ipsec你了解多少 学习.pdfVIP

深入 ipsec 篇。 (此文档只适合对 IPsec 有一定认识的人阅读并探讨） 在没有路由的情况下。 如果说数据能够正常的转发。 你或许不会信。 对的。 在正常的情况下。 路由进行深度查表。如果没有可以匹配那么数据包将会被丢弃，但是用 ipsec （IKE 模式） 的话。将可以使用类似于递归查表的功能（我把这种现象暂时称之为递归查询吧 ,各位大师 请谅解 )。从而可以从某种程度上讲。没有路由也可以转发。当然。前提是在某种特殊的环 境下。在正常的情况下。我想没人会把这种原理套到现实工程上去吧，下面我将做个试验。 试验拓扑及需求。全部由本人模拟。 （在正常的情况下加条静态就可以实现了，这里需求之 所以这样出，那是为了让大家更加形象的记住此实验，以及此文档的价值。 本人不才， 写文 档不是为了炫耀自己有多牛 B ，而是呈现给大家一种学习的精神， 任何细节， 只要你有去专 研的心， 都会给你带来意外的惊喜， 当我在实验室里面每次攻破一个难题， 心里有一种小小 的成就感， 我知道， 我只是一个半路出家的小小菜鸟，跟一些经验丰富的工程师比，太显的 一文不值， 有时候我甚至怀疑我所学的东西能否给我带来成正比的物质， 因为我年龄小， 又 没证书，找工作是我学网络旅途中面对的第一大挑战，所以， 除了理论和实战之外，心里要 有比别人更强的心理素质准备， 认认真真的学完每一个协议的细节， 之外。 和实验室的哥们 一起讨论兴趣这个话题的时候，我坦白，我学网络，压力大于兴趣，说句难听的话，要不是 当初走投无路，我应该是不会选择这条路，既然是自己选的路。那么跪着也要走完、 ）。OK ， 扯了这么多，下面进入正题， 既然需求上强烈要求只能一方指静态，那该用什么方法呢 ?思考十分钟。 在创建 IPSEC 中，抓触发 IKE 的流，相信大家都很熟悉，其实根据这种需求，可以成功利 用抓取触发流做文章，在 ACL 里面外加一条， （前提是 ipsec 正常建立好， ）允许一切 IP 流 触发，那么当有到达目的地的数据查找表失败之后，依然可以成功的封装到 IPSEC 包里面， 到 R1 之后，进行拆包，然后根据目的地的 IP 地址，进行查表，从而依据 R1 路由表中的路 由依据转发，到对端后，同样，也是所有 IP 流触发 IKE ，查表失败之后，依据根据 ipsec 转 发，整网的转发原理就是这样实现两个分部的数据互访， 而 ACL 在写上一条允许 IP 的所有 数据，那么相当于一条缺省，这条命令是本实验的核心部分，最后补充一点。理论是这样， 但根据各厂商所实现 IPSEC 的不同，这种实验并不是在所有的设备上都可以实现。在 H3 的设备上，只能有一方抓取 IP 数据流，一方只能指静态， （如果两边 ACL 都这样写，那么 会出现两边即使 IPSEC 建立成功那么也只能一边通讯） 老规矩。先贴个协议的状态。 R3 一级分部 IKE 正常建立 [r3]dis ike sa total phase-1 SAs: 1 connection-id peer flag