基于CISCO路由器的IPSEC VPN和BGPMPLS VPN

基于CISCO路由器的

IPSECVPN和BGP/MPLSVPN目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例VPN背景總公司租用專線我們有很多分公司，如果用租用專線的方式把他們和總公司連起來，需要花很多錢想節(jié)約成本的話，可以用VPN來連接分公司分公司分公司VPN簡介IPVPN(VirtualPrivateNetwork，虛擬專用網(wǎng))就是利用開放的公眾IP/MPLS網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道，將遠程的分支機構(gòu)、移動辦公人員等連接起來。IP/MPLS網(wǎng)中心站點分支機構(gòu)移動辦公人員隧道機制IPVPN可以理解為：通過隧道技術(shù)在公眾IP/MPLS網(wǎng)絡(luò)上仿真一條點到點的專線。隧道是利用一種協(xié)議來傳輸另外一種協(xié)議的技術(shù)，共涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議。被封裝的原始IP包新增加的IP頭IPSec頭乘客協(xié)議隧道協(xié)議承載協(xié)議原始IP包經(jīng)過IPSec封裝后隧道帶來的好處隧道保證了VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用地址無關(guān)

Internet被封裝的原始IP包新增加的IP頭IPSec頭私網(wǎng)地址公網(wǎng)地址中心站點分支機構(gòu)Internet根據(jù)這個地址路由可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來的，而不是Internet隧道按隧道類型對VPN分類隧道協(xié)議如下：第二層隧道協(xié)議，如L2TP第三層隧道協(xié)議，如IPSec介于第二層和第三層之間的隧道協(xié)議，如MPLSVPNL2TPL2TP封裝的乘客協(xié)議是位于第二層的PPP協(xié)議。原始數(shù)據(jù)包新增加的IP頭L2TP頭可以是IP、IPX和AppleTalkPPP封裝原始數(shù)據(jù)包PPP頭L2TP封裝原始數(shù)據(jù)包PPP頭可以是IP、ATM和幀中繼L2TP沒有對數(shù)據(jù)進行加密。L2TP的典型應(yīng)用--VPDNL2TP連接PPP連接用戶發(fā)起PPP連接到接入服務(wù)器接入服務(wù)器封裝用戶的PPP會話到L2TP隧道，L2TP隧道穿過公共IP網(wǎng)絡(luò)，終止于電信VPDN機房的LNS用戶的PPPsession經(jīng)企業(yè)內(nèi)部的認證服務(wù)器認證通過后即可訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源IPSecIPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議IPSec可以對被封裝的數(shù)據(jù)包進行加密和摘要等，以進一步提高數(shù)據(jù)傳輸?shù)陌踩訫PLSVPN的基本工作模式在入口邊緣路由器為每個包加上MPLS標簽，核心路由器根據(jù)標簽值進行轉(zhuǎn)發(fā)，出口邊緣路由器再去掉標簽，恢復原來的IP包。MPLS網(wǎng)P1P2PE1PE2CE1CE210.1.1.1MPLS標簽10.1.1.110.1.1.1MPLSVPN的特點MPLS標簽位于二層和三層之間三層包頭MPLS標簽二層包頭二層包頭三層包頭MPLS封裝三種VPN的比較L2TPIPSecMPLSVPN隧道協(xié)議類型第二層第三層第二層和第三層之間是否支持數(shù)據(jù)加密不支持支持不支持對設(shè)備的要求只要求邊緣設(shè)備支持L2TP只要求邊緣設(shè)備支持IPSec要求邊緣設(shè)備和核心設(shè)備都支持MPLS目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例IPSec概述IPSec是一種開放標準的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(hash)等手段，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性(confidentiality)、完整性(dataintegrity)和真實性(originauthentication)。IPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議被封裝的原始IP包新增加的IP頭IPSec頭必須是IP協(xié)議必須是IP協(xié)議通過加密保證數(shù)據(jù)的私密性私密性：防止信息泄漏給未經(jīng)授權(quán)的個人通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性Internet4ehIDx67NMop9eRU78IOPotVBn45TR土豆批發(fā)價兩塊錢一斤實在是看不懂加密4ehIDx67NMop9eRU78IOPotVBn45TR解密土豆批發(fā)價兩塊錢一斤對稱加密如果加密密鑰與解密密鑰相同，就稱為對稱加密由于對稱加密的運算速度快，所以IPSec使用對稱加密算法來加密數(shù)據(jù)對數(shù)據(jù)進行hash運算來保證完整性完整性：數(shù)據(jù)沒有被非法篡改通過對數(shù)據(jù)進行hash運算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性土豆兩塊錢一斤Hash4ehIDx67NMop9土豆兩塊錢一斤4ehIDx67NMop9土豆三塊錢一斤4ehIDx67NMop9我偷改數(shù)據(jù)Hash2fwex67N32rfee3兩者不一致代表數(shù)據(jù)已被篡改對數(shù)據(jù)和密鑰一起進行hash運算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。通過把數(shù)據(jù)和密鑰一起進行hash運算，可以有效抵御上述攻擊。土豆兩塊錢一斤Hashfefe23fgrNMop7土豆兩塊錢一斤fefe23fgrNMop7土豆三塊錢一斤2fwex67N32rfee3我同時改數(shù)據(jù)和摘要兩者還是不一致Hashfergergr23frewfgh對稱密鑰交換對稱加密和hash都要求通信雙方具有相同的密鑰問題：怎樣在雙方之間安全地傳遞密鑰？密鑰哈哈，要是敢直接傳遞密鑰，我就只好偷看了密鑰DH算法的基本原理RouterARouterB生成一個整數(shù)p生成一個整數(shù)q把p發(fā)送到對端p把q發(fā)送到對端q根據(jù)p、q生成g根據(jù)p、q生成g生成密鑰Xa生成密鑰Xb把Ya=g^Xa發(fā)送到對端把Yb=g^Xb發(fā)送到對端YaYbKey=Yb^Xa=g^(Xb*Xa)Key=Ya^Xb=g^(Xa*Xb)最后得到的對稱密鑰雙方?jīng)]有直接傳遞密鑰通過身份認證保證數(shù)據(jù)的真實性真實性：數(shù)據(jù)確實是由特定的對端發(fā)出通過身份認證可以保證數(shù)據(jù)的真實性。常用的身份認證方式包括：Pre-sharedkey，預共享密鑰RSASignature，數(shù)字簽名預共享密鑰預共享密鑰，是指通信雙方在配置時手工輸入相同的密鑰。Hash_L+

