ROS 7上实现私网互通方案
一、背景:
第一个私网现状:连接公域网是由tp-link进行拨号链接使用动态公网ip,内部网段是192.168.1.0/24
第二个私网现状:连接公域网是机房的固定公网ip,内部网段为10.0.0.0/16
二、目标
安全的打通192.168.1.0/24和10.0.0.0/16的网络,
使得前者局域网中的机器能够安全访问10.0.0.0/16中的服务,
也使得10.0.0.0/16中的机器能够安全访问192.168.1.0/24网络中的机器
三、网络实现图展示
四、配置思路
- 搭建ipsec链路链接,完成基础安全对接
- 搭建gre链路链接,完成网络互通
- 启用opsf协议,实现动态路由
五、配置命令
5.1 IPsec安全链接配置
IPsec简介:互联网协议安全 (Internet Protocol Security ,即IPsec) 是由互联网工程任务组 (IETF) 定义的一组协议,用于保护在不受保护的 IP/IPv6 网络(例如互联网)上进行的数据包交换。 IPsec 协议套件可分为以下几组:互联网密钥交换 (IKE) 协议。动态生成和分发 AH 和 ESP 的加密密钥。身份验证标头 (AH) RFC 4302封装安全有效负载 (ESP) RFC 4303
IKE简介:互联网密钥交换 (IKE) 是一种为互联网安全关联和密钥管理协议 (ISAKMP) 框架提供经过验证的密钥材料的协议。还有其他密钥交换方案可与 ISAKMP 配合使用,但 IKE 是最广泛使用的方案。它们共同提供主机身份验证和自动管理安全关联 (SA) 的方法。大多数情况下,IKE 守护进程什么也不做。它被激活时可能出现两种情况:1. 策略规则捕获了一些需要加密或验证的流量,但该策略没有任何 SA。策略会将此事通知 IKE 守护进程,然后 IKE 守护进程启动与远程主机的连接。2. IKE 守护进程响应远程连接。在这两种情况下,对等方都会建立连接并执行 2 个阶段:阶段 1 - 对等方同意他们将在以下 IKE 消息中使用的算法并进行身份验证。还会生成用于派生所有 SA 密钥并保护主机之间后续 ISAKMP 交换的密钥材料。阶段 2 - 对等方建立一个或多个 SA,IPsec 将使用这些 SA 来加密数据。IKE 守护进程建立的所有 SA 都将具有生存期值(限制时间,超过该时间 SA 将失效,或限制此 SA 可以加密的数据量,或两者兼而有之)。
5.1.1 ros01端配置(命令方式)
第一步: 创建回环接口
创建一个回环接口,这个ip用于创建ipsec的服务端IP
/interface bridge add name=loopback-ipsec
第二步: 绑定ip地址
在新创建的回环接口上绑定一个IP地址
/ip address add address=172.16.99.1 interface=loopback-ipsec network=172.16.99.1
第三步:新增ipsec的profile
为ipsec增加一个配置信息,确认加密算法和哈希算法;
该配置文件中的参数在第一阶段用于IKE协商;
注:配置文件中的参数可能与其他对等配置存在通用的可能。
/ip ipsec profile add enc-algorithm=aes-256 hash-algorithm=sha256 name=ike2
第四步:新增ipsec的proposal配置(预案配置)
为ike守护进程增加一个建立SA的连接验证预案;选择允许授权的算法,选择允许用于SA的算法和秘钥长度,不启用pfs-group安全方式
/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ike2 pfs-group=none
第五步: 新增ipsec的mode-config
给ikv2配置相关属性信息:给启动器/发起方配置一个IP地址,其子网掩码前缀长度为30指定172.16.99.1/32为要建立隧道的子网。指定的子网将使用CISCO UNITY扩展发送到对等端,远程对等端将创建特定的动态策略。
/ip ipsec mode-config add address=172.16.99.2 address-prefix-length=30 name=ike2-conf split-include=172.16.99.1/32 system-dns=no
第六步: 新增ipsec的policy group
创建由策略模板使用的策略组,其策略组名为ike2-policies
/ip ipsec policy group add name=ike2-policies
第七步:禁用默认策略,新增ipsec策略
策略的制定用于确定是否应对数据包应用安全设置
禁用默认策略,避免影响ipsec链接。
创建一个启用模板方式下其目标地址为172.16.99.2/32,其源地址为192.16.99.1/32的策略,并将此策略分配至ike2-policies组。
/ip ipsec policy disable numbers=0
/ip ipsec policy add dst-address=172.16.99.2/32 group=ike2-policies proposal=ike2 src-address=172.16.99.1/32 template=yes
相关文章:
ROS 7上实现私网互通方案
一、背景: 第一个私网现状:连接公域网是由tp-link进行拨号链接使用动态公网ip,内部网段是192.168.1.0/24 第二个私网现状:连接公域网是机房的固定公网ip,内部网段为10.0.0.0/16二、目标 安全的打通192.168.1.0/24和10.0.0.0/16的网络, 使得前者局域网中的机器能够安全访…...
iOS企业签名过程中APP频繁出现闪退是什么原因?
