ROS 7上实现私网互通方案

一、背景:

第一个私网现状:连接公域网是由tp-link进行拨号链接使用动态公网ip,内部网段是192.168.1.0/24
第二个私网现状:连接公域网是机房的固定公网ip,内部网段为10.0.0.0/16

二、目标

安全的打通192.168.1.0/24和10.0.0.0/16的网络,
使得前者局域网中的机器能够安全访问10.0.0.0/16中的服务,
也使得10.0.0.0/16中的机器能够安全访问192.168.1.0/24网络中的机器

三、网络实现图展示

在这里插入图片描述

四、配置思路

  1. 搭建ipsec链路链接,完成基础安全对接
  2. 搭建gre链路链接,完成网络互通
  3. 启用opsf协议,实现动态路由

五、配置命令

5.1 IPsec安全链接配置

IPsec简介:互联网协议安全 (Internet Protocol Security ,即IPsec) 是由互联网工程任务组 (IETF) 定义的一组协议,用于保护在不受保护的 IP/IPv6 网络(例如互联网)上进行的数据包交换。 IPsec 协议套件可分为以下几组:互联网密钥交换 (IKE) 协议。动态生成和分发 AH 和 ESP 的加密密钥。身份验证标头 (AH) RFC 4302封装安全有效负载 (ESP) RFC 4303
IKE简介:互联网密钥交换 (IKE) 是一种为互联网安全关联和密钥管理协议 (ISAKMP) 框架提供经过验证的密钥材料的协议。还有其他密钥交换方案可与 ISAKMP 配合使用,但 IKE 是最广泛使用的方案。它们共同提供主机身份验证和自动管理安全关联 (SA) 的方法。大多数情况下,IKE 守护进程什么也不做。它被激活时可能出现两种情况:1. 策略规则捕获了一些需要加密或验证的流量,但该策略没有任何 SA。策略会将此事通知 IKE 守护进程,然后 IKE 守护进程启动与远程主机的连接。2. IKE 守护进程响应远程连接。在这两种情况下,对等方都会建立连接并执行 2 个阶段:阶段 1 - 对等方同意他们将在以下 IKE 消息中使用的算法并进行身份验证。还会生成用于派生所有 SA 密钥并保护主机之间后续 ISAKMP 交换的密钥材料。阶段 2 - 对等方建立一个或多个 SA,IPsec 将使用这些 SA 来加密数据。IKE 守护进程建立的所有 SA 都将具有生存期值(限制时间,超过该时间 SA 将失效,或限制此 SA 可以加密的数据量,或两者兼而有之)。

5.1.1 ros01端配置(命令方式)

第一步: 创建回环接口
创建一个回环接口,这个ip用于创建ipsec的服务端IP
/interface bridge add name=loopback-ipsec
第二步: 绑定ip地址
在新创建的回环接口上绑定一个IP地址
/ip address add address=172.16.99.1 interface=loopback-ipsec network=172.16.99.1
第三步:新增ipsec的profile
为ipsec增加一个配置信息,确认加密算法和哈希算法;
该配置文件中的参数在第一阶段用于IKE协商;
注:配置文件中的参数可能与其他对等配置存在通用的可能。
/ip ipsec profile add enc-algorithm=aes-256 hash-algorithm=sha256 name=ike2
第四步:新增ipsec的proposal配置(预案配置)
为ike守护进程增加一个建立SA的连接验证预案;选择允许授权的算法,选择允许用于SA的算法和秘钥长度,不启用pfs-group安全方式
/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ike2 pfs-group=none
第五步: 新增ipsec的mode-config
给ikv2配置相关属性信息:给启动器/发起方配置一个IP地址,其子网掩码前缀长度为30指定172.16.99.1/32为要建立隧道的子网。指定的子网将使用CISCO UNITY扩展发送到对等端,远程对等端将创建特定的动态策略。
/ip ipsec mode-config add address=172.16.99.2 address-prefix-length=30 name=ike2-conf split-include=172.16.99.1/32 system-dns=no
第六步: 新增ipsec的policy group
创建由策略模板使用的策略组,其策略组名为ike2-policies
/ip ipsec policy group add name=ike2-policies
第七步:禁用默认策略,新增ipsec策略
策略的制定用于确定是否应对数据包应用安全设置
禁用默认策略,避免影响ipsec链接。
创建一个启用模板方式下其目标地址为172.16.99.2/32,其源地址为192.16.99.1/32的策略,并将此策略分配至ike2-policies组。
/ip ipsec policy disable numbers=0
/ip ipsec policy add dst-address=172.16.99.2/32 group=ike2-policies proposal=ike2 src-address=172.16.99.1/32 template=yes

