上一篇文章阐述了如何为Client-to-Site连接和Cisco的EzVPN创建一个VPN网关和客户端以支持Network-to-Network的VPN拓扑。本文我们将介绍实现静态Network-to-Network的IPsec链接的方法。 静态的Network-to-Network IPsec策略是给私有网络提供固定的、安全的网络连接,以便利用非安全的公共网络来传输安全的数据。在前一篇文章中,我们检查了动态建立的半隧道和全加密IPsec策略配置。
类似的结构配置也适用于实现Network-to-Network安生性拓扑的静态IPsec VPN。然而,通过动态的客户端配置,策略结构差异表示了客……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
上一篇文章阐述了如何为Client-to-Site连接和Cisco的EzVPN创建一个VPN网关和客户端以支持Network-to-Network的VPN拓扑。本文我们将介绍实现静态Network-to-Network的IPsec链接的方法。
静态的Network-to-Network IPsec策略是给私有网络提供固定的、安全的网络连接,以便利用非安全的公共网络来传输安全的数据。在前一篇文章中,我们检查了动态建立的半隧道和全加密IPsec策略配置。类似的结构配置也适用于实现Network-to-Network安生性拓扑的静态IPsec VPN。然而,通过动态的客户端配置,策略结构差异表示了客户端与IPsec网关之间所应该安全化的流量。有了静态IPsec策略,对安全策略的操作关注点就转移到了用于交换安全数据的网络“可达性”上。这样看来,Cisco路由器的静态IPsec加密策略可以通过使用下面两种方法中任一种来实现:直接和间接传输VPN。
直接传输与间接传输VPN的比较
直接传输的方法是用来保证网络中交换的直接路由IP流量的。直接传输VPN的关键操作要素是数据的交换依赖于一个独立于IPsec安全性策略的路由寻址策略。这类似于客户端VPN半隧道策略的结构,其中具体的Network-to-Network安全性策略是定义在每一个IPsec节点上的。然后当流量穿越IPsec对等网关或转发路由器时,这些静态IPsec策略会保证特定网络之间的特定IP数据通信交换的安全。直接VPN的优点有两方面。第一,它们比间接VPN效率更高,它比传统的数据包仅仅多了28比特。第二,安全和非安全的流量同时由一个路由策略管理。
直接方法允许直接流量交换选择加密方式,而间接传输VPN方法使用一个虚拟接口来提供Network-to-Network数据交换隧道(通信链路)。间接VPN实现使用全加密模型。隧道化协议在两个公共路由器终端之间激活一个虚拟链路。然后隧道终端路由器之间会建立IPsec对待互连,接着隧道化协议流量被一个IPsec安生性策略加密。
这就是间接VPN比直接VPN更好的地方。它们使得没有任何直接IP访问链路的网络能够通过组合隧道化协议和IPsec来安全地交换数据。但是,这个功能的确需要付出一定的性能代价。间接VPN解决方案使每一个数据包增加了不止60比特,而且还要对私有和公共路由策略进行额外的管理。
在需要对现有IP网络基础结构增加更多安生性的地方,直接传输VPN是更好的选择。它们有以下几个方面好处:
- 增加应用层事务安全性或者在私有校园网或企业网中的特定网络数据交换
- 保证提供包/格/帧传输的工具上私有数据交换的安全
- 作为使用单连接通路的WAN传输替换来连接远程网络集线器
大图链接:http://media.techtarget.com/digitalguide/images/Misc/DirectVPN.jpeg
例如,如果在你的大型校园网中,有两个研究团队需要进行安全的数据交换,他们分别在大楼A和大楼D上。上图描绘了我们第一个配置例子的基本图示。如果创建一个直接的传输VPN解决方案,首先要考虑的是所需要的安全级别。在上面的图示中,IPsec策略可能被安装在网关路由器或者传输路由器上。如果要求的是LAN-to-LAN的安全,那么IPsec策略必须在网关路由器上实现。否则,如果我们只需要关注于加密离开LAN的流量,我们可以在传输路由器上实现策略。这两种情况在配置上都有一定的复杂性。它们都要求为每一条路径配置IPsec/ISAKMP节点定义。
对于我们的配置例子,我们将在对网关路由器上的流量做安全配置。IPsec配置过程有6个步骤。大楼A的配置是蓝色的,大楼D的配置是红色的。
步骤1. 定义ISAKMP(阶段1)策略:
build-d-gw1(config)#crypto isakmp policy 10 |
步骤2. 定义ISAKMP策略预共享密钥:
build-a-gw1(config)# crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 build-d-gw1(config)# crypto isakmp key cisco123 |
步骤3. 创建IPsec(阶段2)转换集:
build-a-gw1(config)#$crypto IPsec transform-set direct-trans-vpn build-d-gw1(config)#$crypto IPsec transform-set direct-trans-vpn |
步骤4. 创建流量合格访问列表:
build-a-gw1(config)#ip access-list extended CRYPT build-d-gw1(config)#ip access-list extended CRYPT |
步骤5. 定义IPsec静态密码图:
build-a-gw1(config)#crypto map dir-trans-vpn-buld-a 10 IPsec-isakmp build-d-gw1(config)#crypto map dir-trans-vpn-buld-d 10 IPsec-isakmp |
步骤6. 安装静态密码图:
