ROS 7上实现私网互通方案
一、背景:
第一个私网现状:连接公域网是由tp-link进行拨号链接使用动态公网ip,内部网段是192.168.1.0/24
第二个私网现状:连接公域网是机房的固定公网ip,内部网段为10.0.0.0/16
二、目标
安全的打通192.168.1.0/24和10.0.0.0/16的网络,
使得前者局域网中的机器能够安全访问10.0.0.0/16中的服务,
也使得10.0.0.0/16中的机器能够安全访问192.168.1.0/24网络中的机器
三、网络实现图展示
四、配置思路
- 搭建ipsec链路链接,完成基础安全对接
- 搭建gre链路链接,完成网络互通
- 启用opsf协议,实现动态路由
五、配置命令
5.1 IPsec安全链接配置
IPsec简介:互联网协议安全 (Internet Protocol Security ,即IPsec) 是由互联网工程任务组 (IETF) 定义的一组协议,用于保护在不受保护的 IP/IPv6 网络(例如互联网)上进行的数据包交换。 IPsec 协议套件可分为以下几组:互联网密钥交换 (IKE) 协议。动态生成和分发 AH 和 ESP 的加密密钥。身份验证标头 (AH) RFC 4302封装安全有效负载 (ESP) RFC 4303
IKE简介:互联网密钥交换 (IKE) 是一种为互联网安全关联和密钥管理协议 (ISAKMP) 框架提供经过验证的密钥材料的协议。还有其他密钥交换方案可与 ISAKMP 配合使用,但 IKE 是最广泛使用的方案。它们共同提供主机身份验证和自动管理安全关联 (SA) 的方法。大多数情况下,IKE 守护进程什么也不做。它被激活时可能出现两种情况:1. 策略规则捕获了一些需要加密或验证的流量,但该策略没有任何 SA。策略会将此事通知 IKE 守护进程,然后 IKE 守护进程启动与远程主机的连接。2. IKE 守护进程响应远程连接。在这两种情况下,对等方都会建立连接并执行 2 个阶段:阶段 1 - 对等方同意他们将在以下 IKE 消息中使用的算法并进行身份验证。还会生成用于派生所有 SA 密钥并保护主机之间后续 ISAKMP 交换的密钥材料。阶段 2 - 对等方建立一个或多个 SA,IPsec 将使用这些 SA 来加密数据。IKE 守护进程建立的所有 SA 都将具有生存期值(限制时间,超过该时间 SA 将失效,或限制此 SA 可以加密的数据量,或两者兼而有之)。
5.1.1 ros01端配置(命令方式)
第一步: 创建回环接口
创建一个回环接口,这个ip用于创建ipsec的服务端IP
/interface bridge add name=loopback-ipsec
第二步: 绑定ip地址
在新创建的回环接口上绑定一个IP地址
/ip address add address=172.16.99.1 interface=loopback-ipsec network=172.16.99.1
第三步:新增ipsec的profile
为ipsec增加一个配置信息,确认加密算法和哈希算法;
该配置文件中的参数在第一阶段用于IKE协商;
注:配置文件中的参数可能与其他对等配置存在通用的可能。
/ip ipsec profile add enc-algorithm=aes-256 hash-algorithm=sha256 name=ike2
第四步:新增ipsec的proposal配置(预案配置)
为ike守护进程增加一个建立SA的连接验证预案;选择允许授权的算法,选择允许用于SA的算法和秘钥长度,不启用pfs-group安全方式
/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ike2 pfs-group=none
第五步: 新增ipsec的mode-config
给ikv2配置相关属性信息:给启动器/发起方配置一个IP地址,其子网掩码前缀长度为30指定172.16.99.1/32为要建立隧道的子网。指定的子网将使用CISCO UNITY扩展发送到对等端,远程对等端将创建特定的动态策略。
/ip ipsec mode-config add address=172.16.99.2 address-prefix-length=30 name=ike2-conf split-include=172.16.99.1/32 system-dns=no
第六步: 新增ipsec的policy group
创建由策略模板使用的策略组,其策略组名为ike2-policies
/ip ipsec policy group add name=ike2-policies
第七步:禁用默认策略,新增ipsec策略
策略的制定用于确定是否应对数据包应用安全设置
禁用默认策略,避免影响ipsec链接。
创建一个启用模板方式下其目标地址为172.16.99.2/32,其源地址为192.16.99.1/32的策略,并将此策略分配至ike2-policies组。
/ip ipsec policy disable numbers=0
/ip ipsec policy add dst-address=172.16.99.2/32 group=ike2-policies proposal=ike2 src-address=172.16.99.1/32 template=yes
相关文章:
ROS 7上实现私网互通方案
一、背景: 第一个私网现状:连接公域网是由tp-link进行拨号链接使用动态公网ip,内部网段是192.168.1.0/24 第二个私网现状:连接公域网是机房的固定公网ip,内部网段为10.0.0.0/16二、目标 安全的打通192.168.1.0/24和10.0.0.0/16的网络, 使得前者局域网中的机器能够安全访…...