企业签名中,我们总会遇到这样或者那样的问题,要么掉签,要么闪退,那在之前的文章,已不止一次跟大家说了掉签的问题,今天就跟大家详细的聊一聊闪退的问题,希望对大家的推广有所帮助。 其实不管是…...
Unity dots IJobParallelFor并行的数据写入问题
Unity dots IJobParallelFor并行的数据写入问题 [BurstCompile] public struct IncrementJob : IJobParallelFor { [ReadOnly] public NativeArray<int> baseValues; public NativeArray<int> resultValues; public void Execute(int index) {resultValu…...
媒体资讯视频数据采集-yt-dlp-python实际使用-下载视频
对于视频二创等一些业务场景,可能要采集youtube等的相关媒体视频资源,使用[yt-dlp](https://github.com/yt-dlp/yt-dlp)是一个不错的选择,提供的命令比较丰富,场景比较全面yt-dlp 是一个用 Python 编写的命令行工具,主…...
MySQL 8
MySQL 8.0 相对于 MySQL 5.x(特别是 MySQL 5.7)引入了许多重要的新特性和改进。下面是一些主要的变化和增强功能的概述,包括一些示例来帮助理解这些新功能。 1. JSON 数据类型增强 JSON 类型索引:现在可以为 JSON 列创建索引,从而提高查询性能。JSON 函数扩展:增加了更多…...
Android进阶之路 - app后台切回前台触发超时保护退出登录
我们经常会在银行、金融或者其他行业的app中看到用户长时间将app放置于后台,当再次唤醒app时就会提示用户已退出登录,需要重新登录,那么该篇主要就是用于处理这种场景的 针对于放置后台的超时保护属于进程级别,所以我们需要监听进…...
论文阅读笔记:Semi-supervised Semantic Segmentation with Error Localization Network
论文阅读笔记:Semi-supervised Semantic Segmentation with Error Localization Network 1 背景2 创新点3 方法4 模块4.1 使用标注数据训练ELN4.2 使用ELN进行半监督 5 效果5.1 与SOTA方法对比5.2 消融实验 论文:https://arxiv.org/pdf/2204.02078v3.pdf…...
Flink开发语言选择:Java vs Scala,哪种更适合你的项目?
欢迎来到我的博客,很高兴能够在这里和您见面!欢迎订阅相关专栏: 工💗重💗hao💗:野老杂谈 ⭐️ 全网最全IT互联网公司面试宝典:收集整理全网各大IT互联网公司技术、项目、HR面试真题.…...
轻空间成功完成陕西渭南砂石料场气膜仓项目
轻空间(江苏)膜结构科技有限公司凭借卓越的技术实力与丰富的项目经验,成功完成了陕西省渭南市砂石料场气膜仓的建设。这一项目的顺利交付,不仅满足了当地对高效仓储的需求,也为西北地区的仓储设施建设树立了标杆。 陕西…...
pikachu~文件下载漏洞
0x02文件下载 # 首先看到界面都是对图片的下载,然后我们需要对其中一张照片进行下载,查看它的文件地址可以发现 http://127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filenameai.png# 看到链接后发现我们可以修改我们想要传的的路径…...
MTK Android12 关机界面全屏展示
需求:关机和重启按钮点击后,去掉正在关机的动画和tips,改为一张图片实现。 修改点 修改点如下: 涉及到的修改文件 修改: \vendor\mediatek\proprietary\packages\apps\SystemUI\src\com\android\systemui\globalactionsGlobalActionsDialogLite.java新增: \vendor\media…...
初识云计算
随着科技的飞速发展,云计算作为一种新兴的信息技术架构,正在逐渐改变我们的工作方式和生活方式。 云计算是什么? 云计算是一种通过互联网提供计算资源和服务的计算模式。它通过互联网将计算和存储资源进行集中和共享,为用户提供…...
golang sync.Cond实现读写锁
直接上代码: package mainimport ("fmt""sync""time" )// RWLock 实现一个简单的读写锁 type RWLock struct {readerCount int // 当前正在读取的读者数量writerCount int // 当前正在写的写者数量mutex sync.Mutex // 保护…...
从通用到定制:营销Agent如何跨越数据鸿沟,实现对话SOP的个性化飞跃
从通用到定制:营销Agent如何跨越数据鸿沟,实现对话SOP的个性化飞跃 1.背景 营销 Agent 指的是在营销过程中洞察客户并作出决策以及行动的 AI 智能体,包括感知、理解、决策、交互、反馈多个模块。对话 SOP 是交互模块中非常重要的部分,如何在缺少数据的情况下快速实现千人…...
设计模式-单例设计模式
单例模式的设计和线程安全 单例模式是一种创建型设计模式,确保一个类只有一个实例,并提供一个全局访问点。实现单例模式时,线程安全性是一个重要考虑因素,特别是在多线程环境中。 1. C11 之前的线程安全实现 在 C11 之前&#…...
