SVTI的一些理解-创新互联

SVTI的一些理解

为西宁等地区用户提供了全套网页设计制作服务,及西宁网站建设行业解决方案。主营业务为成都网站建设、做网站、西宁网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

很多地方看见对SVTI的说明是gre over ipsec,因为这个东西都加密了,看不见内容,也说不了什么。

偶然看见思科社区http://www.cisco-club.com.cn/space-113351-do-blog-id-8866.html关于juniper SRX和思科对联SVTI,具体看了一下juniper配置,完全是ipsec的接口模式,没有gre参与,想来是一些人看见配置是tunnel就以为还是gre的东西,能喝SRX对接成功的肯定使用的是相同的技术,不会用gre。想验证一下,但是加密内容不可视,想来想去,可以看包大小是否一致,就能看出是不是一样。

试验,在R1上配SVTI,R2上配传统的crypto map,R4两个都配。

R1

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 40.1.1.2
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto ipsec profile ipsec-profile
 set transform-set ESP-des-md5
!
!
!
!
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface Tunnel0
 ip address 172.16.1.1 255.255.255.0
 tunnel source 61.1.1.1
 tunnel destination 40.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsec-profile
!
interface FastEthernet0/0
 ip address 61.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 61.1.1.3
ip route 1.1.1.4 255.255.255.255 Tunnel0

R2

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 40.1.1.2
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto map mm 10 ipsec-isakmp
 set peer 40.1.1.2
 set transform-set ESP-des-md5
 match address 100
!
!
!
!
interface Loopback0
 ip address 1.1.1.2 255.255.255.255
!
interface FastEthernet0/0
 ip address 61.1.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map mm
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 61.1.1.3
!
!
!
access-list 100 permit ip host 1.1.1.2 host 1.1.1.4

R4

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco address 61.1.1.1
crypto isakmp key cisco address 61.1.1.2
!
!
crypto ipsec transform-set ESP-des-md5 esp-des esp-md5-hmac
!
crypto ipsec profile ipsec-profile
 set transform-set ESP-des-md5
!
!
crypto map mm 10 ipsec-isakmp
 set peer 61.1.1.2
 set transform-set ESP-des-md5
 match address 100
!
!
!
!
interface Loopback0
 ip address 1.1.1.4 255.255.255.255
!
interface Tunnel0
 ip address 172.16.1.4 255.255.255.0
 tunnel source 40.1.1.2
 tunnel destination 61.1.1.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsec-profile
!
interface FastEthernet0/0
 ip address 40.1.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map mm
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 40.1.1.1
ip route 1.1.1.1 255.255.255.255 Tunnel0
!
!
!
access-list 100 permit ip host 1.1.1.4 host 1.1.1.2

从R1和R2分别ping R4,通过抓包,比较ESP包大小,完全一样,其后又用telnet试验,发现包的大小仍然一致,SVTI的包和原来的IPsec没有不同,不是所谓的gre over ipsec。

参看思科网站http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_***ips/configuration/15-s/sec-ipsec-virt-tunnl.html

SVTI configurations can be used for site-to-site connectivity in which a tunnel provides always-on access between two sites. The advantage of using SVTIs as opposed to crypto map configurations is that users can enable dynamic routing protocols on the tunnel interface without the extra 24 bytes required for GRE headers, thus reducing the bandwidth for sending encrypted data.

人家没说过封装gre,只是进行对比,可以过动态路由并且没有gre的24字节的包头。

下面的图是抓包内容。

这个是原始ipsec站点的ping包封装成ESP

SVTI的一些理解

这个是SVTI的,和上面的比,size都是166

SVTI的一些理解

这个是 gre over ipsec的,size大了24,和思科网站上说非常吻合。

SVTI的一些理解

这个是一般的icmp包,ipsec之后增加52字节。可见加密还是很消耗有效载荷的。

SVTI的一些理解

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


当前题目:SVTI的一些理解-创新互联
新闻来源:http://cdiso.cn/article/ppdei.html

其他资讯