【分享】CCIE安全-组加密VPN(GET VPN)知识总结

zyh_jn915

       GET VPN是一个为大型企业网准备的VPN解决方案，做GET VPN的首要前提是全网互通，可以对任意到任意的通讯进行加密。而不是像L2L VPN一样只能对指定源目的通讯进行加密。这个也是解决MPLS VPN无法加密的一个解决方案。

       相对于传统的L2L VPN，GET VPN有它的三个明显优势存在：
       1. 任意到任意的连通性
       2. 扩展性
       3. 实时性

       特别包括：
       1、基于现有的路由架构的透传解决方案
       2、IP Header Preservation 技术实现头部的保留
       3、不影响QoS，不增加网络开销和复杂度
       4、基于Trusted Group Memerbers的概念，在Groups内的Router使用相同的安全策略，比L2L VPN管理更简单
       5、Group内成员预先协商安全参数，实现any to any连接
       6、即时连接，减少类似语音流量的延时
       7、支持对单播和组播的加密
       8、是一个WAN 的解决方案，需要全局可路由。

      在GET VPN中有三个角色：key server、Routing member和Group member。
      key server：认证组成员；管理安全策略；创建group keys；分发policy/keys
      Routing Members:    Forwarding;     Replication ;       Routing

      GET VPN的三个组件：
      1. GDOI： GDOI协议用于在组成员和组控器、密钥服务器（GCKS）之间建立安全关联，实现安全的Group内通讯，GDOI协议适用于   UDP/848
      2. GCKS:    GCKS是一个Wie组维护策略，创建和维护密钥的路由器。当一个组成员注册时，密钥腐恶uwifasong策略和密钥到这个组成员。密钥服务器也会在密钥超时更新密钥。服务器会发送两种类型的密钥，加密流量的密钥（TEK）和加密密钥的密钥（KEK）。TEK会成为IPSEC SA。这个SA用于相同的组内成员之间的通讯。TEK是一个本质的组密钥，它共享给所有的组成员，并且加密组成员之间的流量。KEK用于加密更新密钥的信息，每一个组成员也用它来解密从密钥服务器发送过来的更新密钥信息。
     3. GM:        组成员是一台路由器，他在密钥服务器上注册，并且从密钥服务器获取IPSEC SA。使用这个SA与属于这个组的其他设备通讯，组成员在密钥服务器上注册并且提供一个组ID，并从服务器获取用于这个组的安全策略和密钥。
GET VPN还有他的一个优势是他采用单一的SA，他通过Key Server来分发SA给GM，而不是像L2L VPN那样通过两者协商出3个SA。

       GET VPN注册过程：
       1. GM会发送注册请求给KS（触发注册的条件是：GM启动或在GM的进出流量的接口上调用crypto map）。通过GDOI协议，KS对组成员认证和授权，并且发送策略和用于加解密IP单播和组播的密钥。
       2.当组成员注册成功获取IPSEC SA后，就会获取相应的密钥，组成员之间能够直接加密IP组播和单播，旁路掉KEY Server直接建立安全的通讯。
      3.如果需要，KEY Server发送的密钥更新信息（Rekey Message）到组内的所有成员。这个密钥更新信息包含新的IPSEC策略和当前IPSEC SA超时以后使用的更新的密钥。密钥更新信息会在SA超时之前发送，保障组密钥一直可用。

      Cooperative Key Server
      Primary：        接受GM注册，产生密钥，分发密钥，通知Secondary KS （密钥是同步的），发送Rekey。
      Secondary：   接受GM注册，检测Primary KS是否存在，通知Primary KS新的GM，不发送Rekey。
     注意：Primary和Secondary之间只有GM数据库和密钥是会自动同步的。但是policy是不会同步的，建议要把两者的policy配置成相同的。

    两种Anti-Replay 技术：
    1. Counter-Based Anti-Replay   ： 只适用于连个GM的环境（点对点）
    2.Time-Based Anti-Replay        ： 适用于多个GM环境（点对多点）
    GET VPN感兴趣流ACL：
    1.建议适用可归纳的网段（如10.1.1.0，10.1.2.0，10.1.3.0等），只需要配置一条ACL：
       如：access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255
    2.如果网络不能归纳（如10.1.1.0，172.16.1.0）需要配置两条ACL，每个方向一条：
       如：access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
              access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
    3.GM上可以配置GM ACL，只能配置deny条目，优先于从key Server上下载的感兴趣流
        如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255

    GET VPN配置步骤回顾：
    1.全网可路由
    2.在KS上产生和导出密钥（KS1）
    3.配置ISAKMP Policy （KS1,KS2,GM）
    4.配置IPSec Profile （KS1,KS2）
    5.KS基本配置（KS1,KS2）
    6.Rekey参数设置（KS1）
    7.配置IPSEC SA策略（KS1,KS2）
    8.GM配置crypto map
    9.配置coop key Server（KS1,KS2）



该贴已经同步到 zyh_jn915的微博