iOS企业签名过程中APP频繁出现闪退是什么原因?
企业签名中,我们总会遇到这样或者那样的问题,要么掉签,要么闪退,那在之前的文章,已不止一次跟大家说了掉签的问题,今天就跟大家详细的聊一聊闪退的问题,希望对大家的推广有所帮助。 其实不管是…...
Unity dots IJobParallelFor并行的数据写入问题
Unity dots IJobParallelFor并行的数据写入问题 [BurstCompile] public struct IncrementJob : IJobParallelFor { [ReadOnly] public NativeArray<int> baseValues; public NativeArray<int> resultValues; public void Execute(int index) {resultValu…...
媒体资讯视频数据采集-yt-dlp-python实际使用-下载视频
对于视频二创等一些业务场景,可能要采集youtube等的相关媒体视频资源,使用[yt-dlp](https://github.com/yt-dlp/yt-dlp)是一个不错的选择,提供的命令比较丰富,场景比较全面yt-dlp 是一个用 Python 编写的命令行工具,主…...
MySQL 8
MySQL 8.0 相对于 MySQL 5.x(特别是 MySQL 5.7)引入了许多重要的新特性和改进。下面是一些主要的变化和增强功能的概述,包括一些示例来帮助理解这些新功能。 1. JSON 数据类型增强 JSON 类型索引:现在可以为 JSON 列创建索引,从而提高查询性能。JSON 函数扩展:增加了更多…...
Android进阶之路 - app后台切回前台触发超时保护退出登录
我们经常会在银行、金融或者其他行业的app中看到用户长时间将app放置于后台,当再次唤醒app时就会提示用户已退出登录,需要重新登录,那么该篇主要就是用于处理这种场景的 针对于放置后台的超时保护属于进程级别,所以我们需要监听进…...
论文阅读笔记:Semi-supervised Semantic Segmentation with Error Localization Network
论文阅读笔记:Semi-supervised Semantic Segmentation with Error Localization Network 1 背景2 创新点3 方法4 模块4.1 使用标注数据训练ELN4.2 使用ELN进行半监督 5 效果5.1 与SOTA方法对比5.2 消融实验 论文:https://arxiv.org/pdf/2204.02078v3.pdf…...
Flink开发语言选择:Java vs Scala,哪种更适合你的项目?
欢迎来到我的博客,很高兴能够在这里和您见面!欢迎订阅相关专栏: 工💗重💗hao💗:野老杂谈 ⭐️ 全网最全IT互联网公司面试宝典:收集整理全网各大IT互联网公司技术、项目、HR面试真题.…...
轻空间成功完成陕西渭南砂石料场气膜仓项目
轻空间(江苏)膜结构科技有限公司凭借卓越的技术实力与丰富的项目经验,成功完成了陕西省渭南市砂石料场气膜仓的建设。这一项目的顺利交付,不仅满足了当地对高效仓储的需求,也为西北地区的仓储设施建设树立了标杆。 陕西…...
pikachu~文件下载漏洞
0x02文件下载 # 首先看到界面都是对图片的下载,然后我们需要对其中一张照片进行下载,查看它的文件地址可以发现 http://127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filenameai.png# 看到链接后发现我们可以修改我们想要传的的路径…...
