信而泰IPSec测试方法介绍

时间： 2024-02-09 来源：信而泰XINERTEL公众号

本文主要介绍在信而泰ALPS 测试平台支持的IPSec VPN测试功能。

什么是IPSec

IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这些协议，在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发，实现保护数据的安全性。

IPSec产生原因

随着网络发展，企业直接通过Internet进行互联，IP协议没有考虑安全性，但是Internet上有大量的不可靠用户和网络设备，所以用户业务数据要穿越这些未知网络就无法保证数据的安全性，数据易被伪造、篡改或窃取。因此，迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题，IPSec（Internet Protocol Security）应运而生。IPSec是对IP的安全性补充，其工作在IP层，为IP网络通信提供透明的安全服务。

IPSec如何工作

分为四个步骤：

1、识别“感兴趣流”

设备在收到报文后，一般会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输，需要通过IPsec隧道传输的流量被称为“感兴趣流”。

2、协商安全联盟（Security Association，以下简称SA）

SA是通信双方对某些协商要素的约定，只有建立了SA才能进行安全的数据传输。识别出感兴趣流后，本端网络设备会向对端网络设备发起SA协商。在这一阶段，通信双方建立IKE SA，然后在IKE SA的基础上协商建立IPsec SA。

3、数据传输

IPsec SA建立成功后，双方就可以通过IPsec隧道传输数据。IPsec为了保证数据传输的安全性，在这一阶段需要通过AH或ESP协议对数据进行加密和验证。

4、隧道拆除

通常情况下，通信双方之间的会话老化即代表通信双方数据交换已经完成，因此为了节省系统资源，通信双方之间的隧道在空闲时间达到一定值后会自动删除。

IPSec重要性

部署IPSec具有以下价值：

●数据来源验证：接收方验证发送方身份是否合法。

●数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

●数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。

●抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

对于设备能否支持IPSec协议在各种场景的部署，以及设备对于各种场景的流量转发能否达标显得尤为重要，信而泰的2-3层BigTao测试平台和层DarYu测试平台以及DarPeng2000E平台的ALPS测试平台能进行IPSec的IKEv1、IKEv2、IKEGM测试。

图 1

如何进行IPSec VPN测试

信而泰ALPS测试平台支持的IPSec VPN测试功能：

1、信而泰ALPS测试平台支持IPSec的IKE协议两个国际标准版本IKEv1和IKEv2，以及国家标准化管理委员会提出由国家密码管理局批准的我国自主制定的IPSec行业标准——《GM-T 0022-2014 IPsec VPN技术规范》即IKEv1.1。

图 2

2、身份认证支持预共享密钥PSK（pre-shared key）认证、数字证书RSA（rsa-signature）认证。预共享密钥PSK（配置方式为IKEv1或IKEv2时）数字证书Cert（配置方式为IKEv1、IIKEv2或IKEGM时）。

图 3

3、IKE HD（公共密钥算法）支持MODP-768(1)，MODP-1024(2)，MODP-1536(5)，MODP-2048(14)，MODP-3072(15)，MODP-4096(16)，MODP-6144(17)，MODP-8192(18)等。

图 4

4、“完善的前向保密”PFS（Perfect Forward Secrecy）支持MODP-768（1），MODP-1024（2），MODP-1536（5），MODP-2048（14）等。

图5

5、IKE哈希算法支持HMAC-SHA2-318，HMAC-SHA2-512，HMAC-SHA2-256，GM-SM3；

IKE加密算法支持AES-CBC-128，AES-CTR-128，AES-CBC-192，AES-CBC-256，GM-SM4；IKE PRF伪随机数算法支持HMAC-SHA2-256，GM-SM3，AES-128，HMAC-SHA2-384，HMAC-SHA2-512，HMAC-SHA1；

ESP哈希算法支持NULL，HMAC-MD5，HMAC-SHA2-256，HMAC-SHA2-384，HMAC-SHA2-512，GM-SM3，GM-SM3-96；

ESP加密算法支持DES-CBC，3DES-CBC，AES-CTR-128，AES-CBC-128，AES-CBC-192，AES-CBC-256，GCM-128，GCM-192，GCM-256，GM-SM4；

支持校验证书；

IPsec拓扑模式支持Site To Site（两个局域网之间通过VPN隧道建立连）和Remote Access（客户端与企业内网之间通过VPN隧道建立连接）。

应用场景示例

IPSec VPN点对多点IKEv1测试：

图 6

拓扑说明：

本例使用测试仪上的Port1（作为多个分支机构模拟的多个防火墙来和DUT的G0/0/1端口建立IPSec隧道）和Port2（作为DUT的G0/0/2端口后的网络，模拟DUT后的总部）。