23_windows 使用sqlmap、kali使用sqlmap,SQL注入、sqlmap自动注入
sqlmap介绍 安装sqlmap 安装python环境 链接:https://pan.baidu.com/s/16QhhYCppSvuUikhKiOHNgg?pwd9LJY 提取码:9LJY C:\Users\leyilea> python // 测试python能不能用 >>> exit() // 退出 测试sqlmap是否可用 kali中运行sqlmapÿ…...
WPF学习(12)-Image图像控件+GroupBox标题容器控件
Image图像控件 Image也算是独门独户的控件,因为它是直接继承于FrameworkElement基类。 Image控件就是图像显示控件。Image类能够加载显示的图片格式有.bmp、.gif、.ico、.jpg、.png、.wdp 和 .tiff。要注意的是,加载.gif动画图片时,仅显示第…...
【Linux】基础IO认知
文件 1、回顾C语言中的文件接口2、对文件的理解(阶段一)3、文件操作3、1、C的文件操作接口3、2、认识系统调用接口3、2、强化对fd文件描述符及周边知识的理解 1、回顾C语言中的文件接口 事实上,我们在C语言的学习中了解的文件并不是真正的文件。从语言角度来说&…...
7. Kubernetes核心资源之Service服务实战
**service分类 : ** **ClusterIP : ** 默认类型,自动分配一个【仅集群内部】可以访问的虚拟IP **NodePort : ** 对外访问应用使用,在ClusterIP基础上为Service在每台机器上绑定一个端口,就可以通过: ipNodePort来访问该服务 **LoadBalanc…...
《向量数据库指南》——企业采用非结构化数据的场景及其深远影响
引言 在当今数字化转型的浪潮中,企业数据的种类与规模正以前所未有的速度增长,其中非结构化数据作为信息时代的重要组成部分,其价值日益凸显。Lynn提出的关于企业最先采用非结构化数据的观察,引发了我们对这一领域深入探索的兴趣。Charles的见解则为我们揭示了非结构化数据…...
网络编程(Modbus进阶)
思维导图 Modbus RTU(先学一点理论) 概念 Modbus RTU 是工业自动化领域 最广泛应用的串行通信协议,由 Modicon 公司(现施耐德电气)于 1979 年推出。它以 高效率、强健性、易实现的特点成为工业控制系统的通信标准。 包…...
深入剖析AI大模型:大模型时代的 Prompt 工程全解析
今天聊的内容,我认为是AI开发里面非常重要的内容。它在AI开发里无处不在,当你对 AI 助手说 "用李白的风格写一首关于人工智能的诗",或者让翻译模型 "将这段合同翻译成商务日语" 时,输入的这句话就是 Prompt。…...
Golang 面试经典题:map 的 key 可以是什么类型?哪些不可以?
Golang 面试经典题:map 的 key 可以是什么类型?哪些不可以? 在 Golang 的面试中,map 类型的使用是一个常见的考点,其中对 key 类型的合法性 是一道常被提及的基础却很容易被忽视的问题。本文将带你深入理解 Golang 中…...
day52 ResNet18 CBAM
在深度学习的旅程中,我们不断探索如何提升模型的性能。今天,我将分享我在 ResNet18 模型中插入 CBAM(Convolutional Block Attention Module)模块,并采用分阶段微调策略的实践过程。通过这个过程,我不仅提升…...
python/java环境配置
环境变量放一起 python: 1.首先下载Python Python下载地址:Download Python | Python.org downloads ---windows -- 64 2.安装Python 下面两个,然后自定义,全选 可以把前4个选上 3.环境配置 1)搜高级系统设置 2…...
Leetcode 3577. Count the Number of Computer Unlocking Permutations
Leetcode 3577. Count the Number of Computer Unlocking Permutations 1. 解题思路2. 代码实现 题目链接:3577. Count the Number of Computer Unlocking Permutations 1. 解题思路 这一题其实就是一个脑筋急转弯,要想要能够将所有的电脑解锁&#x…...
Cinnamon修改面板小工具图标
Cinnamon开始菜单-CSDN博客 设置模块都是做好的,比GNOME简单得多! 在 applet.js 里增加 const Settings imports.ui.settings;this.settings new Settings.AppletSettings(this, HTYMenusonichy, instance_id); this.settings.bind(menu-icon, menu…...
Cloudflare 从 Nginx 到 Pingora:性能、效率与安全的全面升级
在互联网的快速发展中,高性能、高效率和高安全性的网络服务成为了各大互联网基础设施提供商的核心追求。Cloudflare 作为全球领先的互联网安全和基础设施公司,近期做出了一个重大技术决策:弃用长期使用的 Nginx,转而采用其内部开发…...
select、poll、epoll 与 Reactor 模式
在高并发网络编程领域,高效处理大量连接和 I/O 事件是系统性能的关键。select、poll、epoll 作为 I/O 多路复用技术的代表,以及基于它们实现的 Reactor 模式,为开发者提供了强大的工具。本文将深入探讨这些技术的底层原理、优缺点。 一、I…...
【JavaWeb】Docker项目部署
引言 之前学习了Linux操作系统的常见命令,在Linux上安装软件,以及如何在Linux上部署一个单体项目,大多数同学都会有相同的感受,那就是麻烦。 核心体现在三点: 命令太多了,记不住 软件安装包名字复杂&…...