国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 系統(tǒng)安全 >

IPSec地道在Internet長(zhǎng)進(jìn)行安然動(dòng)態(tài)多點(diǎn)VPN

時(shí)間:2013-05-04 10:19來(lái)源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
操縱IPSec地道在Internet長(zhǎng)進(jìn)行安然的數(shù)據(jù)傳輸,是今朝公司總部與分支通信的首要解決方案。它的商業(yè)價(jià)值,這里就不提了,隨便找個(gè)文檔也會(huì)侃半天的。 IPSec收集的拓?fù)淇伤孕切尾季?hub?a
Tags系統(tǒng)安全(735)VPN(68)Internet(17)IPSec隧道(1)  

  操縱IPSec地道在Internet長(zhǎng)進(jìn)行安然的數(shù)據(jù)傳輸,是今朝公司總部與分支通信的首要解決方案。它的商業(yè)價(jià)值,這里就不提了,隨便找個(gè)文檔也會(huì)侃半天的。

  IPSec收集的拓?fù)淇伤孕切尾季?hub?and?spoke)也能夠是網(wǎng)狀布局(full mesh)。實(shí)際利用中,數(shù)據(jù)流量首要漫衍在分支與中間之間,分支與分支之間的流量漫衍較少,所以星形布局(hub?and?spoke)凡是是最常常利用的,并且它更經(jīng)濟(jì)。因?yàn)樾切尾季?hub?and?spoke)比網(wǎng)狀布局(full mesh)利用更少的點(diǎn)到點(diǎn)鏈路,可以削減線路費(fèi)用。

  在星形拓?fù)渲?,分支機(jī)構(gòu)到分支機(jī)構(gòu)(spoke ?to?spoke)的連通不需要額外的通諾言度。但在星形布局中,分支到分支的通信必需超越中間,這會(huì)破鈔中間的資本并引進(jìn)延時(shí)。特別在用IPSec加密時(shí),中間需要在發(fā)送數(shù)據(jù)分支的地道上解密,而在領(lǐng)受數(shù)據(jù)的分支地道上從頭加密。還有一種環(huán)境是:通信的兩個(gè)分支在統(tǒng)一個(gè)城市,而中間在另外一個(gè)城市,這便引進(jìn)了不需要的延時(shí)。

  當(dāng)星形IPSec收集(hub?and?spoke)范圍不竭擴(kuò)大時(shí),傳統(tǒng)VPN的建設(shè)則更加繁瑣,且不便于保護(hù)和排錯(cuò)。是以IP數(shù)據(jù)包的動(dòng)態(tài)路由將很是成心義。

  但I(xiàn)PSec地道和動(dòng)態(tài)路由和談之間存在一個(gè)根本標(biāo)題問(wèn)題,動(dòng)態(tài)路由和談依托于多播或廣播包進(jìn)行路由更新,而IPSec地道不撐持多播或廣播包的加密。

  這里便引進(jìn)了動(dòng)態(tài)多點(diǎn)VPN (DMVPN)的概念。

  這里將引進(jìn)兩個(gè)和談:GRE 和 NHRP

  GRE:通用路由封裝。由IETF在RFC 2784中定義。它是一個(gè)可在肆意一種收集層和談上封裝肆意一個(gè)其它收集層和談的和談。GRE將有效載荷封裝在一個(gè)GRE包中,然后再將此GRE包封裝基于實(shí)際利用的傳輸和談長(zhǎng)進(jìn)行轉(zhuǎn)發(fā)。(我感覺(jué):GRE近似木馬的殼。^_^)

  IPSec不撐持廣播和組播傳輸,可是GRE能很好的撐持運(yùn)載廣播和組播包到對(duì)端,并且GRE地道的數(shù)據(jù)包是單播的。這就意味著GRE地道的數(shù)據(jù)包是可被IPSec加密的,也即GRE Over IPSec。

  經(jīng)由過(guò)程GRE地道與IPSec加密相連絡(luò),操縱動(dòng)態(tài)路由和談在加密地道兩端的路由器上更新路由表。從地道對(duì)端學(xué)到的子網(wǎng)在路由表?xiàng)l目里將會(huì)包含地道對(duì)端的IP地址作為達(dá)到對(duì)端子網(wǎng)的下一跳地址。如許,地道任何一端的收集產(chǎn)生改變,別的一端城市動(dòng)態(tài)地進(jìn)修到這個(gè)改變,并保持收集的連通性而無(wú)需改變路由器的建設(shè)。