MTK Android12 关机界面全屏展示
需求:关机和重启按钮点击后,去掉正在关机的动画和tips,改为一张图片实现。 修改点 修改点如下: 涉及到的修改文件 修改: \vendor\mediatek\proprietary\packages\apps\SystemUI\src\com\android\systemui\globalactionsGlobalActionsDialogLite.java新增: \vendor\media…...
初识云计算
随着科技的飞速发展,云计算作为一种新兴的信息技术架构,正在逐渐改变我们的工作方式和生活方式。 云计算是什么? 云计算是一种通过互联网提供计算资源和服务的计算模式。它通过互联网将计算和存储资源进行集中和共享,为用户提供…...
golang sync.Cond实现读写锁
直接上代码: package mainimport ("fmt""sync""time" )// RWLock 实现一个简单的读写锁 type RWLock struct {readerCount int // 当前正在读取的读者数量writerCount int // 当前正在写的写者数量mutex sync.Mutex // 保护…...
从通用到定制:营销Agent如何跨越数据鸿沟,实现对话SOP的个性化飞跃
从通用到定制:营销Agent如何跨越数据鸿沟,实现对话SOP的个性化飞跃 1.背景 营销 Agent 指的是在营销过程中洞察客户并作出决策以及行动的 AI 智能体,包括感知、理解、决策、交互、反馈多个模块。对话 SOP 是交互模块中非常重要的部分,如何在缺少数据的情况下快速实现千人…...
设计模式-单例设计模式
单例模式的设计和线程安全 单例模式是一种创建型设计模式,确保一个类只有一个实例,并提供一个全局访问点。实现单例模式时,线程安全性是一个重要考虑因素,特别是在多线程环境中。 1. C11 之前的线程安全实现 在 C11 之前&#…...
23_windows 使用sqlmap、kali使用sqlmap,SQL注入、sqlmap自动注入
sqlmap介绍 安装sqlmap 安装python环境 链接:https://pan.baidu.com/s/16QhhYCppSvuUikhKiOHNgg?pwd9LJY 提取码:9LJY C:\Users\leyilea> python // 测试python能不能用 >>> exit() // 退出 测试sqlmap是否可用 kali中运行sqlmapÿ…...
WPF学习(12)-Image图像控件+GroupBox标题容器控件
Image图像控件 Image也算是独门独户的控件,因为它是直接继承于FrameworkElement基类。 Image控件就是图像显示控件。Image类能够加载显示的图片格式有.bmp、.gif、.ico、.jpg、.png、.wdp 和 .tiff。要注意的是,加载.gif动画图片时,仅显示第…...
【Linux】基础IO认知
文件 1、回顾C语言中的文件接口2、对文件的理解(阶段一)3、文件操作3、1、C的文件操作接口3、2、认识系统调用接口3、2、强化对fd文件描述符及周边知识的理解 1、回顾C语言中的文件接口 事实上,我们在C语言的学习中了解的文件并不是真正的文件。从语言角度来说&…...
7. Kubernetes核心资源之Service服务实战
**service分类 : ** **ClusterIP : ** 默认类型,自动分配一个【仅集群内部】可以访问的虚拟IP **NodePort : ** 对外访问应用使用,在ClusterIP基础上为Service在每台机器上绑定一个端口,就可以通过: ipNodePort来访问该服务 **LoadBalanc…...
《向量数据库指南》——企业采用非结构化数据的场景及其深远影响
引言 在当今数字化转型的浪潮中,企业数据的种类与规模正以前所未有的速度增长,其中非结构化数据作为信息时代的重要组成部分,其价值日益凸显。Lynn提出的关于企业最先采用非结构化数据的观察,引发了我们对这一领域深入探索的兴趣。Charles的见解则为我们揭示了非结构化数据…...
