• 文章搜索:
  • IP技术专栏

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    技术点详解---IPSec方案部署

    通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。

    一、              常规IPSec方案

    上图所示网络环境是最基本的IPSec应用场景:

    1.       响应方无论在何种环境都是固定的公网地址;

    2.       发起方也是固定的公网地址;

    3.       双方都是用IKE主模式进行协商;

    4.       双方都互相指定对端IP地址,即双方都可以发起协商,没有固定的发起方、响应方;

    5.       双方只能使用隧道模式,因为兴趣流192.168.1.0/24ßà192.168.0.0/24IPSec隧道端点不一致。

    由于只有大型企业才有可能为所有分支机构申请一个固定IP地址,商务领航客户通常是中小型企业,固定地址的情况并不多见,所以该场景更多出现在实验室环境中,在该方案中,如果有多个发起方,那么响应方需要对每个发起方制定IPSec策略。

    二、              发起方公网地址不固定情况下的IPSec部署

    上面这个场景比较常见:

    1.       响应方地址固定,如6.16.5.6

    2.       多个发起方使用动态接入互联网方式,如PPPoE拨号,这种方式中,发起方每次拨号地址有可能不一致,所以在响应方中无法使用指定对端IP地址方式限制对端身份;

    3.       发起方则必须要指定响应方IP,否则无法发起协商;

    4.       双方可以使用预共享密钥方式对身份进行确认及保护;

    5.       双方依然只能使用隧道模式;

    6.       兴趣流的指定是比较有意思的事情,发起方是必须要配置兴趣流的,图中只举了一个发起方配置兴趣流的示例,那么响应方呢?响应方没有配置,而是采用由发起方指定的方式,即在协商过程中,响应方得知发起方的兴趣流是192.168.1.0/24à192.168.0.0./24,会自动为该响应方生成反向兴趣流192.168.1.0/24ß192.168.0.0./24,那么为什么要这么使用呢?

    a)       发起方地址是动态的;

    b)       响应方无法及时提前获知发起方地址,因此没有指定发起方的IP地址;

    c)       由于响应方的兴趣流爷是与发起方相关的,而响应方中发起方的身份标识是IP地址,故响应方无法提前为发起方指定兴趣流;

    d)       替代方法就是响应方在协商过程中,动态地识别发起方,并接受发起方的兴趣流;

    e)       这种方式还能在响应方配置工作带来简化,不需要为每个发起方制定IPSec策略。

    三、              部分发起方通过NAT网关连接到互联网

    在上图中,有部分发起方躲在NAT网关后面连接互联网,如发起方Spartacus,在这种情况下,我们的IPSec方案该如何制定呢?

    1.       大体上和方案二类似;

    2.       IKE协商模式要修改成野蛮模式(Aggressive Mode);

    3.       需要在IKE协商模式中打开NAT穿越,目前大部分厂家实现中,NAT穿越都变成默认选项。

    针对这种发起方地址动态变化的情况,还有一个相对来说更加安全的解决方案,即响应方需要指定发起方。

    我们从方案的标题可以看出,有的方案是“响应方指定发起方”,有的是“不指定”,具体区别在于如下两点:

    1.       响应方指定对端IP地址或者指定对端名字,即指定响应方的固定身份标识,而不是动态身份;

    2.       响应方为特定的响应方指定兴趣流用于协商。

    在上一期专栏中介绍在IPSec中最常用的身份标识是IP地址,而在发起方动态IP或者存在NAT网关的情况下,就无法为发起方指定IP地址了,因此方案中使用指定名字方式作为身份标识,而使用名字作为身份标识则必须使用IKE的野蛮模式:

    1.       响应方为每个发起方指定名字;

    2.       响应方为每个发起方指定兴趣流。

    如果不指定发起方,那么只要与共享密钥泄露,任意发起方都能够与响应方建立IPSec会话,指定发起方后,除掌握预共享密钥外,还必须掌握发起方IP地址(仿冒IP地址只能作为攻击手段,而非通信手段)或者名字才可以发起协商,因此安全性要比不指定发起方要高。

    四、              企业分支使用GRE Over IPSec进行网络互连

    为什么要使用GRE Over IPSec来互连呢,有如下好处:

    1.       分支网络和总部网络都比较复杂,需要使用路由协议进行互联;

    2.       IPSec隧道在承载路由协议上不如GRE隧道方便;

    3.       GRE隧道不能提供加密保障,因此需要和IPSec进行结合;

    4.       GRE Over IPSec方案的优点在于,使用GRE在两个网关之间搭建一个隧道,运行路由协议及传输正常数据,使用IPSec对整个GRE隧道进行加密。

    在这个方案中,特殊之处在于:

    1.       发起方、响应方的IP地址都是固定不变的,采取了响应方指定发起方的配置方式;

    2.       发起方、响应方的GRE隧道源地址和目的地址和IPSec隧道的源地址、目的地址一致,因此可以使用传输模式,提高传输效率,可以对比一下图中推荐的兴趣流配置与GRE隧道配置。

    同样,如果发起方地址不是固定的,或者发起方躲在NAT网关后面,那么可以采取如下方式。

    GRE隧道的特点是要求隧道的源、目的必须是固定的,因此在这种环境中:

    1.       所有网关设置Loopback地址,如响应方设置环回接口地址为192.168.1.1/32,两个发起方分别为192.168.1.2/24192.168.1.3/24

    2.       使用Loopback接口地址分别在响应方和各发起方之间建立GRE隧道;

    3.       由于IPSec隧道是使用连接互联网地址建立的,因此与兴趣流不一致,只能使用隧道模式;

    4.       由于是发起方地址动态获得,所以使用IKE野蛮模式+指定名字方式;

    5.       以上两种方式可以混合,即根据发起方地址类型,分别配置身份标志类型、封装模式和兴趣流,可以有部分发起方和响应方是指定IP地址+传输模式的,另外一部分则使用指定名字+隧道模式。

    五、              对外出员工采用L2TP Over IPSec方案

    在之前的L2TP专栏中,我们了解到了L2TP主要是为单个外出员工提供远程接入企业网络的方案,而L2TP本身不提供加密服务,因此L2TP结合IPSec就能够为外出员工提供安全可靠的远程接入解决方案:

    1.       外出员工的特点就是地址不固定,即采用IKE野蛮模式;

    2.       兴趣流是L2TP流量,即发起方到响应方的UDP 1701流量,因此也就表明了兴趣流也不是固定的,响应方只能采取由对端指定兴趣流方案;

    3.       由于如上两点原因,响应方可以采取不指定发起方;

    4.       由于有部分发起方要穿越NAT,必须要使用隧道模式。

    本期将常见的IPSec应用场景进行了介绍,并对各个场景中对IPSec配置方案有影响的地方进行分析。IPSec专题介绍,到此告一段落。

    顶端