  IPSec操縱拜候節(jié)制列表(ACL)來(lái)匹配感歡愉愛(ài)好數(shù)據(jù)流。當(dāng)稀有據(jù)包匹配所定義的ACL時(shí),IPSec加密地道便會(huì)成立。當(dāng)操縱GRE Over IPSec時(shí),GRE地道的建設(shè)已包含了GRE地道對(duì)端的地址,這個(gè)地址同時(shí)也是IPSec地道的對(duì)端地址。所以,沒(méi)有需要再伶仃為IPSec定義匹配ACL。經(jīng)由過(guò)程將GRE地道與IPSec綁定,GRE地道一旦成立,將當(dāng)即觸發(fā)IPSec加密。在用IPSec對(duì)GRE包進(jìn)行加密時(shí),可以將IPSec建設(shè)為傳輸模式,因?yàn)镚RE已將原始數(shù)據(jù)包封裝為單播的IP包,沒(méi)需要讓IPSec再封裝一個(gè)包頭。

  GRE的特點(diǎn)使得IPSec也能時(shí)髦的運(yùn)步履態(tài)和談了。至此,IPSec不撐持動(dòng)態(tài)路由的汗青改變了,DMVPN中的“多點(diǎn)” 被擺平。

  接下來(lái),讓我們看看“動(dòng)態(tài)”的特點(diǎn)是如何被引進(jìn)的?

  GRE成立了地道,IPSec完成了VPN收集的加密部門。想要成立GRE地道,地道的一端必需知道另外一端的IP地址,并且必需可以或許在Internet上路由。這就要求中間和所有分歧路由器必需具有靜態(tài)的公共IP地址。

  可是向ISP申請(qǐng)靜態(tài)IP地址的費(fèi)用是很是昂貴的。凡是,為節(jié)儉地址資本并進(jìn)步有效操縱率,不管是ADSL仍是直接線纜接進(jìn),ISP會(huì)經(jīng)由過(guò)程DHCP辦事來(lái)供給動(dòng)態(tài)IP地址。(注:IPv4的瓶頸激發(fā)的地址匱乏。IPv6不會(huì)存在該標(biāo)題問(wèn)題,號(hào)稱可以給地球上的每粒沙子都分個(gè)IP,口吻很大年夜的說(shuō))

  明顯,GRE+IPSec需要明白知道地道兩端的IP地址,而分歧路由器外網(wǎng)接口的IP地址由其本地ISP動(dòng)態(tài)分派,每次撥進(jìn)收集的IP地址是不合的。GRE地道沒(méi)編制成立,那么VPN仍是沒(méi)法工作。

  如許,NHRP在釣足大年夜家胃口之時(shí),應(yīng)市場(chǎng)需求,在萬(wàn)眾期盼的目光中閃亮登場(chǎng)了,給它些掌聲樂(lè)樂(lè)。噼里啪啦。。。。。。。

  NHRP:下一跳解析和談。由IETF在RFC 2332中定義。用于解決非廣播多路拜候(NBMA)收集上的源節(jié)點(diǎn)(主機(jī)或路由器)若何獲得達(dá)到方針節(jié)點(diǎn)的“下一跳”的互聯(lián)收集層地址和NBMA子網(wǎng)地址。

  下面我們一路看看 NHRP 是若何解決靜態(tài)IP地址標(biāo)題問(wèn)題,而讓 VPN “動(dòng)”起來(lái)的:

  1、分支到中間(Spoke?to?Hub)的動(dòng)態(tài)地道成立

  DMVPN收集中,中間路由器上沒(méi)有關(guān)于分支的GRE或IPSec建設(shè)信息,而在分歧路由器上則必需根據(jù)中間路由器的公網(wǎng)IP地址和NHRP和談來(lái)建設(shè)GRE地道。

