IPSec ××× 访问控制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IPSec ××× 访问控制相关的知识,希望对你有一定的参考价值。

Cisco数据包处理流程

了解厂商数据包处理流程才能更好的利用ACL等策略以最高效的手段进行访问控制
==cisco设备在在此有两个阶段==

ios12.4之前

技术分享图片

技术分享图片

IOS12.4之后

技术分享图片

技术分享图片

案例一

技术分享图片

before Release 12.3(8)T

在之前的版本12.4之前我们可以清晰的看到设备对于inbound流量,会在加密前匹配一次inbound方向的ACL,解密之后数据会再一次匹配inbound方向的ACL。已上图为例:

#已A路由器为例(仅允许10.1.1.0/24访问10.1.2.0/24):
crypto map ***map 10 ipsec-isakmp 
  set peer 192.168.2.1
  set transform-set trans1
  match address 101
 interface Ethernet0/0
  ip address 10.1.1.1 255.255.255.0
 interface Serial1/0
  ip address 192.168.1.1 255.255.255.0
  ip access-group 150 in
  ip access-group 160 out
  crypto map ***map
 access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
 access-list 150 permit udp host 192.168.2.1 eq 500 host 192.168.1.1 eq 500
 access-list 150 permit esp host 192.168.2.1 host 192.168.1.1
 access-list 150 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
 access-list 160 permit udp host 192.168.1.1 eq 500 host 192.168.2.1 eq 500
 access-list 160 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
新的IPsec ××× 没有crypto access ACL访问控制:

新版本的IPsec ××× inbound流量只会在未解密之前匹配inbound ACL,解密后的流量不在匹配inbound ACL,此时解密后的流量会匹配crypto access ACL。已上图为例在新版本下配置无crypto access ACL的IPsec ×××访问控制:

#以A路由器为例(允许10.1.1.0/24访问10.1.2.0/24)
crypto map ***map 10 ipsec-isakmp
  set peer 192.168.2.1
  set transform-set trans1
  match address 101
 interface Ethernet0/0
  ip address 10.1.1.1 255.255.255.0
 interface Serial1/0
  ip address 192.168.1.1 255.255.255.0
  ip access-group 150 in
  ip access-group 160 out
  crypto map ***map
 access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
 access-list 150 permit udp host 192.168.2.1 eq 500 host 192.168.1.1 eq 500
 access-list 150 permit esp host 192.168.2.1 host 192.168.1.1
 access-list 160 permit udp host 192.168.1.1 eq 500 host 192.168.2.1 eq 500
 access-list 160 permit esp host 192.168.1.1 host 192.168.2.1
新的IPsec ××× 有crypto access ACL访问控制

新版本的IPsec ××× inbound流量只会在未解密之前匹配inbound ACL,解密后的流量不在匹配inbound ACL,此时解密后的流量会匹配crypto access ACL。已上图为例在新版本下配置有crypto access ACL的IPsec ×××访问控制:

#以A路由器为例(仅允许10.1.1.0/24和10.1.2.0/24的telnet流量互通):
crypto map ***map 10 ipsec-isakmp
  set peer 192.168.2.1
  set transform-set trans1
  set ip access-group 151 in
  set ip access-group 161 out
  match address 101
 interface Ethernet0/0
  ip address 10.1.1.1 255.255.255.0
 interface Serial1/0
  ip address 192.168.1.1 255.255.255.0
  ip access-group 150 in
  ip access-group 160 out
  crypto map ***map
 access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
 access-list 150 permit udp host 192.168.2.1 eq 500 host 192.168.1.1 eq 500
 access-list 150 permit esp host 192.168.2.1 host 192.168.1.1
 access-list 151 permit tcp 10.1.2.0 0.0.0.255 eq telnet 10.1.1.0 0.0.0.255
 access-list 151 permit tcp 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 eq telnet
 access-list 160 permit udp host 192.168.1.1 eq 500 host 192.168.2.1 eq 500
 access-list 160 permit esp host 192.168.1.1 host 192.168.2.1
 access-list 161 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq telnet
 access-list 161 permit ip 10.1.1.0 0.0.0.255 eq telnet 10.1.2.0 0.0.0.255


以上是关于IPSec ××× 访问控制的主要内容,如果未能解决你的问题,请参考以下文章

IPsec VPN详解--nat穿越内网

没有特权访问的 Docker *** IPSec 客户端

腾讯云CentOS服务器安装StrongSwan与Juniper防火墙搭建Ipsec***

移动端通过IPsec访问pfSense防火墙配置指南

多个用户访问同一段代码

记一次排查L2TP over IPSec客户端访问问题