Windows开发者的容器化进阶:深度配置WSL2的.wslconfig与wsl.conf,榨干你的Docker替代方案性能
Windows开发者的容器化进阶:深度配置WSL2的.wslconfig与wsl.conf,榨干你的Docker替代方案性能 当你在Windows上使用WSL2运行容器时,是否遇到过内存占用飙升、磁盘空间告急或是网络配置复杂的困扰?作为已经跨过WSL2基础门槛的中高…...
从乐高到变速箱:用一个完整案例,带你吃透SolidWorks自顶向下设计
从乐高到变速箱:用一个完整案例,带你吃透SolidWorks自顶向下设计 1. 为什么自顶向下设计是机械工程师的必修课 第一次用SolidWorks完成齿轮箱设计时,我犯了个典型错误——先画好所有齿轮和轴,最后才考虑箱体结构。结果发现轴承座位…...
C++的std--ranges等价
C的std::ranges等价:现代算法的新范式 C20引入的std::ranges库彻底改变了传统算法的编写方式,其中“等价”(equivalence)概念是理解范围操作的核心之一。与传统的“相等”(equality)不同,等价关…...
OpenClaw调试技巧:千问3.5-9B接口调用问题排查
OpenClaw调试技巧:千问3.5-9B接口调用问题排查 1. 为什么需要关注接口调用问题 上周我在本地部署OpenClaw对接千问3.5-9B模型时,遇到了一个诡异的问题:明明配置文件正确,模型服务也正常运行,但OpenClaw就是无法完成对…...
从内存寻址到游戏操控:CE逆向分析扫雷核心机制的完整实践
1. 逆向工程入门:为什么选择扫雷作为CE分析对象 逆向工程听起来高大上,但入门其实可以从经典小游戏开始。扫雷作为Windows系统自带游戏,结构简单但机制完整,是学习内存分析的绝佳标本。我第一次用Cheat Engine(CE&…...
番茄小说下载器:终极开源工具,让数字阅读更简单高效
番茄小说下载器:终极开源工具,让数字阅读更简单高效 【免费下载链接】Tomato-Novel-Downloader 番茄小说下载器不精简版 项目地址: https://gitcode.com/gh_mirrors/to/Tomato-Novel-Downloader 你是否曾经遇到过这样的困境:正在追更的…...
AI安全高阶:生成式AI的安全风险与防御体系
AI安全高阶:生成式AI的安全风险与防御体系📝 本章学习目标:本章深入探讨高阶主题,适合有一定基础的读者深化理解。通过本章学习,你将全面掌握"AI安全高阶:生成式AI的安全风险与防御体系"这一核心…...
从零搭建一个智能客服问答引擎:基于T5模型与PyTorch的完整项目实战
从零搭建智能客服问答引擎:基于T5模型与PyTorch的工业级实践 当企业客服系统每天需要处理数千条重复性问题时,人工坐席的效率瓶颈就会凸显。去年为某电商平台部署智能客服系统的经历让我深刻体会到:一个能理解"我的快递为什么三天没更新…...
从VGG到ResNet:我的模型为什么越深效果越差?深入对比两种经典网络的设计哲学与实战选择
从VGG到ResNet:深度神经网络的设计哲学与实战选择指南 当你第一次尝试用VGG16完成图像分类任务时,可能会惊讶于它的表现——直到你发现训练更深的VGG19时,准确率不升反降。这种反直觉的现象引出了深度学习领域的一个核心问题:为什…...
圣女司幼幽-造相Z-Turbo进阶用法:用Python脚本批量生成角色图教程
圣女司幼幽-造相Z-Turbo进阶用法:用Python脚本批量生成角色图教程 1. 从手动点击到自动生成:为什么需要脚本批量处理? 如果你已经体验过圣女司幼幽-造相Z-Turbo的Web界面,手动输入提示词、点击生成按钮,看着一张张精…...