Silver Peak SD-WAN EdgeConnect 将 Orchestrator 作为 Proxy 连接 Cloud Portal

在 Silver Peak 的架构中 Orchesrator 和 EdgeConnect 都需要连接到位于 Internet 上的 Cloud Portal,三者直接有一些数据交换。然而在一些特殊的网络价格中 EdgeConnect (简称 EC)可能无法接入 Internet 从而无法连接到 Cloud Portal,这时我们可以将 Orchestrator (简称 Orch)作为一个 proxy,将 EC 的连接请求 proxy 到 Cloud Portal。架构如下:

继续阅读“Silver Peak SD-WAN EdgeConnect 将 Orchestrator 作为 Proxy 连接 Cloud Portal”

Cisco IOS IPsec 配置专题(3) – 使用 Crypto Map 时 Fragmentation 的问题

不同的 IPsec 配置方式会导致数据包的 overhead 不同,通过本文我们对 overhead 产生的原因进行梳理,对使用 crypto map 的情况下 MTU 的取值进行讨论。其他 IPsec 配置方式的 MTU 取值放在相对应的章节里。

Overhead 形成的原因

Overhead 形成的原因主要是因为我们对原始数据进行了加密和二次封装 (例如使用 GRE over IPsec),不同的协议和加密方式会造成不同大小的 overhead,具体的参数我们可以使用 Cisco 提供的一个工具 IPSec Overhead Calculator Tool 来查看 (https://cway.cisco.com/tools/ipsec-overhead-calc/)。

值得注意的是并不是原始数据越大产生的 overhead 就越大,例如一个原始大小为 500 bytes 的数据包使用 GRE 封装,IPsec 设置为 transport mode,ESP-DES 加密,MD5 做验证,会产生 60 bytes 的 overhead。

继续阅读“Cisco IOS IPsec 配置专题(3) – 使用 Crypto Map 时 Fragmentation 的问题”

Cisco IOS IPsec 配置专题(2) – IPsec on Loopback Interface

在上一篇文章中我们展示了 static crypto map 和 dynamic crypto map 的配置方式,在这里我们利用 static crypto map 这种最简单的方法来展示如何在 loopback 接口上建立 IPsec。

当我们的 router 形成 dual-home 的拓扑,并且需要在两个接口上同时建立 IPsec 时我们有两种配置方法。第一种就是创建两个 crypto map 分别挂载到两个接口上;第二种就是创建一个 crypto map 并将其挂载到一个 loopback 接口上。

继续阅读“Cisco IOS IPsec 配置专题(2) – IPsec on Loopback Interface”

Cisco IOS IPsec 配置专题(1) – Static & Dynamic Crypto Map

Cisco IOS IPsec 的配置方式

Cisco IOS 中可以使用很多不同的方式配置 IPsec VPN,每种方式各有优缺点,这个系列的文章将会对以下配置方式进行讲解:

    • Static & Dynamic Crypto Map
    • GRE over IPsec
    • Static & Dynamic Virtual Tunnel Interface (VTI)
    • Group Encrypted Transport VPN (GETVPN)
    • Dynamic Multipoint VPN (DMVPN)
    • FlexVPN

Crypto Map 的历史

在 WAN 技术的初期并没有一种可以对数据进行加密的机制,后来 Cisco 开发出了一种私有的加密机制 – Cisco Encryption Technology (CET),CET 会对两个 Cisco 路由器之间的通信进行加密。随着安全问题的增加,IETF 定义了 IPsec,Cisco 在 IOS 里面引进 IPsec 来替代 CET,但是 CET 的配置命令结构得以保留。Crypto Map 就是 CET 时期的产物。

继续阅读“Cisco IOS IPsec 配置专题(1) – Static & Dynamic Crypto Map”

配置没有灵魂的 VyOS Unicast VXLAN

利用 VyOS 我们可以快速的配置出一种没有灵魂的 VXLAN (没有 control plane),简洁的配置可以帮助我们测试 VXLAN 流量或者是帮助初学者学习 VXLAN。新版本的 VyOS 命令行有一些变化,官网的配置示例没有更新,所以这里记录一下我使用的配置命令。

测试的 VyOS 版本为 vyos-1.2-rolling-201912010217-amd64

继续阅读“配置没有灵魂的 VyOS Unicast VXLAN”

ASA 与 ASA 之间建立 IPsec (IKEv1 with PSK)

ASA-1 预配

interface GigabitEthernet0/0
 nameif OUT
 security-level 0
 ip address 1.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif IN
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
route OUT 0.0.0.0 0.0.0.0 1.1.1.2

ASA-2 预配

interface GigabitEthernet0/0
 nameif OUT
 security-level 0
 ip address 1.1.1.2 255.255.255.252
!
interface GigabitEthernet0/1
 nameif IN
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
route OUT 0.0.0.0 0.0.0.0 1.1.1.1

继续阅读“ASA 与 ASA 之间建立 IPsec (IKEv1 with PSK)”

IPsec 基础知识点总结

IPsec Framework

IPsec 是一种 L3VPN 技术,它提供以下 4 种 security services:

      • Authentication
      • Data confidentiality
      • Data Integrity
      • Anti-reply

IPsec 本身并不是一种协议,它是一种 framework,由多种协议及标准组成。在实施部署时可以根据具体的要求在一个统一的 framework 下选择不同的协议,下图很好的展示了 framework 和 implementation 之间的区别和关联:

继续阅读“IPsec 基础知识点总结”

IPv4 Fragmentation, MTU, MSS 和 PMTUD

IPv4 Fragmentation 存在的意义

IPv4 设计的最大容量是 65535 bytes (包括 header),然而网络当中有多种不同的传输链路且每种链路所对应的最大传输值(MTU)都不同。为了适应不同的链路,IPv4 在设计时就允许各网络节点对数据包进行 data fragmentation。

比如一台 router 从 FDDI 接口收到了一个大小为 4352 bytes 的数据包,为了从 Ethernet 接口把该数据发送出去就需要 fragmentation,将一个大的数据包切分为多个小的数据包从而满足 Ethernet 1500 bytes MTU 的要求。 继续阅读“IPv4 Fragmentation, MTU, MSS 和 PMTUD”