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/393605.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C#使用Socket实现TCP服务器端

1、TCP服务器实现代码 using System; using System.Collections.Generic; using System.Linq; using System.Net; using System.Net.Sockets; using System.Text; using System.Threading; using System.Threading.Tasks;namespace PtLib.TcpServer {public delegate void Tcp…

浏览器渲染树的形成原理,你真的懂吗?

一、浏览器渲染的基本流程 解析 HTML 当用户在浏览器中输入网址或点击链接时,浏览器会向服务器发送请求获取 HTML 文件。随后,浏览器开始解析 HTML 代码,将其转化为一系列的标签和文本,并构建出 DOM 树。这棵树以层次结构表示了网…

Tensorflow预训练模型转PyTorch

深度学习领域是计算机科学中变化最快的领域之一。大约 5 年前,当我开始研究这个主题时,TensorFlow 被认为是主导框架。如今,大多数研究人员已经转向 PyTorch。 NSDT工具推荐: Three.js AI纹理开发包 - YOLO合成数据生成器 - GLTF/…

无人机无线电监测设备技术分析

随着无人机技术的飞速发展,其在民用、军事、科研及娱乐等领域的广泛应用,对无线电频谱资源的有效管理和监测提出了更高要求。无人机无线电监测设备作为保障空域安全、维护无线电秩序的重要工具,集成了高精度定位、频谱扫描、信号分析、数据处…

《Token-Label Alignment for Vision Transformers》ICCV2023

摘要 这篇论文探讨了数据混合策略(例如CutMix)在提高卷积神经网络(CNNs)性能方面的有效性,并指出这些策略在视觉Transformer(ViTs)上同样有效。然而,发现了一个“token fluctuation…

Axure RP界面设计初探:基础操作与实用技巧

Axure RP是目前流行的设计精美的用户界面和交互软件。Axure RP提供了一组丰富的RP。 UI 控件,这些控件根据它们的应用领域进行分类。作为Axure的国产替代品,它可以在线协同工作,浏览器可以在不下载客户端的情况下立即打开和使用。如果以前用A…

OpenCV专栏介绍

在当今人工智能和计算机视觉领域,OpenCV作为一个功能强大的开源库,已经成为实现各种视觉算法的基石。本“OpenCV”专栏致力于帮助读者深入理解并掌握OpenCV的使用,从而在计算机视觉项目中发挥关键作用。 专栏导读 随着技术的不断进步&#…

e6.利用 docker 快速部署自动化运维平台

利用 docker 快速部署自动化运维平台 1. 安装docker2. 拉取镜像3. 启动容器4. 初始化5. 访问测试 Spug 面向中小型企业设计的轻量级无 Agent 的自动化运维平台,整合了主机管理、主机批量执行、主 机在线终端、文件在线上传下载、应用发布部署、在线任务计划、配置中…

Java程序员接单分享

作为一名Java程序员,这阵子通过承接些小型项目,我顺利跨过了月薪破万的门槛。这些项目虽小,却如同磨刀石般,让我在实战中发现了自身技术栈的棱角与不足,尤其是意识到了在Java这一浩瀚技术海洋中的诸多未知领域。我深知…

pytorch和deep learning技巧和bug解决方法短篇收集

有一些几句话就可以说明白的观点或者解决的的问题,小虎单独收集到这里。 torch.hub.load how does it work 下载预训练模型再载入,用程序下载链接可能失效。 model torch.hub.load(ultralytics/yolov5, yolov5s)model torch.hub.load(ultralytics/y…

