信而泰IPSec测试方法介绍
本文主要介绍在信而泰ALPS测试平台支持的IPSec VPN测试功能。
什么是IPSec
IPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全性。
IPSec产生原因
随着网络发展,企业直接通过Internet进行互联,IP协议没有考虑安全性,但是Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络就无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。
IPSec如何工作
分为四个步骤:
1、识别“感兴趣流”
设备在收到报文后,一般会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输,需要通过IPsec隧道传输的流量被称为“感兴趣流”。
2、协商安全联盟(Security Association,以下简称SA)
SA是通信双方对某些协商要素的约定,只有建立了SA才能进行安全的数据传输。识别出感兴趣流后,本端网络设备会向对端网络设备发起SA协商。在这一阶段,通信双方建立IKE SA,然后在IKE SA的基础上协商建立IPsec SA。
3、数据传输
IPsec SA建立成功后,双方就可以通过IPsec隧道传输数据。IPsec为了保证数据传输的安全性,在这一阶段需要通过AH或ESP协议对数据进行加密和验证。
4、隧道拆除
通常情况下,通信双方之间的会话老化即代表通信双方数据交换已经完成,因此为了节省系统资源,通信双方之间的隧道在空闲时间达到一定值后会自动删除。
IPSec重要性
部署IPSec具有以下价值:
●数据来源验证:接收方验证发送方身份是否合法。
●数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
●数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
●抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
对于设备能否支持IPSec协议在各种场景的部署,以及设备对于各种场景的流量转发能否达标显得尤为重要,信而泰的2-3层BigTao测试平台和层DarYu测试平台以及DarPeng2000E平台的ALPS测试平台能进行IPSec的IKEv1、IKEv2、IKEGM测试。
图 1
如何进行IPSec VPN测试
信而泰ALPS测试平台支持的IPSec VPN测试功能:
1、信而泰ALPS测试平台支持IPSec的IKE协议两个国际标准版本IKEv1和IKEv2,以及国家标准化管理委员会提出由国家密码管理局批准的我国自主制定的IPSec行业标准——《GM-T 0022-2014 IPsec VPN技术规范》即IKEv1.1。
图 2
2、身份认证支持预共享密钥PSK(pre-shared key)认证、数字证书RSA(rsa-signature)认证。预共享密钥PSK(配置方式为IKEv1或IKEv2时)数字证书Cert(配置方式为IKEv1、IIKEv2或IKEGM时)。
图 3
3、IKE HD(公共密钥算法)支持MODP-768(1),MODP-1024(2),MODP-1536(5),MODP-2048(14),MODP-3072(15),MODP-4096(16),MODP-6144(17),MODP-8192(18)等。
图 4
4、“完善的前向保密”PFS(Perfect Forward Secrecy)支持MODP-768(1),MODP-1024(2),MODP-1536(5),MODP-2048(14)等。
图5
5、IKE哈希算法支持HMAC-SHA2-318,HMAC-SHA2-512,HMAC-SHA2-256,GM-SM3;