操作步骤：

第一步：预约端口，创建并设置网络邻居

第二步：创建测试用例，编辑流量模型及应用模型

第三步：保存配置并运行

图 7

查看结果：

统计中第一阶段及第二阶段协商成功数量为100。

图 8

DUT上IPSec VPN协商成功数量为100。

图 9

发送到邮箱 |
+1 赞 0
收藏
评论 0
| 转发至：

本文由三年不鸣转载自信而泰XINERTEL公众号，原文标题为:技术资讯 | 信而泰IPSec测试方法介绍，本站所有转载文章系出于传递更多信息之目的，且明确注明来源，不希望被转载的媒体或个人可与我们联系，我们将立即进行删除处理。

平台合作

提交评论

全部评论（0）

暂无评论

如何运用信而泰测试仪实现802.1 QAV协议测试

时间敏感网络(TSN)具备大带宽、通用以太协议及精准网络KPI控制的技术优势，可满足工业网络日益数字化、智能化的技术需求。TSN作为下一代工业网络技术演进方向已经在业内形成共识。而任何一种技术的成熟和广泛采用，一个强大而专业的测试工具必不可少。信而泰TSN测试仪板卡可以针对汽车以太网和工业以太网等提供TSN协议测试解决方案。

2024-11-13 - 设计经验

BGP-LS原理及基本功能测试方法

BGP-LS产生的原因BGP Link State是一种新型的收集网络拓扑信息的技术。信而泰DarYu系列L2~3层高端仪表支持BGP-LS的路由构建、路由解析、拓扑生成等功能。

2024-06-28 - 设计经验

技术干货 | 高效验证SRv6 TE Policy：解锁网络设备性能测试的关键技巧

SRv6 TE Policy是一种新隧道技术，它通过指定路径的段列表引导数据包传输。包括头端、颜色和尾端三部分，其中颜色属性用于定义网络SLA策略。使用信而泰测试仪进行规格测试，可减少物理设备、简化链路搭建，并准确生成SRv6流量以验证性能。测试关注SRv6 Policy数量和Segment List数量等规格。

2024-10-14 - 设计经验

信而泰TSN测试仪板卡搭配BigTao220/6200便携式机框，实现车载终端模块GPTP，CBS等测试

现代汽车的电子控制单元很多，达到几十块或上百块，不同的车载终端控制器、TSN交换机等组件共同构成庞大的车载以太网，电子控制单元通过传感器不断接收外界信号，然后发出指令去控制执行器的动作，不同的ECU之间的数据通过CAN总线进行转发。XINERTEL BigTao220/6200网络测试仪搭配V2-1G-8M-TSN测试板卡配合光转T1模块可实现对车载终端模块进行GPTP、CBS等协议测试。

2023-11-15 - 应用方案

DPDK技术提升网卡吞吐量几何？

2008年，数据平面开发套件DPDK由英特尔公司的网络通信部门提出，主要针对Intel的处理器和网卡开发，是一款高性能的网络驱动组件，旨在为数据面应用程序提供一个简单方便的，完整的，快速的数据包处理解决方案。

2023-12-30 - 技术探讨

重磅发布 | 信而泰推出POE交换机一站式自动化测试方案

POE交换机自动化测试方案操作简单，全自动测试判断，成本可控，解决客户招工难，人员流动大，品质不好管控等多种痛点。自动化测试就是将多个功能测试站通过自动化平台合并成一站。通过测试平台，将扫描，插拔网线，POE供电测试，拨动开关，流量测试，LED检测等站位合并到一站，通过自动化夹具实现一键式自动化测试。

2024-12-12 - 产品

XINERTEL（信而泰）专注于通信网络测试领域，致力于为客户提供高品质、优服务的IP网络测试产品及测试解决方案。凭借坚实的技术积累和国内领先的研发实力，信而泰成功推出了一系列覆盖2-7层以太网络测试需求的网络测试平台，率先取得了国产网络测试仪的多项技术突破，得到了客户的高度认可，并因此成为国内测试端口出货量领先的网络测试仪供应商。

网络测试仪网络仿真平台网络损伤平台生产测试平台网络性能测试系统网络智能探针系统数字体验监控与保障平台 WIFI吞吐量测试系统 TSN测试仪 TSN网络仿真测试仪芯片打流测试仪网络安全仿真测试仪