  當(dāng)分歧路由器加電啟動(dòng)時(shí),由ISP處經(jīng)由過(guò)程DHCP獲得IP地址,并主動(dòng)成立IPSec加密的GRE地道,經(jīng)由過(guò)程N(yùn)HRP向中間路由器注冊(cè)本身的外網(wǎng)端口IP地址(貌似反彈連接)。

  如許做有三方面的啟事:1、因?yàn)榉制缏酚善魍饩W(wǎng)端口的IP地址是主動(dòng)獲得的,每次上線時(shí)的IP地址可能不合,所以中間路由器沒(méi)法按照該地址信息進(jìn)行建設(shè)。2、中間路由器沒(méi)必要針對(duì)所有分支別離建設(shè)GRE或IPSec信息,將大年夜大年夜簡(jiǎn)化中間路由器的建設(shè)。所有相干信息可經(jīng)由過(guò)程N(yùn)HRP主動(dòng)獲得。(即:分支向中間報(bào)告請(qǐng)示各自特點(diǎn))3、當(dāng)DMVPN收集擴(kuò)大時(shí),沒(méi)必要改動(dòng)中間路由器和其它分歧路由器的建設(shè)。經(jīng)由過(guò)程動(dòng)態(tài)路由和談,新加進(jìn)的分歧路由器將主動(dòng)注冊(cè)到中間路由器。如許,所有其它分歧路由器可以學(xué)到這條新的路由,新加進(jìn)的分歧路由器也能夠?qū)W到達(dá)到其它所有路由器的路由信息,直至收斂。(中間路由器猶如OSPF的DR)

  2、分支到分支(Spoke?to?Spoke)的動(dòng)態(tài)地道成立

  在DMVPN收集中,分支到中間(Spoke?to?Hub)的地道一旦成立便延續(xù)存在,可是各分支之間其實(shí)不需要直接建設(shè)延續(xù)的地道。當(dāng)一個(gè)分支需要向另外一個(gè)分支傳遞數(shù)據(jù)包時(shí),它操縱NHRP來(lái)動(dòng)態(tài)獲得目標(biāo)分支的IP地址。該過(guò)程中,中間路由器充當(dāng)NHRP辦事器的角色,響應(yīng)NHRP要求,向源分支供給方針?lè)种У墓W(wǎng)地址。因而,兩個(gè)分支之間經(jīng)由過(guò)程mGRE端口動(dòng)態(tài)成立IPSec地道,進(jìn)行數(shù)據(jù)傳輸。該地道在預(yù)定義的周期以后將主動(dòng)裁撤。

  DMVPN收集中,分支到中間(Spoke?to?Hub)的地道一旦成立便延續(xù)存在,而各分支之間并沒(méi)有延續(xù)存在的地道。如許,在路由器初始化后,中間路由器會(huì)經(jīng)由過(guò)程延續(xù)存在的地道向分歧路由器宣布其它分支子網(wǎng)的可達(dá)路由。到這里,仿佛”多點(diǎn)””動(dòng)態(tài)”的標(biāo)題問(wèn)題都解決了,DMVPN可以正常工作了是吧?!

  非也!今朝,分歧路由器的路由表中達(dá)到其它分支子網(wǎng)的“下一跳”地址仍是中間路由器的地道端口地址,而不是其它分歧路由器的地道端口地址。如斯一來(lái),分支與分支之間的數(shù)據(jù)傳輸仍是會(huì)經(jīng)由過(guò)程中間路由器。

  要解決這一標(biāo)題問(wèn)題,必需在中間路由器上設(shè)置為在mGRE地道端口上宣布某一分支子網(wǎng)的可達(dá)路由時(shí)“下一跳”地址是該分歧路由器的地道端口地址,而非中間路由器的地址。

  在RIP或EIGRP等距離向量型路由和談中,凡是都實(shí)現(xiàn)了程度豆割(split horizon)功能,禁止將路由信息發(fā)還到其來(lái)歷端口,以避免相鄰路由器上路由環(huán)路的產(chǎn)生。假定在DMVPN收集上運(yùn)行RIP或EIGRP和談,則必需封鎖程度豆割(split horizon)功能。不然,分歧路由器將沒(méi)法進(jìn)修到通往其它分支子網(wǎng)的路由。

