正文共:1024 字 16 图,预估阅读时间:1 分钟
上个实验中(VPP配置指南:基于IKEv2的IPsec VPN),我们配置了通过IKE自动协商方式建立IPsec SA。在实验中,我们使用两台VPP进行组网,配置发起方使用IKEv2协议来发起协商,进而实现自动协商生成SA。
对等体之间通过IKE协议自动协商生成SA,并由IKE协议维护该SA。在正常情况下,IKEv2只需要进行两次交互,使用4条消息就可以完成一个IKEv2 SA和一对IPsec SA的协商建立,即第一阶段的交互生成IKEv2 SA,第二阶段的交互生成IPsec SA。
通过上次的配置,我们发现VPP的IKEv2自动协商方式没有注明支持野蛮模式和NAT穿越,但是强调了设备角色区分发起者和响应者。往之前的NAT穿越模型中套一下,就是发起者不需要具备静态IP地址,只要响应者有静态IP地址即可建立对等体连接。
在穿越NAT的场景下,没有静态IP地址的一端无法使用IP地址来标识自己,但是可以通过FQDN(Fully Qualified Domain Name,完全合格域名)或RFC822来进行标识。
今天,我们来简单配置一下通过FQDN和IKEv2来建立IPsec隧道。
首先按照上图所示的组网图完成相关设备的接口IP地址配置。
VPP72设备配置。
vppctl setint state eth1 upvppctl setint ip address eth1 11.1.1.1/24vppctl setint state eth2 upvppctl setint ip address eth2 12.1.1.1/24vppctl ip route add13.1.1.0/24 via 12.1.1.2
NAT设备配置。
#interface GigabitEthernet2/0ip address 12.1.1.2255.255.255.0#interface GigabitEthernet3/0ip address 13.1.1.1255.255.255.0nat outbound
VPP73设备配置。
vppctl setint state eth1 upvppctl setint ip address eth1 22.1.1.1/24vppctl setint state eth2 upvppctl setint ip address eth2 13.1.1.3/24
然后我们继续在VPP72上配置IKEv2 profile,配置认证鉴权方式为PSK,密码设置为vppnat。
vppctl ikev2 profile add vppnatvppctl ikev2 profile set vppnat auth shared-key-mic string vppnat
跟上次不同,我们将VPP72本端的ID信息配置为FQDN名称vpp73,对端的ID信息仍配置为IP地址13.1.1.3。
vppctl ikev2 profile set vppnat idlocal fqdn vpp72vppctl ikev2 profile set vppnat id remote ip4-addr 13.1.1.3
剩下的配置相同,配置流量选择器、响应者的IP地址、IKEv2和IPsec协商的密码套件等信息。
vppctlikev2profilesetvppnattraffic-selectorlocalip-range 11.1.1.1- 11.1.1.254port-range 0 - 65535 protocol 0vppctlikev2profilesetvppnattraffic-selectorremoteip-range 22.1.1.1- 22.1.1.254port-range 0 - 65535 protocol 0vppctlikev2profilesetvppnatrespondereth2 13.1.1.3vppctlikev2profilesetvppnatike-crypto-algaes-cbc 256 ike-integ-algsha1-96ike-dhmodp-2048vppctlikev2profilesetvppnatesp-crypto-algaes-cbc 256 esp-integ-algsha1-96esp-dhecp-256vppctlikev2profilesetvppnatsa-lifetime 3600 10 5 0
对应的,我们配置一下响应者VPP73的相关配置。
vppctl ikev2 profile add vppnatvppctl ikev2 profile set vppnat auth shared-key-mic string vppnatvppctl ikev2 profile set vppnat idlocal ip4-addr 13.1.1.3vppctl ikev2 profile set vppnat id remote fqdn vpp72vppctl ikev2 profile set vppnat traffic-selector local ip-range22.1.1.1 - 22.1.1.254 port-range0 - 65535 protocol 0vppctl ikev2 profile set vppnat traffic-selector remote ip-range11.1.1.1 - 11.1.1.254 port-range0 - 65535 protocol 0
在发起者和响应者网络可达且配好了IKEv2策略之后,配置VPP72发起协商。
vppctl ikev2 initiate sa-init vppnat然后我们查看接口,发现多了一个ipip0的接口,这就是IPsec的隧道接口,说明IKEv2一阶段已经协商成功。
然后我们在VPP72上为该接口配置IP地址,并添加去往对端22.1.1.0/24的路由,指定下一跳出口为ipip0接口。
vppctl setinterfacestateipip0upvppctl setinterfaceipaddressipip0 130.1.1.1/24vppctl ip route add 22.1.1.0/24 via 130.1.1.3 ipip0
同理,在VPP73上配置IP地址和路由信息。
vppctl setinterfacestateipip0upvppctl setinterfaceipaddressipip0 130.1.1.3/24vppctl ip route add 11.1.1.0/24 via 130.1.1.1 ipip0
然后我们直接测试一下两端主机的互通情况。
抓包查看,我们可以看到报文交互的大概过程。
查看前面两个报文,我们可以发现,报文还是UDP端口500,报文内容是在交换密钥和安全策略信息。
然后接下来的报文交互就变成了UDP端口4500,说明检测到了中间存在NAT设备,并继续完成了IPsec SA的建立。
并且可以发现外层报文头是两端隧道接口的IP地址,属于GRE over IPsec类型。
在VPP73上查看IKEv2的SA信息。
在VPP73上查看IPsec的所有信息。
最后测试一下VPP的IPsec转发性能。
转发性能大概是1.69 Gbps,好像比VSR的771 Mbps要好一点。
相比于单台VPP转发的3.45 Gbps,大概有一半的性能损耗吧。
长按二维码关注我们吧
原文始发于微信公众号(铁军哥):VPP配置指南:穿越NAT的IPsec VPN配置及性能测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论