build-a-gw1(config)#interface FastEthernet 0/0 build-a-gw1(config)#interface FastEthernet 0/1 build-d-gw1(config)#interface FastEthernet 0/0 build-d-gw1(config)#interface FastEthernet 0/1 |
在配置创建并安装好后,你可以运行两个命令来验证操作是否正确。第一个命令是:<show crypto isakmp sa>,它可以验证路由器上ISAKMP的状态:
build-a-gw1#sh crypto isakmp sa build-d-gw1# sh crypto isakmp sa |
根据Cisco文档,ISAKMP有8个状态:
- MM_NO_STATE:Internet Security Association and Key Management Protocol (ISAKMP)安全关联(SA)已经创建,但其余的都还没有配置。
- MM_SA_SETUP:节点已经确定了ISAKMP SA参数。
- MM_KEY_EXCH:节点已经交换了Diffie-Hellman公钥,并生成了一个共享密钥。ISAKMP SA仍然未认证。
- MM_KEY_AUTH:ISAKMP SA已经通过认证。如果路由器初始化了这个交换,这个状态会马上转变到QM_IDLE,然后快速模式(Quick Mode)的交换开始。
- AG_NO_STATE:ISAKMP SA已经创建,但其余的都还没有配置。
- AG_INIT_EXCH:节点已经完成了积极模式(Aggressive Mode)的第一次交换,但SA还没有通过认证。
- AG_AUTH:ISAKMP SA已经通过认证。如果路由器初始化了这个交换,这个状态马上转变到QM_IDLE,然后快速模式(Quick Mode)交换开始。
- • QM_IDLE:ISAKMP SA挂起。它保持与节点的认证状态,可能会被用于后面的快速模式(Quick Mode)交换。
一个正确配置和激活的ISAKMP节点将位于QM_IDLE状态。如果一个节点的ISAKMP状态不是QM_IDLE,那么或者是配置有错误,或者是路由器正在建立ISAKMP对等操作。另一个简单的命令是<show crypto IPsec sa>:
| build-a-gw1#show crypto IPsec sa interface: FastEthernet0/0 Crypto map tag: dir-trans-vpn-buld-a , local addr 147.225.100.2 protected vrf: (none) local ident (addr/mask/prot/port): (147.225.11.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (164.99.14.0//255.255.255.0/0/0) current_peer 164.99.99.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 1711, #pkts encrypt: 1711, #pkts digest: 1711 #pkts decaps: 291, #pkts decrypt: 291, #pkts verify: 291 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 2, #recv errors 0 local crypto endpt.: 147.225.100.2, remote crypto endpt.: 164.99.99.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0 current outbound spi: 0x0(0) inbound esp sas: spi: 0x9DD44A4(165495972) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 141, flow_id: AIM-VPN/SSL-1:141, crypto map: dir-trans-vpn-buld-a sa timing: remaining key lifetime (k/sec): (4545643/2916) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xDD5316D7(3713210071) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 142, flow_id: AIM-VPN/SSL-1:142, crypto map: dir-trans-vpn-buld-a sa timing: remaining key lifetime (k/sec): (4545643/2916) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: |
这个命令产生结果为对应于阶段2的每一个对等互联关系的两个数据元素,它们根据策略接口分组。第一个提供了加密策略的加密方式、压缩方法和错误统计。第二个详细显示了与策略相关的激活的入站和出站SA的寿命和模式信息。这个命令可以让你查看配置的策略是否实际工作了。如果你成功建立了ISAKMP节点但没有在递增的策略统计中看到,你就要检查你的流量合格访问列表。很可能你的流量匹配逻辑有错误。
混合直接VPN配置
我们的第二个配置例子是关于和间接VPN混合模型。类似于直接VPN配置,它仅使用IPsec来传输安全网络之间的数据。但又类似于间接VPN实现,它也可以用来给不可路由或只能通过安全策略到达的网络之间的安全数据交换。
大图链接:http://media.techtarget.com/digitalguide/images/Misc/IndirectVPN.jpeg
