雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1823|回复: 0

【分享】CCIE安全-组加密VPN(GET VPN)知识总结

[复制链接]
发表于 2012-2-20 09:27:27 | 显示全部楼层 |阅读模式
       GET VPN是一个为大型企业网准备的VPN解决方案,做GET VPN的首要前提是全网互通,可以对任意到任意的通讯进行加密。而不是像L2L VPN一样只能对指定源目的通讯进行加密。这个也是解决MPLS VPN无法加密的一个解决方案。

       相对于传统的L2L VPN,GET VPN有它的三个明显优势存在:
       1. 任意到任意的连通性
       2. 扩展性
       3. 实时性

       特别包括:
       1、基于现有的路由架构的透传解决方案
       2、IP Header Preservation 技术实现头部的保留
       3、不影响QoS,不增加网络开销和复杂度
       4、基于Trusted Group Memerbers的概念,在Groups内的Router使用相同的安全策略,比L2L VPN管理更简单
       5、Group内成员预先协商安全参数,实现any to any连接
       6、即时连接,减少类似语音流量的延时
       7、支持对单播和组播的加密
       8、是一个WAN 的解决方案,需要全局可路由。

      在GET VPN中有三个角色:key server、Routing member和Group member。
      key server:认证组成员;管理安全策略;创建group keys;分发policy/keys
      Routing Members:    Forwarding;     Replication ;       Routing

      GET VPN的三个组件:
      1. GDOI: GDOI协议用于在组成员和组控器、密钥服务器(GCKS)之间建立安全关联,实现安全的Group内通讯,GDOI协议适用于   UDP/848
      2. GCKS:    GCKS是一个Wie组维护策略,创建和维护密钥的路由器。当一个组成员注册时,密钥腐恶uwifasong策略和密钥到这个组成员。密钥服务器也会在密钥超时更新密钥。服务器会发送两种类型的密钥,加密流量的密钥(TEK)和加密密钥的密钥(KEK)。TEK会成为IPSEC SA。这个SA用于相同的组内成员之间的通讯。TEK是一个本质的组密钥,它共享给所有的组成员,并且加密组成员之间的流量。KEK用于加密更新密钥的信息,每一个组成员也用它来解密从密钥服务器发送过来的更新密钥信息。
     3. GM:        组成员是一台路由器,他在密钥服务器上注册,并且从密钥服务器获取IPSEC SA。使用这个SA与属于这个组的其他设备通讯,组成员在密钥服务器上注册并且提供一个组ID,并从服务器获取用于这个组的安全策略和密钥。
GET VPN还有他的一个优势是他采用单一的SA,他通过Key Server来分发SA给GM,而不是像L2L VPN那样通过两者协商出3个SA。

       GET VPN注册过程:
       1. GM会发送注册请求给KS(触发注册的条件是:GM启动或在GM的进出流量的接口上调用crypto map)。通过GDOI协议,KS对组成员认证和授权,并且发送策略和用于加解密IP单播和组播的密钥。
       2.当组成员注册成功获取IPSEC SA后,就会获取相应的密钥,组成员之间能够直接加密IP组播和单播,旁路掉KEY Server直接建立安全的通讯。
      3.如果需要,KEY Server发送的密钥更新信息(Rekey Message)到组内的所有成员。这个密钥更新信息包含新的IPSEC策略和当前IPSEC SA超时以后使用的更新的密钥。密钥更新信息会在SA超时之前发送,保障组密钥一直可用。

      Cooperative Key Server
      Primary:        接受GM注册,产生密钥,分发密钥,通知Secondary KS (密钥是同步的),发送Rekey。
      Secondary:   接受GM注册,检测Primary KS是否存在,通知Primary KS新的GM,不发送Rekey。
     注意:Primary和Secondary之间只有GM数据库和密钥是会自动同步的。但是policy是不会同步的,建议要把两者的policy配置成相同的。

    两种Anti-Replay 技术:
    1. Counter-Based Anti-Replay   : 只适用于连个GM的环境(点对点)
    2.Time-Based Anti-Replay        : 适用于多个GM环境(点对多点)
    GET VPN感兴趣流ACL:
    1.建议适用可归纳的网段(如10.1.1.0,10.1.2.0,10.1.3.0等),只需要配置一条ACL:
       如:access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255
    2.如果网络不能归纳(如10.1.1.0,172.16.1.0)需要配置两条ACL,每个方向一条:
       如:access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
              access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
    3.GM上可以配置GM ACL,只能配置deny条目,优先于从key Server上下载的感兴趣流
        如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255

    GET VPN配置步骤回顾:
    1.全网可路由
    2.在KS上产生和导出密钥(KS1)
    3.配置ISAKMP Policy (KS1,KS2,GM)
    4.配置IPSec Profile (KS1,KS2)
    5.KS基本配置(KS1,KS2)
    6.Rekey参数设置(KS1)
    7.配置IPSEC SA策略(KS1,KS2)
    8.GM配置crypto map
    9.配置coop key Server(KS1,KS2)



该贴已经同步到 zyh_jn915的微博
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-22 16:54 , Processed in 0.112205 second(s), 22 queries , Gzip On.

快速回复 返回顶部 返回列表