文档名称IPSec VPN应用 文档密级
10.0.64.0/24 Spoke1 9.1.1.130/30 10.1.2.0/24 10.1.0.0/24 Hub 9.1.1.22/30 9.1.1.134/30 9.1.1.138/30 Spoke2 10.0.65.0/24 Spoke3 10.0.66.0/24
图5 Full-Mesh拓扑
这样就增加了所有其它站点的配置,并且也影响了设备的性能,如果我们在其它站点上定义保护的流的目的地址为10.1.0.0/16,就可以解决这个问题。但如果地址设计不当,可能就不能通过聚合的方式来定义多条流了。
同样,如果在图4的场景中我们同时要求Internet的访问集中在10.1.0.0/24网段对应的站点。那么各个Spoke只需要将对应该站点的保护流目的地址定义为any,同时在核心站点将对应各个Spoke的保护流源地址定义为any即可,道理和前面Hub-Spoke拓扑一样,这里就不累述了。
通常,Full-Mesh结构用于Spoke之间流量较大或者对于网络速度和延迟比较敏感的应用,例如VoIP、视频等。Full-Mesh结构避免了Spoke之间通信还需要Hub进行转发,在Hub上需要二次加解密的情况。
2.2.2 IPSec+GRE模型
IPSec+GRE模型在Full-Mesh拓扑下仍然保留了其优势:配置简单、支持多播等应用等等。在这种拓扑下,和IPSec模型相比,IPSec+GRE模型将配置的复杂性转移到了路由设计
2006-04-13
华为三康机密,未经许可不得扩散
第21页, 共26页
文档名称IPSec VPN应用 文档密级
上。很显然,在Full-Mesh拓扑下不能够采用静态路由,否则大量的静态路由就会造成网络管理人员的恶梦。动态路由只能是唯一的选择。
只需要在Tunnel接口启用动态路由协议,动态路由协议会自动学习到达所有其它站点的路由,一个站点到达另外一个站点的最优路径应该是其直连的VPN链路,如果该VPN链路Down掉,动态路由协议也会自动的选取其它链路来达到冗余的目的,当然,如果某个站点的安全网关出现故障,路由协议的冗余也不能够解决通信的问题了,需要借助其它方法。
在IPSec+GRE模型中的缺点是动态路由协议会占用安全网关的一部分处理器和内存资源,对于低端的安全设备,可能会造成一些性能的影响。
以Spoke1的配置为例,下面列出了相关的配置 interface Ethernet0
ip address 10.0.64.1 255.255.255.0 interface Tunnel0 ip unnumbered Ethernet0 tunnel source 9.1.1.130 tunnel destination 9.1.1.10 interface Tunnel1 ip unnumbered Ethernet0 tunnel source 9.1.1.130 tunnel destination 9.1.1.134 interface Tunnel2 ip unnumbered Ethernet0 tunnel source 9.1.1.130 tunnel destination 9.1.1.138 interface Serial0
ip address 9.1.1.130 255.255.255.252 ipsec policy gre ospf 1 area 0.0.0.0
2006-04-13
华为三康机密,未经许可不得扩散
第22页, 共26页
文档名称IPSec VPN应用 文档密级
network 10.0.64.0 0.0.0.255
ip route 9.1.1.10 255.255.255.252 9.1.1.129 ip route 9.1.1.132 255.255.255.252 9.1.1.129 ip route 9.1.1.136 255.255.255.252 9.1.1.129 acl number 3111 #for hub
rule 0 permit ip source 9.1.1.130 0.0.0.0 destination 9.1.1.10 0.0.0.0 acl number 3112 #for spoke2
rule 0 permit ip source 9.1.1.130 0.0.0.0 destination 9.1.1.134 0.0.0.0 acl number 3113 #for central
rule 0 permit ip source 9.1.1.130 0.0.0.0 destination 9.1.1.138 0.0.0.0
如果希望各个分支站点能够将Internet访问集中到Hub上实现,可以在Hub上宣告一条OSPF的缺省路由即可。
3 IPSec可靠性设计
3.1 Hub冗余