线上商城技术资料

信而泰DarYu/BigTao系列网络测试仪构造InfiniBand流量在数据中心测试中的应用

在当今数据爆炸的时代，数据中心作为信息处理的中心枢纽，面临着前所未有的挑战。传统的通信方式已经难以满足日益增长的数据传输需求，而InfiniBand技术的出现，为数据中心带来了全新的通信解决方案。

2024-06-17 - 应用方案

信而泰无线协议安全测试：为移动网络安全筑起坚固防线

在5G时代，网络安全成为通信行业的重要课题。近日，XINERTEL信而泰以其无线协议安全测试仪表的卓越性能，为中移动研究院提供精细化的安全测试服务。本文将深入探讨信而泰的解决方案及其在行业应用中的价值。

2024-12-12 - 应用方案

DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真，支持高性能路由仿真与容量测试

如何客观公正的评估这些新一代安全设备的性能，成为摆在用户面前亟待解决的问题。DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真，能够快速的对网络设备的性能进行系统评估，支持RFC2544、RFC2889和RFC3918基准测试，支持高性能路由仿真与容量测试，基于应用层的新建连接、并发连接与吞吐量等性能指标检测。

2024-03-28 - 应用方案

10G-400G以太网测试仪供应商信而泰与世强硬创达成战略合作

信而泰（XINERTEL）网络测试仪支持L2-7层流量、协议仿真，最高支持400G；网络损伤仪最高支持100G速率，还支持8类损伤场景仿真模拟，当前已为各类科研、金融、网络设备厂家、音视频企业等服务。

2023-07-17 - 签约新闻

信而泰BigTao6200-G系列网络测试仪校准解决方案：精准测试，性能无忧

网络测试仪作为评估网络设备性能的关键工具，直接影响设备测试的准确性和可靠性，北京信而泰科技股份有限公司凭借在网络测试仪行业的深厚积累，参照《数据网络性能测试仪校准规范》（下称《校准规范》）要求，推出专用于网络测试仪校准的BigTao6200-G系列产品，旨在提供更高效、更精准的网络测试仪校准解决方案。

2024-12-09 - 应用方案

使用信而泰ALPS进行网络损伤仿真测试，高效模拟真实的网络损伤场景，将真实世界带入实验室

真实世界的网络面临物理损伤、技术故障、网络拥塞等挑战，增加了脆弱性和复杂性。若忽视这些风险，产品开发完成后可能导致在未预料的网络环境中出现异常或崩溃，影响可靠性和用户体验。信而泰的X-Compass系列网络损伤仿真平台和ALPS应用与安全仿真测试软件平台，能够高效模拟真实网络条件，评估网络应用或协议的表现，优化网络系统、应用和设备的设计和部署。

2024-08-16 - 应用方案

XINERTEL （信而泰）网络测试仪选型指南

北京信而泰科技股份有限公司是具有自主知识产权的国家高新技术企业、工信部第三批专精特新“小巨人”企业。自2007年成立以来，信而泰始终专注于通信网络测试领域，致力于为客户提供高品质、优服务的IP网络测试产品及测试解决方案。

