✖
每日一题
☺您本月已连续签到天,打败了0%的知了达人!
今日已答题
签到规则:
1.每日可签到答题一次,每签到一次可获得5积分,连续签到10天额外奖励50积分,连续签到20天以上额外奖励100积分;连续签到30天以上额外奖励200积分;
2.签到答题正确,获得经验值5点;
3.签到成功后,当天日期会有提示。
F1090防火墙gre隧道接口应用ipsec框架,抓包测试发现ping小于1386字节是数据包加密正常,ping大于1386字节是数据包加密异常。
这是配置有问题还是bug?
(0)
最佳答案
你可以新开一个问题,把HCL的文件发上来,然后说一下谁ping谁有问题,可以给你看下
HCL工程压缩包链接链接:https://pan.baidu.com/s/1Y7FLWZeEooNNjW8BHfXEiw?pwd=1234
PC之间ping,下面评论有截图,老是提醒有敏感词,哎!
看到了,你说的加密异常具体是指什么异常,数据包大小?
对,ping大于1386字节时会有数据包没有进行esp封装
啊 那个不是,那是因为加密计算中要保持数据必须满足多少字节的整数倍,如果不满足需要填充才行,填充后可能导致数据过大,从而分片,这样esp头只会在一个包里面有,另一个没有
没明白。。。
就是原先的1386字节是指的ICMP数据,然后加密是对原IP头开始到ESP尾部分(不包含padding length和next-header),然后ase-cbc-128要求加密数据长度必须是16字节的倍数,如果不满足要填充到16字节,这样数据就会变长,之后SHA1验证还要求数据必须要64字节的倍数,所以此时还要增加,然后计算而得到一个20字节的完整性校验的值,放到ESP验证字段,之后开始封装新IP头,此时会导致这些补充的数据+新IP头+ESP头等,就超过了1500字节的大小,就开始分片,分片后,只有一个数据包是携带了ESP头的,这样可以减少对报文的浪费,其余的没有携带ESP头的不是说没加密
ping1386字节:
ping1387字节:
你正在编辑答案
如果你要对问题或其他回答进行点评或询问,请使用评论功能。
分享扩散:
亲~登录后才可以操作哦!
亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册
注册后可访问此模块
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
泄露了我的隐私
侵犯了我企业的权益
抄袭了我的内容
原文链接或出处
诽谤我
对根叔社区有害的内容
不规范转载
举报说明
HCL工程压缩包链接链接:https://pan.baidu.com/s/1Y7FLWZeEooNNjW8BHfXEiw?pwd=1234
PC之间ping,下面评论有截图,老是提醒有敏感词,哎!
看到了,你说的加密异常具体是指什么异常,数据包大小?
对,ping大于1386字节时会有数据包没有进行esp封装
啊 那个不是,那是因为加密计算中要保持数据必须满足多少字节的整数倍,如果不满足需要填充才行,填充后可能导致数据过大,从而分片,这样esp头只会在一个包里面有,另一个没有
没明白。。。
就是原先的1386字节是指的ICMP数据,然后加密是对原IP头开始到ESP尾部分(不包含padding length和next-header),然后ase-cbc-128要求加密数据长度必须是16字节的倍数,如果不满足要填充到16字节,这样数据就会变长,之后SHA1验证还要求数据必须要64字节的倍数,所以此时还要增加,然后计算而得到一个20字节的完整性校验的值,放到ESP验证字段,之后开始封装新IP头,此时会导致这些补充的数据+新IP头+ESP头等,就超过了1500字节的大小,就开始分片,分片后,只有一个数据包是携带了ESP头的,这样可以减少对报文的浪费,其余的没有携带ESP头的不是说没加密