IKE加密算法支持AES-CBC-128,AES-CTR-128,AES-CBC-192,AES-CBC-256,GM-SM4;IKE PRF伪随机数算法支持HMAC-SHA2-256,GM-SM3,AES-128,HMAC-SHA2-384,HMAC-SHA2-512,HMAC-SHA1;
ESP哈希算法支持NULL,HMAC-MD5,HMAC-SHA2-256,HMAC-SHA2-384,HMAC-SHA2-512,GM-SM3,GM-SM3-96;
ESP加密算法支持DES-CBC,3DES-CBC,AES-CTR-128,AES-CBC-128,AES-CBC-192,AES-CBC-256,GCM-128,GCM-192,GCM-256,GM-SM4;
支持校验证书;
IPsec拓扑模式支持Site To Site(两个局域网之间通过VPN隧道建立连)和Remote Access(客户端与企业内网之间通过VPN隧道建立连接)。
应用场景示例
IPSec VPN点对多点IKEv1测试:
图 6
拓扑说明:
本例使用测试仪上的Port1(作为多个分支机构模拟的多个防火墙来和DUT的G0/0/1端口建立IPSec隧道)和Port2(作为DUT的G0/0/2端口后的网络,模拟DUT后的总部)。
操作步骤:
第一步:预约端口,创建并设置网络邻居
第二步:创建测试用例,编辑流量模型及应用模型
第三步:保存配置并运行
图 7
查看结果:
统计中第一阶段及第二阶段协商成功数量为100。
图 8
DUT上IPSec VPN协商成功数量为100。
图 9
- |
- +1 赞 0
- 收藏
- 评论 0
本文由三年不鸣转载自信而泰XINERTEL公众号,原文标题为:技术资讯 | 信而泰IPSec测试方法介绍,本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。
相关研发服务和供应服务
相关推荐
如何运用信而泰测试仪实现802.1 QAV协议测试
时间敏感网络(TSN)具备大带宽、通用以太协议及精准网络KPI控制的技术优势,可满足工业网络日益数字化、智能化的技术需求。TSN作为下一代工业网络技术演进方向已经在业内形成共识。而任何一种技术的成熟和广泛采用,一个强大而专业的测试工具必不可少。信而泰TSN测试仪板卡可以针对汽车以太网和工业以太网等提供TSN协议测试解决方案。
设计经验 发布时间 : 2024-11-13
技术干货 | 高效验证SRv6 TE Policy:解锁网络设备性能测试的关键技巧
SRv6 TE Policy是一种新隧道技术,它通过指定路径的段列表引导数据包传输。包括头端、颜色和尾端三部分,其中颜色属性用于定义网络SLA策略。使用信而泰测试仪进行规格测试,可减少物理设备、简化链路搭建,并准确生成SRv6流量以验证性能。测试关注SRv6 Policy数量和Segment List数量等规格。
设计经验 发布时间 : 2024-10-14
技术干货 | VBRAS场景测试方法——如何高效验证网络设备的性能与稳定性?
为了解决传统BRAS中存在的设备资源利用率低、运维复杂和新业务开通缓慢等问题,业界提出了基于转发与控制分离的vBRAS系统架构。基于转发与控制分离的vBRAS系统架构包括CP和UP两种角色,由二者共同实现BRAS功能。
设计经验 发布时间 : 2024-10-13
信而泰TSN测试仪板卡搭配BigTao220/6200便携式机框,实现车载终端模块GPTP,CBS等测试
现代汽车的电子控制单元很多,达到几十块或上百块,不同的车载终端控制器、TSN交换机等组件共同构成庞大的车载以太网,电子控制单元通过传感器不断接收外界信号,然后发出指令去控制执行器的动作,不同的ECU之间的数据通过CAN总线进行转发。XINERTEL BigTao220/6200网络测试仪搭配V2-1G-8M-TSN测试板卡配合光转T1模块可实现对车载终端模块进行GPTP、CBS等协议测试。
应用方案 发布时间 : 2023-11-15
DPDK技术提升网卡吞吐量几何?