在前面的内容中重点介绍了IPSec的拓扑设计和路由设计,我们发现,不管是Hub-Spoke结构还是Full-Mesh结构,企业总部站点的安全网关冗余都是必须要重点考虑的问题。虽然Full-Mesh结构可以提高网络的可靠性和冗余能力,但是如果各个站点的Internet访问都集中到企业总部站点,那么对于企业总部安全网关的可靠性同样有着很高的要求。
一般从成本和需求的考虑下,IPSec VPN只考虑核心站点安全网关的冗余,而不考虑其它分支站点。常见的IPSec冗余有如下两种情况:
3.1.1 通过VRRP冗余
为了提高核心站点的可靠性,采用两台安全网关设备配置VRRP提供双机热备是一种很常用的方法。分别在两台安全网关的内网接口和外网接口定义两个VRRP组,使用虚地址和内网及外网通信。
为了减少VPN的配置以及简化拓扑,不需要每个分支站点都分别和核心站点的两个安全网关建立IPSec VPN,而是使用核心站点安全网关VRRP组的虚地址和其它分支站点分别建
2006-04-13
华为三康机密,未经许可不得扩散
第23页, 共26页
文档名称IPSec VPN应用 文档密级
立一个VPN链路,这样冗余的设备没有改变原有拓扑结构,要保护的流和路由的设备也不需要进行修改。只需要在各个分支站点配置IKE邻居时定义VRRP虚地址即可。
VRRP建立IPSec的拓扑如下所示
HUB VRRP1 VRRP2Spoke1 Spoke2 Spoke3 Spoke4
图6 VRRP+IPSec
使用VRRP虚地址建立IPSec VPN带来的最大问题是VRRP状态切换时IPSec状态能否正常切换。当远端站点和本地的VRRP组Master建立IKE连接以后,当VRRP出现主备切换时,远端站点无法检测到IKE Peer已经切换,因此仍然使用原有的IKE/IPSec SA和VRRP组建立IPSec,导致IPSec失败。
DPD的出现解决了这个问题,IPSec DPD(IPSec Dead Peer Detection on-demand)为按需型IPSec/IKE安全隧道对端状态探测功能。启动DPD功能后,当接收端长时间收不到对端的报文时,能够触发DPD查询,主动向对端发送请求报文,对IKE Peer是否存在进行检测。
如果在上面的方案中同时采用DPD特性,当VRRP出现主备切换时,远端站点会在进行IPSec通信之前发送DPD探测对方的IKE通道是否存在,经过3次失败以后远端站点会重新和VRRP组建立新的IKE通道。
值得注意的是,在使用IPSec+DPD方案时,如果IPSec连接由核心站点安全网关的VRRP Master设备发起,由于该IKE报文的源地址为Master出接口地址而不是VRRP的虚地址,因此
2006-04-13
华为三康机密,未经许可不得扩散
第24页, 共26页
文档名称IPSec VPN应用 文档密级
无法和远端设备建立IKE连接,从而无法完成IPSec VPN,只能由远端设备来发起IPSec连接。解决这个问题的最好方法是在VRRP的所有设备上定义IKE的local-address地址为VRRP虚接口地址,这样VRRP设备发起IPSec连接时的源地址就是虚地址,可以完成IKE和IPSec的协商。
通过VRRP+IPSec的方式来实现IPSec VPN的冗余,优点是配置简单,不改变原有拓扑结构、路由和感兴趣流的配置。但是由于VRRP的切换存在延迟,而且VRRP切换以后IPSec还要等待DPD的超时才能建立新的VPN,因此整个切换的时间在1分钟左右,对于延迟较敏感的应用是无法接受的。
3.1.2 通过路由协议冗余
为了满足一些对于状态切换时延较敏感的应用,可以使用动态路由协议+IPSec+GRE的方案。这种方案是在核心站点使用两台安全网关设备,每个安全网关设备都和其它的分支站点建立一条IPSec VPN隧道,如下图所示
Hub VRRP1Spoke1 Spoke2 Spoke3 Spoke4 图7 GRE+IPSec+动态路由
对于核心站点的内网接口,可以选择使用VRRP,也可以通过一些路由策略来控制用户的出口。配置了动态路由协议以后,各个分支站点都有两条到达核心站点的路由,分别指向
2006-04-13
华为三康机密,未经许可不得扩散
第25页, 共26页
文档名称IPSec VPN应用 文档密级
两个Tunnel接口,如果希望核心站点的两个设备能够负载均衡,可以不修改路由协议的Cost,如果希望另外一个设备只做备份,则可以调高备份链路的Cost值。
这种方式的冗余优点是切换时间非常短,但是拓扑结构较复杂,VPN链路较多,相应的IPSec SA较多,对各个分支站点的性能要求较高。
介绍了这么多IPSec的典型应用,相信读者已经对IPSec有了深层次的理解,但是仅仅掌握了IPSec各种模型和拓扑结构是不够的,实际的网络千变万化,充分利用IPSec这个工具扬其所长、避其所短,设计出最适合需求的网络仍然需要我们不断的学习和积累才能够完成。
2006-04-13
华为三康机密,未经许可不得扩散 第26页, 共26页