上图描绘我们这个例子的配置场景。在这个例子中,我们为所有核心和远程位置提供Internet连接,并激活每个位置的某些网络的安全数据交换。在这种情况下,每一个位置都在使用“RFC-1918 私有Internet寻址”,所以NAT转换将用于以提供Internet访问。就像我们的第一个例子,每一个地方都有两条连接到每个网关路由器的链路,但它们是两条不同的ISP链路,这两条链路都有一条默认的路由路径。其中一条链路是10Mbps的,它是用作主流量通道的;另一条是下行2Mbps、上行512Kbps的ADSL链路,它是用作VPN备份的。
为了实现动态路径故障恢复,我们必须引入动态路由协议(Dynamic Routing Protocol)。因为是我们使用了RFC-1918寻址,而且没有直接的网络连接支持Interior Gateway Protocol (IGP),我们将使用Border Gateway Protocol(BGP)多跳来交换路由信息并设置路径引用。一个分布式列表将用于过滤BGP路由公告,而Cisco私有有BGP度量权重则用于设置路径引用。
从数据包处理的角度上看,所有的LAN流量都在穿越IPsec策略之前穿越NAT策略。所以我们将使用一个显式的NAT流量匹配访问列表来放行必须到IPsec策略上加密的流量。当流量由IPsec策略修饰合格后, “不可路由”的IP数据包就被封装在一个ESP帧中,并且这个ESP帧是来自IPsec节点网关的公共接口,目标是其它节点路由器的公共地址。这个配置包括了下面列出的11个步骤。核心数据中心的配置是绿色的,远程办公室配置是橙色的。
步骤1. 定义ISAKMP(阶段1)策略:
CORE-VPN-GW(config)#crypto isakmp policy 10 REMOTE-VPN-GW(config)#crypto isakmp policy 10 |
步骤2. 定义ISAKMP策略预共享密钥:
CORE-VPN-GW(config)# crypto isakmp key cisco123 REMOTE-VPN-GW(config)# crypto isakmp key cisco123 |
步骤3. 创建IPsec(阶段2)转换集:
CORE-VPN-GW(config)#crypto IPsec transform-set REMOTE-VPN-GW(config)#crypto IPsec transform-set |
步骤4. 创建流量修饰访问列表:
CORE-VPN-GW(config)# REMOTE-VPN-GW(config)# |
步骤5. 创建NAT修饰访问列表:
CORE-VPN-GW(config)#ip access-list extended NAT REMOTE-VPN-GW(config)#ip access-list extended NAT |
步骤6. 创建NAT策略:
CORE-VPN-GW(config)#ip nat inside source list NAT interface REMOTE-VPN-GW(config)#ip nat inside source list NAT interface |
步骤7. 安装NAT配置:
CORE-VPN-GW(config)#int fa 0/0 REMOTE-VPN-GW(config)#int fa 0/0 |
步骤8. 创建静态密码图:
CORE-VPN-GW(config)#crypto map CORE-VPN 10 IPsec-isakmp REMOTE-VPN-GW(config)#crypto map REM-VPN 10 IPsec-isakmp |
步骤9. 安装静态密码图:
CORE-VPN-GW(config)#interface FastEthernet0/0 REMOTE-VPN-GW(config)#interface FastEthernet0/0 |
步骤10. 创建BGP分布列表访问列表
| CORE-VPN-GW(config)#ip access-list standard VPN-BGP CORE-VPN-GW(config-std-nacl)#permit 172.30.71.0 0.0.0.255 CORE-VPN-GW(config-std-nacl)#permit 172.30.68.0 0.0.0.255 REMOTE-VPN-GW(config)#ip access-list standard VPN-BGP REMOTE-VPN-GW(config-std-nacl)#permit 10.10.11.0 0.0.0.255 |
步骤11. 创建BGP策略:
| CORE-VPN-GW(config)#router bgp 65020 CORE-VPN-GW(config-router)#network 172.30.71.0 mask 255.255.255.0 CORE-VPN-GW(config-router)#network 172.30.68.0 mask 255.255.255.0 CORE-VPN-GW(config-router)#neighbor 89.26.71.194 remote-as 65010 CORE-VPN-GW(config-router)#neighbor 89.26.71.194 ebgp-multihop CORE-VPN-GW(config-router)#neighbor 89.26.71.194 weight 62000 CORE-VPN-GW(config-router)#neighbor 89.26.71.194 distribute-list VPN-BGP out CORE-VPN-GW(config-router)#neighbor 89.26.71.194 soft- reconfiguration ibound CORE-VPN-GW(config-router)#neighbor 144.100.46.66 remote-as 65010 