Cisco网络技术论坛

返回   Cisco网络技术论坛 > 网络技术区 > 协议原理综合区

协议原理综合区 网络协议、网络基础原理等

发表新主题 回复
 
主题工具
旧 2013-03-15, 16:52   #1
fanya
注册用户
级别:1 | 在线时长:5小时 | 升级还需:7小时
 
注册日期: Dec 2012
帖子: 37
现金:211金币
资产:211金币
声望力: 0
声望: 10 fanya 向着好的方向发展
声望力: 0
fanya 向着好的方向发展
IPsec VPN数据传输过程

IPsec VPN数据传输过程

以下是一个数据包经IPsecVPN隧道的传送过程(如ICMP包),由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时,左边PC发送的数据由左VPN eth1内口接收后发现需要经过隧道,则把数据交由左ipsec0口加密(tunnel, ESP或AH),加完密后再由左eth0外口发送到右VPN的eth0外口,右eth0外口收到数据发现需要解密,则由ipsec0口解完密后交由右eth1内口进行转发或由本机接收。

加密 =========================》 解密

host:eth1===ipsec0<==>eth0==============eth0<=====>ipsec0 ===eth1:host

解密 《========================= 加密
eth0为外口(协商口),eth1为内口。
下面可以在已经建立好Ipsec VPN隧道后进行截包分析,由于隧道模式已经把原来的源IP和目的IP加密无法查看到具体IP地址ESP的真实走向,而传输模式的源和目的IP是不会被加密的,所以可以传输模式隧道为例。
环境拓扑:
PC1 VPN1 ============VPN2 PC2
184.0.0.2 184.0.0.1(eth1)/192.168.95.164(eth0) 192.168.95.195(eth0)/185.0.0.1(eth1) 185.0.0.2

现从PC1向PC2发送ICMP ping包,在VPN1上tcpdump抓包如下,为观看直观特附加一加截图。www.bfuleye.com
/tos/bin/ipsec-cmds# tcpdump -ni any host 184.0.0.2
tcpdump:WARNING: Promiscuous mode not supported on the "any" device
tcpdump:verbose output suppressed, use -v or -vv for full protocol decode
listeningon any, link-type LINUX_SLL (Linux cooked), capture size 68 bytes
11:26:39.649389R@eth1 IP 184.0.0.2 > 185.0.0.2: ICMP echo request,id 512, seq 12039, length 40 (左VPN内口eth1收到PC1 ICMP明文包)
11:26:39.649411X@ipsec0 IP 184.0.0.2 > 185.0.0.2: ICMP echorequest, id 512, seq 12039, length 40 (查找route后交由ipsec0加密)
11:26:39.649485X@eth0 IP 184.0.0.2 > 185.0.0.2:ESP(spi=0x30f18c51,seq=0xc38), length 76
(加完密后的ESP包由外口eth0发出)
11:26:39.656606R@eth0 IP 185.0.0.2 > 184.0.0.2:ESP(spi=0xa6e0f4f2,seq=0xb36), length 76
(右VPN外口eth0收到ESP加密包)
11:26:39.656606R@ipsec0 IP 185.0.0.2 > 184.0.0.2: ICMP echo reply,id 512, seq 12039, length 40(由右ipsec0解密)
11:26:39.656672X@eth1 IP 185.0.0.2 > 184.0.0.2: ICMP echo reply, id512, seq 12039, length 40
(解密后的明文交由内口eth0发送给PC2,此时一个方向的ICMP包传送完成)
11:26:40.649357R@eth1 IP 184.0.0.2 > 185.0.0.2: ICMP echo request, id 512, seq 12295,length 40(PC2回应ICMP给PC1,此过程与上面分析过程类似。)
帅哥 fanya 当前离线  
回复时引用此帖
旧 2013-10-25, 12:44   #2
dongbo
注册用户
级别:11 | 在线时长:170小时 | 升级还需:22小时级别:11 | 在线时长:170小时 | 升级还需:22小时级别:11 | 在线时长:170小时 | 升级还需:22小时
 
dongbo 的头像
 
注册日期: Feb 2004
住址: 菲律宾
帖子: 378
现金:788金币
资产:788金币
声望力: 15
声望: 10 dongbo 向着好的方向发展
声望力: 15
dongbo 向着好的方向发展
回复: IPsec VPN数据传输过程

好贴,如果把IPSec协商的过程也能详细表达就完美了!

路是自己走出来的,相信自己永不妥协!
帅哥 dongbo 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转

相似的主题
主题 主题作者 版面 回复 最后发表
关于帧中继的数据传输问题 lizhen2911 Cisco网络协议分析、故障诊断【泰克实验室】 5 2011-08-11 16:55
IPSec VPN数据流穿过NAT时的问题 goes the wind Cisco技术 5 2009-04-13 11:06
基于IPSec的VPN技术原理与实现(转载) pioneer 网络应用 7 2006-02-28 11:27
MPLS VPN 与IPSec VPN技术比较 浩海孤帆 网络应用 2 2004-09-07 00:23
关于VPN GRE的详细配置过程与IPSEC的区别 sgmdy Cisco技术 3 2003-07-16 17:10


所有时间均为北京时间。现在的时间是 14:32


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号