XINERTEL - 2 端口，单速40G 性能测试模块,研发类测试机框,测试模块,4 端口，10G 功能测试模块,12 端口 100G 测试模块,4 端口，三速10G 性能测试模块,IP 网络主动测评系统,高性能网络应用安全测试仪,网络损伤仪,2 端口，两速25G 性能测试模块,测试软件,高性能网络测试仪,高密 100G 板卡,便携机框,8 端口 SFP/SFP+ 10G 性能测试模块,高密度 400G 测试机箱,16 端口 RJ45，五速 100M/1G 性能测试模块,4端口RJ45 1000M三速功能测试模块,4端口RJ45 10M三速功能测试模块,8 端口，5G/100M 功能测试模块,主控模块,ROCE 测试板卡,16端口SFP 1G功能测试模块,4端口SFP 1G单速功能测试模块,1 端口 25G 五速高性能测试模块,2 端口，三速100G 性能测试模块,2 端口，四速100G 性能测试模块,2 槽位机,IP网络测试产品,2 端口，三速 400G 功能测试模块,16 端口 RJ45，五速 100M/5G 性能测试模块,机框,4 端口，两速25G 性能测试模块,4端口SFP+ 10G功能测试模块,2 端口，三速 100G 功能测试模块,网络应用安全测试仪,4 端口，五速 10G 测试模块,2 端口 800G 测试模块,AC 电源模块,2 端口，25G 功能测试模块,4 端口，单速40G 性能测试模块,2 端口，10G 功能测试模块,16 端口 SFP/SFP+ 10G 性能测试模块,网络应用安全测试板卡,16端口RJ45 1G功能测试模块,8 端口 SFP（COMBO 接口） 1G 功能测试模块,高密度 400G 测试仪一体机,8端口RJ45和8端口SFP 1G功能测试模块,8 端口，1G/100M 功能测试模块,1 端口 10G 五速高性能测试模块,网络性能测试工具软件,3 槽位机箱,4 端口，四速100G 性能测试模块,8端口SFP/SFP+ 2.5G功能测试模块,电源模块,机架式机框,高密度测试模块,4 端口 SFP+（COMBO 接口）10G 功能测试模块,4 端口，单速100G 性能测试模块,网络测试仪器,100G 接口板卡,100/1000BASE-T1 转换模块,100/1000BASE-T1 接口转换模块,1 端口 50G 五速高性能测试模块,1 端口 40G 五速高性能测试模块,安全测试仪,4端口SFP+ 10G单速功能测试模块,4 端口，两速100G 性能测试模块,4 端口 RJ45（COMBO 接口）10G 功能测试模块,4 端口，五速 40G 测试模块,16 端口 RJ45，五速 100M/10G 性能测试模块,16 端口 400G 多速率测试机箱,8 端口，10G/100M 功能测试模块,高精度网络损伤仪,4 端口，五速 25G 测试模块,4端口RJ45和4端口SFP 1G功能测试模块,数通一体化测试软件,4 端口，25G 功能测试模块,8 端口 RJ45，五速 100M/5G 性能测试模块,8 端口 RJ45，五速 100M/1G 性能测试模块,2 端口，400G 测试模块,4 端口，三速40G 性能测试模块,8 端口 RJ45，五速 100M/2.5G 性能测试模块,8 端口 RJ45，五速 100M/10G 性能测试模块,8端口SFP/SFP+ 10G功能测试模块,损伤仪,便携式机框,8端口SFP+ 10G功能测试模块,8 端口，2.5G/100M 功能测试模块,IP网络主动测评系统,2 槽位机箱,2 端口，40G 功能测试模块,双端口800G测试模块,4 端口，五速 100G 测试模块,4 端口，五速 50G 测试模块,机箱,风扇模块,8端口RJ45 1G功能测试模块,1 端口 100G 五速高性能测试模块,网络主动监测系统,高性能L4-7测试板卡,车载以太网接口转换模块,网络测试仪,测试仪一体机,2 端口，三速10G 性能测试模块,2 端口，单速100G 性能测试模块,12 槽位机箱,高密 100G 测试板卡,板卡,2 端口，三速40G 性能测试模块,4 端口，100G 功能测试模块,2 端口，两速100G 性能测试模块,SFP（接口）转换模块,高性能测试仪,虚拟化网络应用安全测试仪,4端口SFP 1G功能测试模块,4 端口，三速100G 性能测试模块,4 端口 RJ45 1G 高性能测试模块,测试板卡,多速测试模块,100/1000BASE-T 转换模块,多种速率测试模块,2 端口，三速 200G 功能测试模块,L4-7 层应用协议仿真和网络安全测试平台,8端口SFP/SFP+ 1G功能测试模块,测试仪板卡,时钟模块,16 端口 SFP/SFP+ 1G 性能测试模块,8 端口 RJ45（COMBO 接口） 1G 功能测试模块,4 端口 SFP+ 10G 两速高性能测试模块,2 端口，100G 功能测试模块,4 端口 SFP+ 1G 两速高性能测试模块,监测系统,16 端口 RJ45，五速 100M/2.5G 性能测试模块,8 端口 SFP+ 接口测试板卡,8 端口 SFP/SFP+ 1G 性能测试模块,4 端口，40G 功能测试模块,4端口RJ45 100M三速功能测试模块,8 端口 400G 多速率测试机箱,IP网络性能测试工具,4 端口 SFP 1G 高性能测试模块,4端口RJ45 