CORE-VPN-GW(config-router)#neighbor 144.100.46.66 ebgp-multihop CORE-VPN-GW(config-router)#neighbor 144.100.46.66 weight 62000 CORE-VPN-GW(config-router)#neighbor 144.100.46.66 distribute-list VPN-BGP out CORE-VPN-GW(config-router)#neighbor 144.100.46.66 soft- reconfiguration ibound REMOTE-VPN-GW(config)#router bgp 65010 REMOTE-VPN-GW(config-router)#network 10.10.11.0 mask 255.255.255.0 REMOTE-VPN-GW(config-router)#neighbor 89.26.40.10 remote-as 65020 REMOTE-VPN-GW(config-router)#neighbor 89.26.40.10 ebgp-multihop REMOTE-VPN-GW(config-router)#neighbor 89.26.40.10 weight 63000 REMOTE-VPN-GW(config-router)#neighbor 89.26.40.10 soft-reconfiguration i REMOTE-VPN-GW(config-router)#neighbor 89.26.40.10 distribute-list VPN-BGP out REMOTE-VPN-GW(config-router)#neighbor 144.100.99.50 remote-as 65020 REMOTE-VPN-GW(config-router)#neighbor 144.100.99.50 ebgp-multihop REMOTE-VPN-GW(config-router)#neighbor 144.100.99.50 weight 63000 REMOTE-VPN-GW(config-router)#neighbor 144.100.99.50 soft- reconfiguration i REMOTE-VPN-GW(config-router)#neighbor 144.100.99.50 distribute-list VPN-BGP out |
当BGP过程建立后,两种VPN路由候选都会被存储到路由器BGP数据库中。但只有一个会与远程节点路由器的网关列出的地址一起出现在路由表中。
| CORE-VPN-GW#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 10.0.0.0/24 is subnetted, 1 subnets B 10.10.11.0 [20/0] via 89.26.40.10, 01:04:14 89.0.0.0/30 is subnetted, 1 subnets C 89.26.40.8 is directly connected, FastEthernet0/0 144.100.0.0/30 is subnetted, 1 subnets C 144.100.99.48 is directly connected, FastEthernet3/0 172.30.0.0/24 is subnetted, 4 subnets C 172.30.71.0 is directly connected, FastEthernet2/0 C 172.30.70.0 is directly connected, FastEthernet1/1 C 172.30.68.0 is directly connected, FastEthernet1/2 S* 0.0.0.0/0 is directly connected, FastEthernet0/0 CORE-VPN-GW# |
当这个混合直接VPN变异版工作时,管理IP路由信息的操作仅限于表态路由或BGP多跳,在这里传统的“直接”配置依赖于独立于安生策略的路由策略。路由策略是有局限性的,这种方法在数据包开销上来说是更高效的,并且不会给基于隧道的VPN上带来数据包大小和片段大小的问题。
上面的两个配置例子都是非常传统的静态的基于图的IPsec配置。它们都是安全的和高效的,但也都缺乏可扩展性。这就是间接VPN解决方案比直接VPN优胜很多的原因。
作者
Michael J. Martin作为网络和Unix信息管理员已经在信息技术领域工作了17多年。他早期在研究和ISP方面进行的设计、实现和支持MIS基础架构的经历,为他当前在大型因特网和安全架构的工作上提供了独特的视角。作为一个网络架构师,他已经为多家公司设计过高速、高可用的LAN/WAN网络,如ANS/AOL、Philips和Edgix Corporation等,它也给许多业务和区域ISP提供网络顾问服务。Michael也撰写了很多关于网络和安全问题的文章。
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
VPN技术的发展将如何改变远程访问?
VPN(虚拟专用网络)已经存在一段时间了。在过去二十年中,随着VPN的发展,这项技术已经从方便远程访问的点对点连接技术,转变成为基于复杂安全性的多点连接。
-
无视IPv6连接?后果自负!
如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。
-
不暴露才安全:飞鱼星视频监控安全解决之道
我们不能抑制企业远程访问内网的需求,也不能指望一串复杂密码保卫一切,那么,最行之有效的方法就是不给企业信息暴露在互联网的机会,要做到这点,企业只需采用具有VPN功能的网络设备。
-
一个优质的VPN:危险网络世界中的生存之道
在这个越来越危险的网络世界中,一个值得信赖的虚拟专用网络(VPN)比任何时候都来得重要。