信而泰IPSec测试方法介绍

时间： 2024-02-09 来源：信而泰XINERTEL公众号

技术问答

本文主要介绍在信而泰ALPS 测试平台支持的IPSec VPN测试功能。

什么是IPSec

IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这些协议，在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发，实现保护数据的安全性。

IPSec产生原因

随着网络发展，企业直接通过Internet进行互联，IP协议没有考虑安全性，但是Internet上有大量的不可靠用户和网络设备，所以用户业务数据要穿越这些未知网络就无法保证数据的安全性，数据易被伪造、篡改或窃取。因此，迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题，IPSec（Internet Protocol Security）应运而生。IPSec是对IP的安全性补充，其工作在IP层，为IP网络通信提供透明的安全服务。

IPSec如何工作

分为四个步骤：

1、识别“感兴趣流”

设备在收到报文后，一般会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输，需要通过IPsec隧道传输的流量被称为“感兴趣流”。

2、协商安全联盟（Security Association，以下简称SA）

SA是通信双方对某些协商要素的约定，只有建立了SA才能进行安全的数据传输。识别出感兴趣流后，本端网络设备会向对端网络设备发起SA协商。在这一阶段，通信双方建立IKE SA，然后在IKE SA的基础上协商建立IPsec SA。

3、数据传输

IPsec SA建立成功后，双方就可以通过IPsec隧道传输数据。IPsec为了保证数据传输的安全性，在这一阶段需要通过AH或ESP协议对数据进行加密和验证。

4、隧道拆除

通常情况下，通信双方之间的会话老化即代表通信双方数据交换已经完成，因此为了节省系统资源，通信双方之间的隧道在空闲时间达到一定值后会自动删除。

IPSec重要性

部署IPSec具有以下价值：

●数据来源验证：接收方验证发送方身份是否合法。

●数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

●数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。

●抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

对于设备能否支持IPSec协议在各种场景的部署，以及设备对于各种场景的流量转发能否达标显得尤为重要，信而泰的2-3层BigTao测试平台和层DarYu测试平台以及DarPeng2000E平台的ALPS测试平台能进行IPSec的IKEv1、IKEv2、IKEGM测试。

图 1

如何进行IPSec VPN测试

信而泰ALPS测试平台支持的IPSec VPN测试功能：

1、信而泰ALPS测试平台支持IPSec的IKE协议两个国际标准版本IKEv1和IKEv2，以及国家标准化管理委员会提出由国家密码管理局批准的我国自主制定的IPSec行业标准——《GM-T 0022-2014 IPsec VPN技术规范》即IKEv1.1。

图 2

2、身份认证支持预共享密钥PSK（pre-shared key）认证、数字证书RSA（rsa-signature）认证。预共享密钥PSK（配置方式为IKEv1或IKEv2时）数字证书Cert（配置方式为IKEv1、IIKEv2或IKEGM时）。

图 3

3、IKE HD（公共密钥算法）支持MODP-768(1)，MODP-1024(2)，MODP-1536(5)，MODP-2048(14)，MODP-3072(15)，MODP-4096(16)，MODP-6144(17)，MODP-8192(18)等。

图 4

4、“完善的前向保密”PFS（Perfect Forward Secrecy）支持MODP-768（1），MODP-1024（2），MODP-1536（5），MODP-2048（14）等。

图5

5、IKE哈希算法支持HMAC-SHA2-318，HMAC-SHA2-512，HMAC-SHA2-256，GM-SM3；

IKE加密算法支持AES-CBC-128，AES-CTR-128，AES-CBC-192，AES-CBC-256，GM-SM4；IKE PRF伪随机数算法支持HMAC-SHA2-256，GM-SM3，AES-128，HMAC-SHA2-384，HMAC-SHA2-512，HMAC-SHA1；

ESP哈希算法支持NULL，HMAC-MD5，HMAC-SHA2-256，HMAC-SHA2-384，HMAC-SHA2-512，GM-SM3，GM-SM3-96；

ESP加密算法支持DES-CBC，3DES-CBC，AES-CTR-128，AES-CBC-128，AES-CBC-192，AES-CBC-256，GCM-128，GCM-192，GCM-256，GM-SM4；

支持校验证书；

IPsec拓扑模式支持Site To Site（两个局域网之间通过VPN隧道建立连）和Remote Access（客户端与企业内网之间通过VPN隧道建立连接）。

应用场景示例

IPSec VPN点对多点IKEv1测试：

图 6

拓扑说明：

本例使用测试仪上的Port1（作为多个分支机构模拟的多个防火墙来和DUT的G0/0/1端口建立IPSec隧道）和Port2（作为DUT的G0/0/2端口后的网络，模拟DUT后的总部）。

