配置使用IPsec安全框架保护RIPng报文

正文共：999 字 11 图，预估阅读时间：1 分钟

前面我们简单介绍了IPv6的基本概念（IPv6从入门到精通），也做了动态路由协议的相关介绍（IS-ISv6配置），还做了一个综合性比较强的SRv6实验（付出总有回报，全国SRv6组网实验成功了！）。

如果我们看H3CSE的实验指导可以发现，IPv6的路由协议配置中，主要是RIPng和OSPFv3的实验，OSPFv3我们已经配置过了（OSPFv6配置），今天来简单看一下RIPng。

组网拓扑如下图，模拟器使用HCL 5.10.2版本。

首先，按照图示信息配置全网的互联网络。

然后，通过配置RIPng学习网络中的IPv6路由信息，实现RT1、RT2和RT3之间的网络互通。

RIPng的配置与RIP稍有不同，再配置RIPng时，只需要先在系统视图下启动RIPng，再从接口下使能RIPng路由协议就行了，不需要在RIP视图中指定使能RIP的网段。

RT1

#
ripng 1
#
interface GigabitEthernet0/0
 ipv6 address 12::1/64
 ripng 1 enable
#
interface GigabitEthernet0/1
 ipv6 address 11::1/64
 ripng 1 enable

RT2

#
ripng 1
#
interface GigabitEthernet0/0
 ipv6 address 12::2/64
 ripng 1 enable
#
interface GigabitEthernet0/1
 ipv6 address 23::2/64
 ripng 1 enable

RT3

#
ripng 1
#
interface GigabitEthernet0/0
 ipv6 address 23::3/64
 ripng 1 enable
#
interface GigabitEthernet0/1
 ipv6 address 33::1/64
 ripng 1 enable

查看RT1的全局路由表。

可以看到，已经可以成功学习到RT2和RT3侧相关的路由信息，优先级为100。下一跳地址为FE80::6CE9:AFF:FE56:205，到RT2设备进行查看，该地址正是其接口G0/0的链路本地地址。

查看RIPng进程的配置信息。

缺省情况下，Update定时器的值为30秒，Timeout定时器的值为180秒，相比其他动态路由协议算是相当长了。

查看指定RIPng进程的接口信息。

缺省情况下，接口的水平分割处于启用状态，毒性逆转处于关闭状态；如果同时配置了水平分割和毒性逆转，则只有毒性逆转功能生效。

查看RIPng进程的邻居信息。

查看RT1的RIPng路由表。

这里还区分了从RIPng令居学到的IPv6路由和本地生成的直连路由。

测试PC1和PC3的互访。

互访正常，转发路径也没有问题。

如果我们进行抓包，可以看到，设备之间大约30秒进行一次数据同步。报文的目的地址为组播地址FF02::9, 目的端口为UDP端口521；报文类型为Response，携带的数据为本地的直连路由，用于周期性的发送更新报文。除此之外，Response报文还在路由发生变化时触发更新，或者用于响应请求路由器的Request报文。而Request报文一般是在RIPng路由器启动后或者需要更新部分路由表项时发出，用于向邻居请求需要的路由信息。

可以看到，数据是透明传输的，报文内容一清二楚。接下来，我们配置IPsec安全框架对RT1、RT2和RT3之间的RIPng报文进行有效性检查和验证

3台设备的配置完全一致，创建名为ripng的安全提议，报文封装形式采用传输模式，安全协议采用ESP协议；再创建一个安全框架ripng，协商方式为manual，手工配置SPI和密钥。

#
ipsec transform-set ripng
 encapsulation-mode transport
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm md5
#
ipsec profile ripng manual
 transform-set ripng
 sa spi inbound esp 20240419
 sa string-key inbound esp simple ripng
 sa spi outbound esp 20240419
 sa string-key outbound esp simple ripng

最后，应用到RIPng进程上就可以了。