2008年,数据平面开发套件DPDK由英特尔公司的网络通信部门提出,主要针对Intel的处理器和网卡开发,是一款高性能的网络驱动组件,旨在为数据面应用程序提供一个简单方便的,完整的,快速的数据包处理解决方案。
技术探讨 发布时间 : 2023-12-30
10G-400G以太网测试仪供应商信而泰与世强硬创达成战略合作
信而泰(XINERTEL)网络测试仪支持L2-7层流量、协议仿真,最高支持400G;网络损伤仪最高支持100G速率,还支持8类损伤场景仿真模拟,当前已为各类科研、金融、网络设备厂家、音视频企业等服务。
签约新闻 发布时间 : 2023-07-17
DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真,支持高性能路由仿真与容量测试
如何客观公正的评估这些新一代安全设备的性能,成为摆在用户面前亟待解决的问题。DarYu系列高性能网络测试仪提供以太网2~7层的流量测试与协议仿真,能够快速的对网络设备的性能进行系统评估,支持RFC2544、RFC2889和RFC3918基准测试,支持高性能路由仿真与容量测试,基于应用层的新建连接、并发连接与吞吐量等性能指标检测。
应用方案 发布时间 : 2024-03-28
信而泰DarYu/BigTao系列网络测试仪构造InfiniBand流量在数据中心测试中的应用
在当今数据爆炸的时代,数据中心作为信息处理的中心枢纽,面临着前所未有的挑战。传统的通信方式已经难以满足日益增长的数据传输需求,而InfiniBand技术的出现,为数据中心带来了全新的通信解决方案。
应用方案 发布时间 : 2024-06-17
信而泰防火墙安全测试解决方案:为网络安全保驾护航
在当今数字化时代,网络安全至关重要。防火墙作为网络安全的第一道防线,其性能和可靠性直接影响到网络的安全性。信而泰提供的防火墙安全测试解决方案,旨在通过全面的测试流程,确保防火墙能够高效、准确地执行其安全任务。
应用方案 发布时间 : 2024-11-12
BigTao-V系列产品手册
型号- V2-10G,V8008D,V6000,V2-10G 系列,BIGTAO-V系列,BIGTAO220,TSN 系列,V2-100G-4QSFP28-D,V2-1G-8M-TSN,V2-100G 系列,V2-400G,V8000,V8004F,V2-400G-2QDD-Q,RENIX,V2-100G-2QSFP28-S,V2-100G-2QSFP28-T,V8008F,V2-100G-2QSFP28-Q,V2-100G-4QSFP28-S,V6016F,V2-100G-4QSFP28-T,V6004F,V2-100G-4QSFP28-Q,DARYU3000,V6000 系列,V6008M,BIGTAO-V,V2-400G 系列,V6016M,V2-100G-2QSFP28-D,TSN,DARYU12000,V2-10G-8C-Q,V8000 系列,V6008C,V2-100G,BIGTAO6200,V6016C,V6004C
XINERTEL (信而泰)网络测试仪选型指南
描述- 北京信而泰科技股份有限公司是具有自主知识产权的国家高新技术企业、工信部第三批专精特新“小巨人”企业。自2007年成立以来,信而泰始终专注于通信网络测试领域,致力于为客户提供高品质、优服务的IP网络测试产品及测试解决方案。
型号- DARYU-X系列,X2-100G-12QSFP28-Q,V2-10G 系列,BIGTAO-V 系列,XCOMPASS-S,DARYU200,FTT1-1000,K2-100G-1QSFP28-HQ,X2-40G-4QSFP28-HS,V2-400G,DARYU 200 系列,V2-100G-2QSFP28-S,V2-100G系列,V2-100G-2QSFP28-T,X2-10G-8C-HQ,BIGTAO 1000,V2-100G-2QSFP28-Q,X2-100G-2QSFP28-HD,ETTH-T1,X2-400G系列,BIGTAO 系列,U2 系列,V2-100G-2QSFP28-D,V2-10G系列,DARYU 3000,X2-100G-2QSFP28-HT,X2-100G-2QSFP28-HS,X2-10G-8F-HD,BIGTAO,DARYU-X 系列,V2-800G-2M-S,V8000 系列,X5-400G-8QDD,V2-100G,V2-10G-8F-T,X2-100G-2QSFP28-HQ,V8008D,V2-APP-1G-4F,V2-800G 