操作步骤：

第一步：预约端口，创建并设置网络邻居

第二步：创建测试用例，编辑流量模型及应用模型

第三步：保存配置并运行

图 7

查看结果：

统计中第一阶段及第二阶段协商成功数量为100。

图 8

DUT上IPSec VPN协商成功数量为100。

图 9

发送到邮箱 |
+1 赞 0
收藏
评论 0
| 转发至：

本文由三年不鸣转载自信而泰XINERTEL公众号，原文标题为:技术资讯 | 信而泰IPSec测试方法介绍，本站所有转载文章系出于传递更多信息之目的，且明确注明来源，不希望被转载的媒体或个人可与我们联系，我们将立即进行删除处理。

全部评论（0）

暂无评论

信而泰基于PCT架构的新一代基于B/S架构的网络应用安全测试平台ALPS，实现混合攻击流量对系统安全性的综合评估

信而泰基于PCT架构的新一代基于B/S架构的网络应用安全测试平台ALPS，支持真实的应用层流量仿真，如应用层协议：HTTP/FTP/TCP/DNS等、语音、视频等，同时可以仿真真实的攻击流量（DDoS攻击/僵尸网络/自定义攻击等）、恶意流量、病毒流量。配合基于新一代x86架构打造DarPeng2000E硬件平台，能够对安全设备或安全系统更好的进行综合评估。

设计经验发布时间 : 2024-03-25

如何使用信而泰BigTao-V系列网络测试仪进行CPU测试？

信而泰推出的BigTao硬件测试平台，BigTao-V系列网络测试仪是面向中低端路由器、交换机及同级别网络转发设备的研发类测试产品。它采用模块化设计，由机箱、板卡和软件三部分组成。该系列网络测试仪可提供2个或6个插槽，支持从10M到400G多种速率的测试模块任意组合

设计经验发布时间 : 2023-12-26

BIERv6测试解析—如何使用信而泰DarYu-X系列高性能网络测试仪进行转发性能测试

DarYu-X系列高性能网络测试仪是信而泰XINERTEL专为满足高端路由器等高端数通设备的测试需求而推出的产品。它不仅拥有卓越的性能、高密度和高速率，还配备了信而泰最新一代基于PCT架构的测试软件RENIX和X2系列测试模块。为网络行业的发展和新一代组播路由技术的应用拓展提供了可靠的技术支持和验证平台。

设计经验发布时间 : 2024-07-11

信而泰TSN测试仪板卡搭配BigTao220/6200便携式机框，实现车载终端模块GPTP，CBS等测试

现代汽车的电子控制单元很多，达到几十块或上百块，不同的车载终端控制器、TSN交换机等组件共同构成庞大的车载以太网，电子控制单元通过传感器不断接收外界信号，然后发出指令去控制执行器的动作，不同的ECU之间的数据通过CAN总线进行转发。XINERTEL BigTao220/6200网络测试仪搭配V2-1G-8M-TSN测试板卡配合光转T1模块可实现对车载终端模块进行GPTP、CBS等协议测试。

应用方案发布时间 : 2023-11-15

DPDK技术提升网卡吞吐量几何？

2008年，数据平面开发套件DPDK由英特尔公司的网络通信部门提出，主要针对Intel的处理器和网卡开发，是一款高性能的网络驱动组件，旨在为数据面应用程序提供一个简单方便的，完整的，快速的数据包处理解决方案。

技术探讨发布时间 : 2023-12-30

信而泰闪耀第三届上海网络安全博览会，精彩呈现创新网络应用及安全测试解决方案

2024年8月，上海盛大开幕的第三届网络安全博览会上，北京信而泰科技股份有限公司备受瞩目。该公司展示了一系列创新的网络应用及安全测试解决方案，吸引了众多专家和客户关注。信而泰的展品覆盖从性能测试到安全防护的多个领域，致力于构建高效安全的网络环境。此次展会不仅提升了信而泰在行业内的知名度，也为其与全球伙伴的合作与交流提供了平台，展现了公司在推动网络安全进步中的重要角色。

