IPSec 解|封包流程与路由

bobz965
186 阅读5分钟

好的,我们来更详细地分析 IPsec site-to-site 场景下的路由路径,特别是在云环境或硬件网络设备提供公网 IP 的情况下,以及数据包封装和解封装前后 IP 地址的变化。

场景描述 :

  • 站点 A:
    • 公网 IP:203.0.113.1 (由云环境或硬件防火墙/路由器提供)
    • 内网网段:192.168.1.0/24
    • VPN 网关 IP (内网):192.168.1.1 (例如,一台运行 IPsec 软件的虚拟机或物理服务器)
    • 内网主机 IP:192.168.1.10
  • 站点 B:
    • 公网 IP:198.51.100.1 (由云环境或硬件防火墙/路由器提供)
    • 内网网段:192.168.2.0/24
    • VPN 网关 IP (内网):192.168.2.1 (例如,一台运行 IPsec 软件的虚拟机或物理服务器)
    • 内网主机 IP:192.168.2.10

1. 发送过程中 (从站点 A 的 192.168.1.10 发送到站点 B 的 192.168.2.10):

  • a. 数据包到达站点 A 的 VPN 网关 (192.168.1.1) 之前:

    • 源 IP:192.168.1.10 (站点 A 内网主机)
    • 目标 IP:192.168.2.10 (站点 B 内网主机)
    • 路由:站点 A 内网主机根据路由表,将数据包发送到默认网关 192.168.1.1 (站点 A 的 VPN 网关)。

  • b. 在站点 A 的 VPN 网关 (192.168.1.1) 进行 IPsec 封装:

    • VPN 网关检查数据包是否符合 IPsec 策略(例如,源 IP 和目标 IP 是否在 "感兴趣流量" 范围内)。
    • 如果符合,VPN 网关执行以下操作:
      • 原始 IP 数据包 (解封后):
        • 源 IP:192.168.1.10 (站点 A 内网主机)
        • 目标 IP:192.168.2.10 (站点 B 内网主机)
      • 封装后的 IP 数据包 (解封前):
        • 源 IP:203.0.113.1 (站点 A 的公网 IP,由云环境或硬件设备提供)
        • 目标 IP:198.51.100.1 (站点 B 的公网 IP,由云环境或硬件设备提供)
        • 协议:ESP (Encapsulating Security Payload) 或 AH (Authentication Header),具体取决于配置。

  • c. 封装后的数据包离开站点 A 的 VPN 网关:

    • 路由:站点 A 的 VPN 网关将封装后的数据包发送到其默认网关 (通常是云环境中的路由器或硬件防火墙),该默认网关负责将数据包路由到公网。
    • 传输:数据包通过互联网,根据目标公网 IP (198.51.100.1) 路由到站点 B 的公网 IP。

  • d. 数据包到达站点 B 的 VPN 网关 (192.168.2.1) 之前:

    • 数据包通过互联网到达站点 B 的云环境或硬件防火墙/路由器,然后根据配置转发到站点 B 的 VPN 网关 (192.168.2.1)。
    • 源 IP:203.0.113.1 (站点 A 的公网 IP)
    • 目标 IP:198.51.100.1 (站点 B 的公网 IP)

  • e. 在站点 B 的 VPN 网关 (192.168.2.1) 进行 IPsec 解封装:

    • VPN 网关验证数据包的 IPsec 头 (例如,ESP 头) 是否有效,并解密数据包。
    • 解封装后的数据包:
      • 源 IP:192.168.1.10 (站点 A 内网主机)
      • 目标 IP:192.168.2.10 (站点 B 内网主机)

  • f. 解封装后的数据包到达站点 B 的内网主机 (192.168.2.10):

    • 路由:站点 B 的 VPN 网关将解封装后的数据包发送到目标 IP (192.168.2.10),根据站点 B 的内网路由表进行路由。

2. 回包过程中 (从站点 B 的 192.168.2.10 发送到站点 A 的 192.168.1.10):

  • a. 数据包到达站点 B 的 VPN 网关 (192.168.2.1) 之前:

    • 源 IP:192.168.2.10 (站点 B 内网主机)
    • 目标 IP:192.168.1.10 (站点 A 内网主机)
    • 路由:站点 B 内网主机根据路由表,将数据包发送到默认网关 192.168.2.1 (站点 B 的 VPN 网关)。

  • b. 在站点 B 的 VPN 网关 (192.168.2.1) 进行 IPsec 封装:

    • VPN 网关检查数据包是否符合 IPsec 策略。
    • 如果符合,VPN 网关执行以下操作:
      • 原始 IP 数据包 (封包前):
        • 源 IP:192.168.2.10 (站点 B 内网主机)
        • 目标 IP:192.168.1.10 (站点 A 内网主机)
      • 封装后的 IP 数据包 (封包后):
        • 源 IP:198.51.100.1 (站点 B 的公网 IP,由云环境或硬件设备提供)
        • 目标 IP:203.0.113.1 (站点 A 的公网 IP,由云环境或硬件设备提供)
        • 协议:ESP 或 AH。

  • c. 封装后的数据包离开站点 B 的 VPN 网关:

    • 路由:站点 B 的 VPN 网关将封装后的数据包发送到其默认网关 (通常是云环境中的路由器或硬件防火墙),该默认网关负责将数据包路由到公网。
    • 传输:数据包通过互联网,根据目标公网 IP (203.0.113.1) 路由到站点 A 的公网 IP。

  • d. 数据包到达站点 A 的 VPN 网关 (192.168.1.1) 之前:

    • 数据包通过互联网到达站点 A 的云环境或硬件防火墙/路由器,然后根据配置转发到站点 A 的 VPN 网关 (192.168.1.1)。
    • 源 IP:198.51.100.1 (站点 B 的公网 IP)
    • 目标 IP:203.0.113.1 (站点 A 的公网 IP)

  • e. 在站点 A 的 VPN 网关 (192.168.1.1) 进行 IPsec 解封装:

    • VPN 网关验证数据包的 IPsec 头是否有效,并解密数据包。
    • 解封装后的数据包:
      • 源 IP:192.168.2.10 (站点 B 内网主机)
      • 目标 IP:192.168.1.10 (站点 A 内网主机)

  • f. 解封装后的数据包到达站点 A 的内网主机 (192.168.1.10):

    • 路由:站点 A 的 VPN 网关将解封装后的数据包发送到目标 IP (192.168.1.10),根据站点 A 的内网路由表进行路由。

总结:

  1. 公网 IP 的作用: 公网 IP 地址用于在互联网上路由封装后的 IPsec 数据包。这些 IP 地址通常由云环境提供商或硬件防火墙/路由器提供。
  2. VPN 网关的作用: VPN 网关负责 IPsec 策略的执行,包括数据包的封装 (加密和认证) 和解封装 (解密和验证)。
  3. "感兴趣流量" 的作用: "感兴趣流量" (Interesting Traffic) 定义了哪些流量需要通过 IPsec VPN 进行保护。只有符合策略的流量才会被封装和加密。
  4. 云环境/硬件设备的作用: 云环境或硬件防火墙/路由器负责将数据包路由到 VPN 网关,并在公网上传输封装后的数据包。

希望这个详细的分析能够帮助你理解 IPsec site-to-site 场景下的路由路径,以及各个组件的作用。

avatar
文章
阅读
粉丝