文档名称IPSec VPN应用 文档密级
华为三康技术有限公司 Huawei-3Com Technologies Co., Ltd. 文档编号 Document ID 文档状态 Document Status 密级 Confidentiality level 内部公开
IPSec VPN应用
拟制
Prepared by 评审人 Reviewed by
批准 Approved by
潘冰
Date 日期 Date 日期 Date 日期
2006-4-19 yyyy-mm-dd yyyy-mm-dd
华为三康技术有限公司
Huawei-3Com Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
2006-04-13
华为三康机密,未经许可不得扩散 第1页, 共26页
文档名称IPSec VPN应用 文档密级
修订记录 Revision Record
日期 Date 修订 版本 Revision Version 修改 章节 Sec No. 修改描述 Change Description 作者 Author 目录 Table of Contents
1
IPSec应用模型 1.1 1.2 1.3 2
IPSec模型 IPSec+GRE模型 IPSec+L2TP模型
4 4 5 6 6 6 8 12 19 19 21 23 23 23 25
IPSec VPN拓扑结构 2.1
Hub-Spoke 2.1.1 IPSec模型 2.1.2 IPSec+GRE模型 2.2
Full-Mesh 2.2.1 IPSec模型 2.2.2 IPSec+GRE模型
3 IPSec可靠性设计 3.1
Hub冗余
3.1.1 通过VRRP冗余 3.1.2 通过路由协议冗余
2006-04-13
华为三康机密,未经许可不得扩散
第2页, 共26页
文档名称IPSec VPN应用 文档密级
图目录 Table of Pic
图1 HUB-SPOKE VPN
图2 IPSEC VPN HUB-SPOKE拓扑 图3 IPSEC+GRE VPN 图4 FULL-MESH结构 图5 FULL-MESH拓扑 图6 VRRP+IPSEC 图7 GRE+IPSEC+动态路由
7 8 13 20 21 24 25
2006-04-13
华为三康机密,未经许可不得扩散
第3页, 共26页
文档名称IPSec VPN应用 文档密级
IPSec VPN应用
IPSec可以提供的最基本服务是报文的认证、加密以及VPN,在Internet上的两个安全网关之间建立一个IPSec VPN隧道是IPSec最简单的应用,在这种应用中可以通过AH或者ESP来保护报文的机密性和不可篡改,通过传输模式增加新的IP头来使私网报文通过Internet来传送。这种用法已经在前面的内容中介绍过了,那么,这就是IPSec VPN的全部吗?
当然不是,只掌握这种用法只是说明你只知道什么是IPSec,但是你还不知道怎么使用IPSec。本文的目的就是让你熟练掌握IPSec的用法,让最合理、最可靠、最易管理的IPSec VPN出现在你的网络中,来为你的网络贡献出IPSec最大的价值。
“工欲善其事,必先利其器”,我们接下来要做的就是看看我们的IPSec到底能够为我们做什么。
IPSec可以通过定义不同的感兴趣流来实现各种不同的保护策略,通过VPN拓扑的变化和路由的变化来控制报文的流向,这些特性的组合极大的扩展了IPSec应用的灵活性和复杂性。
另外,IPSec本身也有一些局限性,像缺乏对于组播的支持、对于非IP报文的支持等等,但是聪明的我们又怎么会被这些问题难住呢?使用IPSec和其它VPN的组合既发挥了IPSec安全的特点,又可以弥补IPSec的局限,是目前IPSec应用最广泛的一种方式。
下面我们首先来研究一下IPSec VPN的应用模型。
1 IPSec应用模型
就像刚才所说的那样, IPSec的应用首先需要面对的一个选择是只使用IPSec还是将IPSec和其它VPN混用?选择合适的应用模型可以使你简化配置、事半功倍。要做到这一点,首先应该对这主要的IPSec应用模型各自的特点和优缺点了然于胸。
1.1 IPSec模型
IPSec模型是IPSec VPN应用的最简单的一种模型,这种模型只采用IPSec来完成报文的认证、加密以及构建VPN的功能,虽然说IPSec模型简单,但是这仅仅是从概念上来讲的,实际上,IPSec模型上进行复杂的配置也完全可以满足大型、复杂网络拓扑的需求。
2006-04-13
华为三康机密,未经许可不得扩散
第4页, 共26页
文档名称IPSec VPN应用 文档密级
IPSec模型主要关心的是路由的设置以及要保护的流。在这种情况下,安全网关的路由配置应该保证要保护的数据流必须通过IPSec接口离开本地网络,否则,就会有不受保护报文的流出导致安全的隐患;其次,要保护什么样的流也需要充分考虑,一般情况下,需要为每个要保护的流明确定义安全策略,这样,作为网络管理人员,必须对进出接口的各个报文源、目的地址有足够的了解,而且如果是在一个地址分配不合理的网络中,不仅增加了IPSec策略配置的复杂程度,而且可能会产生大量的IPSec SA,消耗了设备的性能资源,尤其是Hub设备,
IPSec模型最大的缺点就是对组播、广播和非IP报文的支持,这就导致了其不支持动态路由协议,只能采用静态路由,在大型的PN网络中,这极大的限制了可扩展性,并且同时增加了网络的配置及管理的难度。
1.2 IPSec+GRE模型
IPSec+GRE模型是将IPSec VPN和GRE VPN结合使用,充分利用了GRE和IPSec的长处。这种模型是先采用GRE对需要保护的报文进行封装,然后使用IPSec对GRE报文进行保护。由于这种模型需要对报文进行多次封装,因此在概念上相对于IPSec模型比较复杂,但是其在实际配置上却比IPSec模型简化了很多,并且能够完成很多IPSec看起来不可能完成的任务。
由于GRE可以支持组播、广播和非IP报文,因此首先采用GRE对这些报文封装以后,IPSec就可以认为这些报文就是普通的单播报文,从而可以进行下一步的封装,因此这样就解决了IPSec最大的硬伤:组播、广播及非IP报文的支持。支持了组播和广播,在IPSec VPN上运行动态路由协议就是水到渠成了。有了动态路由,IPSec VPN就可以和完成各个站点和VPN与其它网络的路由任务。
采用这种模型的另一个显著优势是配置上的简化和管理的便利。由于所有的报文都经过GRE封装以后再进行IPSec处理,我们就不需要了解原始的各个报文的原始地址,只需要将要保护的流定义为GRE的起点和终点地址即可,这样也同时减少了IPSec SA的数量,一般情况下,一个Hub和一个Spoke只有一组IPSec SA。
值得注意的是,IPSec+GRE还有另外一种选择,即先使用IPSec对报文进行封装,然后再采用GRE封装。但是,显而易见,这种封装方式没有充分利用IPSec和GRE的优势,同样有着配置复杂、不支持组播、广播和非IP报文的缺陷,一般不推荐使用。
2006-04-13
华为三康机密,未经许可不得扩散
第5页, 共26页