厂牌及品类发布时间 : 2024-09-04

BigTao-V系列产品手册

型号- V2-10G,V8008D,V6000,V2-10G 系列,BIGTAO-V系列,BIGTAO220,TSN 系列,V2-100G-4QSFP28-D,V2-1G-8M-TSN,V2-100G 系列,V2-400G,V8000,V8004F,V2-400G-2QDD-Q,RENIX,V2-100G-2QSFP28-S,V2-100G-2QSFP28-T,V8008F,V2-100G-2QSFP28-Q,V2-100G-4QSFP28-S,V6016F,V2-100G-4QSFP28-T,V6004F,V2-100G-4QSFP28-Q,DARYU3000,V6000 系列,V6008M,BIGTAO-V,V2-400G 系列,V6016M,V2-100G-2QSFP28-D,TSN,DARYU12000,V2-10G-8C-Q,V8000 系列,V6008C,V2-100G,BIGTAO6200,V6016C,V6004C

数据手册 - XINERTEL - 2022/11/14 PDF 中文下载

10G-400G以太网测试仪供应商信而泰与世强硬创达成战略合作

信而泰（XINERTEL）网络测试仪支持L2-7层流量、协议仿真，最高支持400G；网络损伤仪最高支持100G速率，还支持8类损伤场景仿真模拟，当前已为各类科研、金融、网络设备厂家、音视频企业等服务。

签约新闻发布时间 : 2023-07-17

探索802.1X：DarYu-X/BigTao-V系列网络测试仪助力构筑安全网络的认证之盾

信而泰XINERTEL DarYu-X系列和BigTao-V系列网络测试仪在设计上融合了前沿的模块化理念，集成高性能机箱、强大的板卡以及直观易用的软件界面。支持从10M到800G的多速率以太网测试，展示了卓越的灵活性和扩展性，完美应对企业用户不断增加的测试需求和未来业务扩展的挑战。两个平台均支持802.1x协议MD5、TLS、TLS1.1、TLS1.2、TTLS、PEAP这6种方式认证测试。

应用方案发布时间 : 2024-08-27

DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真，支持高性能路由仿真与容量测试

如何客观公正的评估这些新一代安全设备的性能，成为摆在用户面前亟待解决的问题。DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真，能够快速的对网络设备的性能进行系统评估，支持RFC2544、RFC2889和RFC3918基准测试，支持高性能路由仿真与容量测试，基于应用层的新建连接、并发连接与吞吐量等性能指标检测。

应用方案发布时间 : 2024-03-28

BigTao220

型号- BIGTAO220

数据手册 - XINERTEL - 2021/2/18 PDF 中文下载

使用信而泰ALPS进行网络损伤仿真测试，高效模拟真实的网络损伤场景，将真实世界带入实验室

真实世界的网络面临物理损伤、技术故障、网络拥塞等挑战，增加了脆弱性和复杂性。若忽视这些风险，产品开发完成后可能导致在未预料的网络环境中出现异常或崩溃，影响可靠性和用户体验。信而泰的X-Compass系列网络损伤仿真平台和ALPS应用与安全仿真测试软件平台，能够高效模拟真实网络条件，评估网络应用或协议的表现，优化网络系统、应用和设备的设计和部署。

应用方案发布时间 : 2024-08-16

热烈祝贺! IP网络测试产品及测试解决方案商信而泰荣获北京市市级企业技术中心认定

北京市经济和信息化局正式发布了《关于公布2023年度第三批北京市市级企业技术中心新创建名单的通知》，北京信而泰科技股份有限公司（以下简称“信而泰”）技术中心被认定为“北京市市级企业技术中心”。

厂牌及品类发布时间 : 2024-04-11

信而泰 BigTao220 开机指导

型号- BIGTAO220

用户指南 - XINERTEL - 2020.03 PDF 中文下载

信而泰精彩亮相2024年中国仪器仪表学会学术年会

2024年7月29日-31日，四川成都国际会议中心迎来了一场学术盛宴——2024年中国仪器仪表学会学术年会。信而泰BigTao220网络测试仪、IP主动监测系统、网络损伤仪等产品以及为高校实验室量身定制的解决方案，成为了展会的焦点。BigTao220以其精确的测试能力和便捷的操作体验，赢得了现场专业人士的赞誉。IP主动监测系统则以其对网络性能的实时监控和精准故障定位，展现了信而泰的深厚功底。

厂牌及品类发布时间 : 2024-08-16