IPv6(IPsec over GRE over IPv6配置案例)。
那IPsec支持保护IPv6网络吗?我们今天试试使用IKE建立保护IPv6报文的IPsec隧道。
组网图如下所示,VSR1和VSR3分别连接两个IPv6内网,且通过IPv6网络进行互通。
我们需要在VSR1和VSR3之间建立一条IPsec隧道,保护PCA与PCB所在的两个IPv6子网之间的互访数据流。
首先,各设备的基础配置如下。
#
interface GigabitEthernet1/0
ipv6 address 11::1/64
#
interface GigabitEthernet2/0
ipv6 address 12::1/64
#
ipv6 route-static 23:: 64 12::2
#
interface GigabitEthernet1/0
ipv6 address 12::2/64
#
interface GigabitEthernet2/0
ipv6 address 23::2/64
#
interface GigabitEthernet1/0
ipv6 address 33::1/64
#
interface GigabitEthernet2/0
ipv6 address 23::3/64
#
ipv6 route-static 12:: 64 23::2
接下来,我们参考IPv4的IPsec配置方式(IKE主模式及预共享密钥认证配置),配置一下IPv6的IPsec隧道。
首先,我们在设备VSR1上创建IKE keychain,名称为ipv6,配置使用的预共享密钥为明文ipv6。与IPv4相比,对端的身份标识调整为IPv6地址即可。
#
ike keychain ipv6
pre-shared-key address ipv6 23::3 128 key simple ipv6
创建并配置名为ipv6的IKE profile,与IPv4相比,同样需要将对端的身份标识调整为IPv6地址。
#
ike profile ipv6
keychain ipv6
match remote identity address ipv6 23::3 128
配置到达PCB所在子网的静态路由。
#
ipv6 route-static 33:: 64 12::2
配置一个IPv6高级ACL,定义要保护由子网11::/64去往子网33::/64的数据流。
#
acl ipv6 advanced 3666
rule 0 permit ipv6 source 11::/64 destination 33::/64
创建IPsec安全提议ipv6,安全协议对IPv6报文的封装形式默认为隧道模式,采用的安全协议默认为ESP;配置ESP协议采用的加密算法为128比特的AES,认证算法为SHA1。此部分与IPv4配置一致。
#
ipsec transform-set ipv6
tunnel
protocol esp
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
创建一条IKE协商方式的IPsec安全策略,名称为ipv6,序列号为10。指定引用ACL 3666,引用安全提议为ipv6,引用的IKE profile为ipv6;指定IPsec隧道的本端IP地址为12.1.1.2,对端IP地址为13.1.1.3。
#
ipsec ipv6-policy ipv6 10 isakmp
transform-set ipv6
security acl ipv6 3666
local-address ipv6 12::1
remote-address ipv6 23::3
ike-profile ipv6
在接口G2/0上应用安全策略ipv6。
#
interface GigabitEthernet2/0
ipsec apply ipv6-policy ipv6
参考VSR1的配置,我们完成VSR3的配置,配置如下:
#
ike keychain ipv6
address ipv6 12::1 128 key simple ipv6
#
ike profile ipv6
keychain ipv6
match remote identity address ipv6 12::1 128
#
ipv6 route-static 11:: 64 23::2
#
acl ipv6 advanced 3666
rule 0 permit ipv6 source 33::/64 destination 11::/64
#
ipsec transform-set ipv6
tunnel
protocol esp
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec ipv6-policy ipv6 10 isakmp
ipv6
security acl ipv6 3666
ipv6 23::3
ipv6 12::1
ipv6
#
interface GigabitEthernet2/0
ipsec apply ipv6-policy ipv6
然后,我们在PCA上ping测PCB触发IPsec协商。
跟IPv4的现象一样,也是先丢一个包,用于触发协商,之后业务正常转发。
抓包查看协商过程。
可以看到,协商过程与IPv4完全一致,先是使用公钥加密进行身份验证,然后进入快速模式,之后对报文进行加密转发,加密后的报文仅能看到报文头信息,ESP封装之后数据非常安全。
查看SA状态的命令与IPv4也保持完全一致。
于此可见,IPv6的IPsec隧道与IPv4相比,主要就是底层承载网络的差异,需要将配置中的IPv4相关配置全部替换为IPv6信息,其他几乎没有差异,难度很低。
长按二维码
关注我们吧