WPF学习(10)-Label标签+TextBlock文字块+TextBox文本框+RichTextBox富文本框

Label标签 Label控件继承于ContentControl控件,它是一个文本标签,如果您想修改它的标签内容,请设置Content属性。我们曾提过ContentControl的Content属性是object类型,意味着Label的Content也是可以设置为任意的引用类型的。 案…

我的cesium for UE踩坑之旅(蓝图、UI创建)

我的小小历程 过程创建对应目录,并将要用到的图片、资源放入对应目录下内容浏览器 窗口中右键,创建一个控件蓝图,用来编辑界面UI绘制画布面板(canvas)调整整体布局加入对应的控件将UI加入到关卡中 备注搜索不到 Add To…

如何在Zoom中集成自己的app?一个简单的例子

一、注册zoom 账号、以便在zoom app maketplace创建app。 二、安装git、node.js、vscode开发环境(略)。 三、注册ngrok账号,获得一个免费的https静态域名。 四、配置zoom app(wxl),设置上一步获得的https静态域名,验证…

进阶学习-----练习线程思维解决实际问题

线程在IT行业的实际应用 1. 多线程编程 在软件开发中,多线程编程是一种常见的技术,它允许程序同时执行多个任务。以下是多线程编程的一些具体应用: 任务分解:将一个大的任务分解为多个小任务,每个小任务由一个线程执…

C#基础——泛型

泛型 C# 中的泛型是一种强大的编程特性,它允许你编写类型安全且灵活的代码。泛型允许你定义类、结构体、接口、方法和委托,而不必在编译时指定具体的数据类型。相反,你可以使用类型参数来定义泛型类型或方法,然后在使用时指定具体…

springboot高校实验室安全管理系统-计算机毕业设计源码73839

目 录 摘要 1 绪论 1.1 研究背景 1.2 选题意义 1.3研究方案 1.4论文章节安排 2相关技术介绍 2.1 B/S结构 2.2 Spring Boot框架 2.3 Java语言 2.4 MySQL数据库 3系统分析 3.1 可行性分析 3.2 系统功能性分析 3.3.非功能性分析 3.4 系统用例分析 3.5系统流程分析…

算法板子:最短路问题——包含朴素Dijkstra算法、堆优化版的Dijkstra算法、SPFA算法、Floyd算法

目录 1. 几种算法的用途2. Dijkstra算法——求源点到其他所有点的最短路径(不能处理负边权)(1)朴素Dijkstra算法——适用于稠密图(2)堆优化版的Dijkstra算法——适用于稀疏图 4. SPFA算法——求源点到其他所有点的最短路径、判断是…

WordPress原创插件:disable-gutenberg禁用古腾堡编辑器和小工具

WordPress原创插件:disable-gutenberg禁用古腾堡编辑器和小工具 disable-gutenberg插件下载:https://download.csdn.net/download/huayula/89616495

SpringBoot快速学习

目录 SpringBoot配置文件 多环境配置 SpringBoot整合junit SpringBoot整合mybatis 1.在创建时勾选需要的模块 2.定义实体类 3.定义dao接口 4.编写数据库配置 5.使用Druid数据源 SpringBoot 是对 Spring 开发进行简化的。 那我们先来看看SpringMVC开发中的一些必须流…

翻译: 梯度下降 深度学习神经网络如何学习一

在上一节影片里我讲解了神经网络的结构 首先我们来快速回顾一下 在本节影片里,我们有两个目标 首介绍梯度下降的概念 它不仅是神经网络工作的基础 也是很多其他机器学习方法的基础 然后我们会研究一下这个特别的网络是如何工作的 以及这些隐藏的神经元层究竟在寻找什…