- 支持导入白名单,如果导入过程失败,可以回退到导入之前的状态 。
- 支持删除白名单 。
- 支持增量添加白名单 。
- 支持查看白名单内容 。
图1 IPSec白名单的应用
文章插图
自动生成IPSec业务路由自动生成IPSec业务路由的功能,主要有如下两种应用场景 。
- 当使用安全策略模板方式建立IPSec隧道时,用户可能不知道对端隧道的IPSec业务路由信息(如对端的IP地址和接口等),因此无法手工配置静态路由,这时需要配置自动生成IPSec业务路由的功能 。
- 当使用安全策略模板方式建立IPSec隧道时,会通过IPSec协商过程自动生成IPSec业务路由 。当用户希望按照自己的网络规划,通过配置静态路由方式生成IPSec业务路由时,需要先去使能自动生成IPSec业务路由的功能 。
IPSec本身不支持封装组播、广播和非IP报文,GRE无法对报文进行认证加密,通过GRE over IPSec技术可以将组播、广播报文先封装GRE后,然后再进行IPSec加密处理 。同时采用GRE的接口对接收到的加解密流量来进行统计 。当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装 。下面以ESP为例说明,报文的封装格式如图1所示 。图1 GRE over IPSec封装模式(隧道模式)
文章插图
IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec策略的接口地址,目的地址即IPSec对等体中应用IPSec策略的接口地址 。
IPSec需要保护的数据流为从GRE起点到GRE终点的数据流 。GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址,目的地址为GRE隧道的目的端地址 。
基于GRE over IPSec的应用很多,比如BGP、LDP、OSPF、IS-IS和IPv6等协议,这些应用的原理相同,都是将协议报文使用GRE封装成IP报文,然后再在IPSec隧道里传输 。
IPSec和GRE结合,还有一种IPSec over GRE方案,即先使用IPSec对报文进行封装,然后再使用GRE封装 。但是,这种封装方式既没有充分利用IPSec和GRE的优势,也无法支持组播、广播和非IP报文,因此一般不推荐使用 。
L2VPN/L3VPN场景IPSec应用
L2VPN CE作为IPSec安全网关图1 报文封装转发流程
文章插图
缺省情况下,指定安全策略视图的IPSec报文都是先加密再分片,对端收到所有报文后,才能进行解密 。通过命令行ipsec df-bit clear和ipsec fragmentation before-encryption配合可以实现先分片后加密,这样对端的设备就可以收到一片就对一片报文解密,为了加快加密报文的解析速度 。报文的实际净荷可能会增大 。
图2 QoS方案
文章插图
IPSec报文传输的过程中,原始报文IP头的DSCP值不会也不允许被改变 。
报文加密后,原始IP报文头的DSCP值映射到IPSec头部的DSCP域;也可以单独设定外层IP头的DSCP值 。
加密后的IPSec报文,经过加密MPLS网络传输后解密,原始IP报文头的DSCP值不变 。MPLS网络传输过程,外层DSCP值也可以映射到MPLS EXP值中去 。
如果按照DSCP优先级协商IPSec SA,就可以解决Qos带来的乱序问题 。
L3VPN PE作为IPSec安全网关图3 报文封装转发流程
文章插图
图4 QoS方案
文章插图
IPSec报文传输的过程中,原始报文IP头的DSCP值不会也不允许被改变 。
报文加密后,原始IP报文头的DSCP值映射到IPSec头部的DSCP域;也可以单独设定外层IP头的DSCP值 。
加密后的IPSec报文,经过加密MPLS网络传输后解密,原始IP报文头的DSCP值不变 。MPLS网络传输过程,外层DSCP值也可以映射到MPLS EXP值中去 。
如果按照DSCP优先级协商IPSec Sa,就可以解决Qos带来的乱序问题 。
L3VPN CE作为IPSec安全网关图5 报文封装转发流程
推荐阅读
- 绿茶蕃茄汤茶食介绍,买3赠12018新茶紫阳富硒茶和平翠峰绿茶袋装浓香型高山云雾绿茶250g栗香
- 百合绿茶介绍,麦冬百合甘草茶制作及功效介绍
- 阮的介绍 阮是一种什么乐器
- 六堡茶的功效介绍,六堡茶的功效与作用
- 灵芝茶功效及作用介绍,红菊花茶的功效与作用
- 艾叶保健茶的生产技术,保健茶的种类介绍
- 不可再生能源分类介绍
- 丙山普洱茶介绍,小户赛普洱茶介绍
- 鞠躬礼仪细节介绍
- 百里香饮用及功效介绍,益寿延年功效