  對(duì)RIP而言,no split horizon 就大年夜功成功了,因?yàn)镽IP向路由信息來(lái)歷端口發(fā)送該路由時(shí),其“下一跳”地址不被改變,仍然是本來(lái)的地址(即:方針地址)。

  但EIGRP在向路由信息來(lái)歷端口發(fā)送該路由時(shí),其“下一跳”地址將改變成該端口的地址。所以,必需封鎖這一特點(diǎn)。(EIGRP是CISCO公司的私有和談,封鎖這一特點(diǎn)的IOS號(hào)令為no ip next?hop?self eigrp )。

  OSPF是鏈路狀況型路由和談,其本身就不存在程度豆割(split horizon)標(biāo)題問(wèn)題。但在建設(shè)OSPF收集類型時(shí),應(yīng)建設(shè)為廣播型而不要利用點(diǎn)到多點(diǎn)型,不然,仍然會(huì)導(dǎo)致上述的標(biāo)題問(wèn)題。別的需要寄望的是,必需把DMVPN的中間路由器(Hub)建設(shè)為OSPF的指定路由器(DR),可以經(jīng)由過(guò)程指定中間路由器(Hub)有更高的OSPF優(yōu)先權(quán)來(lái)實(shí)現(xiàn)。

  最后,總結(jié)下DMVPN的整體解決方案

  DMVPN是經(jīng)由過(guò)程量點(diǎn)GRE(mGRE)和下一跳解析和談(NHRP)與IPSec相連絡(luò)實(shí)現(xiàn)的。在DMVPN解決方案中,操縱IPSec實(shí)現(xiàn)加密功能,操縱GRE或多點(diǎn)GRE(mGRE)成立地道,操縱NHRP解決分支節(jié)點(diǎn)的動(dòng)態(tài)地址標(biāo)題問(wèn)題。DMVPN只要求中間節(jié)點(diǎn)必需申請(qǐng)靜態(tài)的公共IP地址。(假定用 DNS 的話,中間節(jié)點(diǎn)不是也能夠動(dòng)態(tài)了嗎?)

  GRE地道撐持多播或廣播(multicast/broadcast)IP包在地道內(nèi)傳輸。是以,DMVPN收集撐持在IPSec和mGRE地道之上運(yùn)步履態(tài)路由和談。需要指出的是,NHRP必需被建設(shè)為動(dòng)態(tài)多播映照,如許,當(dāng)分歧路由器在NHRP辦事器(中間路由器)上注冊(cè)單播映照地址時(shí),NHRP會(huì)同時(shí)為這個(gè)分歧路由器成立一個(gè)多播/廣播(multicast/broadcast)映照。

  CISCO DMVPN建設(shè)實(shí)例:

  HUB路由器建設(shè)

  r1#sh ru

  hostname r1

  !

  crypto isakmp policy 10

  encr 3des

  authentication pre-share

  group 2

  crypto isakmp key cisco1234 address 0.0.0.0 0.0.0.0

  !

  crypto ipsec transform-set ccie esp-3des esp-sha-hmac

  mode transport

  !

  crypto ipsec profile cisco

  set transform-set ccie

  !

  inte***ce Tunnel0

  ip address 192.168.1.1 255.255.255.0

  no ip redirects

  no ip next-hop-self eigrp 100

  ip nhrp authentication cisco

  ip nhrp map multicast dynamic

  ip nhrp network-id 10000

  no ip split-horizon eigrp 100

  tunnel source Serial0/0

  tunnel mode gre multipoint

  tunnel key 10000

  tunnel protection ipsec profile cisco

  !

  inte***ce Loopback0

  ip address 10.1.1.1 255.255.255.0

  !

  inte***ce Serial0/0

  ip address 173.16.1.1 255.255.255.0

  !

  router eigrp 100

  network 10.0.0.0

  network 192.168.1.0

  no auto-summary

  ip route 0.0.0.0 0.0.0.0 173.16.1.2

  Spoke路由器建設(shè)

  r2#sh run

  hostname r2

  !

  crypto isakmp policy 10

  encr 3des

  authentication pre-share

  group 2

  crypto isakmp key cisco1234 address 0.0.0.0 0.0.0.0

  !

  crypto ipsec transform-set ccie esp-3des esp-sha-hmac

  mode transport

------分隔線----------------------------

推薦內(nèi)容