1G功能测试模块,DARYU-X系列,X2-100G-12QSFP28-Q,V2-10G 系列,BIGTAO-V 系列,XCOMPASS-S,DARYU200,FTT1-1000,K2-100G-1QSFP28-HQ,X2-40G-4QSFP28-HS,V2-400G,DARYU 200 系列,V2-100G-2QSFP28-S,V2-100G系列,V2-100G-2QSFP28-T,X2-10G-8C-HQ,BIGTAO 1000,V2-100G-2QSFP28-Q,X2-100G-2QSFP28-HD,ETTH-T1,X2-400G系列,BIGTAO 系列,U2 系列,V2-100G-2QSFP28-D,V2-10G系列,DARYU 3000,X2-100G-2QSFP28-HT,X2-100G-2QSFP28-HS,X2-10G-8F-HD,BIGTAO,DARYU-X 系列,V2-800G-2M-S,V8000 系列,X5-400G-8QDD,V2-100G,V2-10G-8F-T,X2-100G-2QSFP28-HQ,V8008D,V2-APP-1G-4F,V2-800G 系列,V6000,V2-APP-1G-4C,XCOMPASS-S100,U2-100G-2QSFP28-HQ,DARYU 系列,BIGTAO-V系列,V6000系列,X2-400G-2QDD,V2-100G-4QSFP28-D,DARPENG VE,XCOMPASS-S 系列,V2-1G-8M-TSN,V2-400G系列,V2-100G 系列,RENIX,V8008F,V2-100G-4QSFP28-S,V2-100G-4QSFP28-T,V2-100G-4QSFP28-Q,DARYU3000,K2-1G-4C-HT,DARPENG系列,V6008M,X2-100G-4QSFP28-HQ,X2-100G-4QSFP28-HS,X2-100G-4QSFP28-HT,ALPS,X2-100G 系列,DARPENG 系列,V2-10G-4M-TSN,DARPENG VE-100G,X2-100G-4QSFP28-HD,V6008C,U2-10G-8F-HD,X-VISION,X2-400G 系列,BIGTAO 1000 系列,XCOMPASS-S系列,X2-10G 系列,BIGTAO220,X2-100G,K2-1G-4F-HS,U2系列,TSN 系列,X2-10G,V8000,DARPENG,DARYU,V2-800G,K2-10G-4F-HD,X5 系列,DARPENG VE-10G,X5-400G,TSN,DARYU12000,X2-400G,X2-10G-16F-HD,V2-APP 系列,XCOMPASS-S100 系列,BIGTAO6200,V2-APP-10G-4F,V2-10G,X2-10G-16C-HQ,V2-APP,V2-800G系列,V8004F,V2-400G-2QDD-Q,X5,BIGTAO1000,V6016F,XCOMPASS-S100-2QSFP28,DARYU-X,V6004F,V2-APP系列,V6000 系列,DARYU 200,BIGTAO-V,V2-400G 系列,V6016M,DARPENG2000E,E2-100G-4QSFP28-Q,BIGTAO1000 系列,X5-400G-16QDD,V2-10G-8C-Q,DARYU 12000,X2-40G-2QSFP28-HS,X-LAUNCH,DARPENG VE-1G,XCOMPASS-S10,V8000系列,V6016C,V6004C,防火墙,TOUTIAO,高端路由器,SKYPE,组播服务器,POP3,SLB,瓦夫,质量控制,DNS服务器,IPS,研发测试场景,数据应用,抖音,HTTPS加速器,今日头条,IPSEC VPN网关,企业用户,MYSQL,BITTORRENT,TAP交换机,5G承载网测试,网络损伤仿真测试,QQ,车载以太网测试,无损交换机,网络靶场仿真,MSSQL,网络安全,EDONKEY,数据中心,企业,研发,支付类应用,反病毒软件,伊马普,游戏类应用,网络设备,反间谍软件,DPI,100GE网络设备,病毒流量仿真,WECHAT,应用与安全测试,TIKTOK,网络安全设备,RTSP QUICKTIME流服务器,网络设备制造商,邮件类应用,高端交换机,甲骨文,下载类应用,光模块,HTTP加速器,离线后台挂机测试,聊天类应用,交换路由测试,网络安全测试,简单邮件传输协议,新闻部,身份证,SMTP,网络安全设备厂家,DMA网络,离线测试,IMAP,SKYPE,大型网络设备厂商,数据中心交换机,URL过滤器,负载均衡器,攻击流量,交换机,邮件服务器,办公室,IDS,视频,通信网络测试领域,社交新闻类应用,5G核心网测试工业互联网测试,实验,路由器,RTP QUICKTIME流服务器,高性能应用层设备,25GE网络设备,爱奇艺,应用服务器,10GE网络设备,语音,运营商,WAF,WEB服务器,伊普斯,迅雷,腾讯视频,DHCP服务,数据库类应用,汽车以太网,HLS,工业以太网,视频类应用,赫尔斯,ORACLE,网络基础设施,电信运营商,DAC线缆,网络系统,40GE网络设备,安全测试场景,应用层防火墙,NIC,WAN加速器,网络接口卡,科研院所,FTP服务器,微信

2024年3月27日 - 选型指南