系列,V6000,V2-APP-1G-4C,XCOMPASS-S100,U2-100G-2QSFP28-HQ,DARYU 系列,BIGTAO-V系列,V6000系列,X2-400G-2QDD,V2-100G-4QSFP28-D,DARPENG VE,XCOMPASS-S 系列,V2-1G-8M-TSN,V2-400G系列,V2-100G 系列,RENIX,V8008F,V2-100G-4QSFP28-S,V2-100G-4QSFP28-T,V2-100G-4QSFP28-Q,DARYU3000,K2-1G-4C-HT,DARPENG系列,V6008M,X2-100G-4QSFP28-HQ,X2-100G-4QSFP28-HS,X2-100G-4QSFP28-HT,ALPS,X2-100G 系列,DARPENG 系列,V2-10G-4M-TSN,DARPENG VE-100G,X2-100G-4QSFP28-HD,V6008C,U2-10G-8F-HD,X-VISION,X2-400G 系列,BIGTAO 1000 系列,XCOMPASS-S系列,X2-10G 系列,BIGTAO220,X2-100G,K2-1G-4F-HS,U2系列,TSN 系列,X2-10G,V8000,DARPENG,DARYU,V2-800G,K2-10G-4F-HD,X5 系列,DARPENG VE-10G,X5-400G,TSN,DARYU12000,X2-400G,X2-10G-16F-HD,V2-APP 系列,XCOMPASS-S100 系列,BIGTAO6200,V2-APP-10G-4F,V2-10G,X2-10G-16C-HQ,V2-APP,V2-800G系列,V8004F,V2-400G-2QDD-Q,X5,BIGTAO1000,V6016F,XCOMPASS-S100-2QSFP28,DARYU-X,V6004F,V2-APP系列,V6000 系列,DARYU 200,BIGTAO-V,V2-400G 系列,V6016M,DARPENG2000E,E2-100G-4QSFP28-Q,BIGTAO1000 系列,X5-400G-16QDD,V2-10G-8C-Q,DARYU 12000,X2-40G-2QSFP28-HS,X-LAUNCH,DARPENG VE-1G,XCOMPASS-S10,V8000系列,V6016C,V6004C
【仪器】信而泰重磅发布800G网络测试仪,助力用户实现网络性能的提升和问题的快速解决
信而泰全力研发推出全新800G网络测试仪,为客户提供更加全面、准确的网络测试解决方案。800G网络测试仪采用了业界先进的测试技术,能够在高速网络环境下稳定、准确地进行测试,为用户提供准确的性能评估和网络优化方案。无论是在数据传输速率、延迟测试还是网络质量评估方面,800G网络测试仪都能够满足用户的需求,助力用户实现网络性能的提升和问题的快速解决。
产品 发布时间 : 2024-07-24
国产网络测试仪领导者信而泰应邀参加2022世界半导体大会,其芯片测试方案有效降低芯片研发及生产成本
以“世界芯 未来梦”为主题的“2022世界半导体大会”在南京国际博览中心盛大开幕。北京信而泰科技股份有限公司作为国产网络测试仪领导者以及国内领先的网络测试设备和解决方案供应商应邀参展。
原厂动态 发布时间 : 2023-06-14
电子商城
服务
支持GSM / GPRS 等多种制式产品的射频测试,覆盖所有上行和下行的各项射频指标,包括频差、相差、调制、功率、功控、包络、邻道泄漏比、频谱、杂散、灵敏度、同道干扰、邻道干扰、互调、阻塞等等。满足CE / FCC / IC / TELEC等主流认证的射频测试需求。
实验室地址: 深圳 提交需求>
整体外形尺寸小至0.6*0.3*0.3mm (DFN0603),工作电压范围覆盖2.5V~36V,电容值低至0.2pF,浪涌能力最高可达240安培,静电等级可达空气放电、接触放电±30KV。提供免费浪涌测试仪、静电测试仪测试。
提交需求>
授权代理品牌:集成电路
授权代理品牌:分立元件
授权代理品牌:接插件及结构件
授权代理品牌:部件、组件及配件
授权代理品牌:电源及模块
授权代理品牌:电子材料
授权代理品牌:仪器仪表及测试配组件
授权代理品牌:电工工具及材料
授权代理品牌:机械电子元件
授权代理品牌:加工与定制
我要提问
登录 | 立即注册
提交评论