路由器名等本地Hash共享密鑰遠端生成的Hash_LHash=+對端路由器名Internet共享密鑰接收到的Hash_L數(shù)字證書RSA密鑰對，一個是可以向大家公開的公鑰，另一個是只有自己知道的私鑰。用公鑰加密過的數(shù)據(jù)只有對應(yīng)的私鑰才能解開，反之亦然。數(shù)字證書中存儲了公鑰，以及用戶名等身份信息。數(shù)字證書

我是RouterA，我的公鑰是…….數(shù)字簽名認證+IDInformation加密Hash_I解密Hash_I私鑰公鑰本地遠端Hash=+身份信息Hash對稱密鑰數(shù)字簽名+身份信息Hash12數(shù)字證書+Internet對稱密鑰數(shù)字簽名數(shù)字證書IPSec框架結(jié)構(gòu)ESPAHDES3DESAESMD5SHADH1DH2IPSec框架可選擇的算法IPSec安全協(xié)議加密數(shù)據(jù)摘要對稱密鑰交換IPSec安全協(xié)議AH(AuthenticationHeader)只能進行數(shù)據(jù)摘要(hash)，不能實現(xiàn)數(shù)據(jù)加密ah-md5-hmac、ah-sha-hmacESP(EncapsulatingSecurityPayload)能夠進行數(shù)據(jù)加密和數(shù)據(jù)摘要(hash)esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、IPSec安全協(xié)議描述了如何利用加密和hash來保護數(shù)據(jù)安全IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式傳輸模式：不改變原有的IP包頭，通常用于主機與主機之間。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)AH頭AHhashAH對除了TTL等變化值以外的整個IP包進行hash運算IP頭數(shù)據(jù)ESP頭hashESPtrailerESPauthESP加密hashIPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式隧道模式：增加新的IP頭，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進行通信。IP頭數(shù)據(jù)原始IP包IP頭數(shù)據(jù)新IP頭AHhashIP頭數(shù)據(jù)ESP頭hashESPtrailerESPauthESP加密hashAH頭新IP頭IPSec與NATAH模式無法與NAT一起運行AH對包括IP地址在內(nèi)的整個IP包進行hash運算，而NAT會改變IP地址，從而破壞AH的hash值。IP頭數(shù)據(jù)AH頭hashhashNAT：我要修改源/目的IP地址AH：不行！我對IP地址也進行了hashIPSec與NATESP模式下：只進行地址映射時，ESP可與它一起工作。進行端口映射時，需要修改端口，而ESP已經(jīng)對端口號進行了加密和/或hash，所以將無法進行。IP頭

數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：端口號被加密了，沒法改，真郁悶IPSec與NATESP模式下：啟用IPSecNAT穿越后，會在ESP頭前增加一個UDP頭，就可以進行端口映射。IP頭

數(shù)據(jù)ESP頭ESPtrailerESPauth加密TCP/UDP端口NAT：可以改端口號了，太棒了新UDP頭目錄VPN簡介IPSecVPNBGP/MPLSVPNIPSec基礎(chǔ)端到端IPSecVPN的工作原理及配置EasyVPN（遠程接入VPN）的工作原理及配置BGP/MPLSVPN的工作原理BGP/MPLSVPN的配置示例對上一節(jié)的回顧IPSec協(xié)議框架包括加密、hash、對稱密鑰交換、安全協(xié)議等四個部分，這些部分都可以采用多種算法來實現(xiàn)。問題1：要成功建立IPSecVPN，兩端路由器必須采用相同的加密算法、hash算法和安全協(xié)議等，但IPSec協(xié)議中并沒有描述雙方應(yīng)如何協(xié)商這些參數(shù)。問題2：IPSec協(xié)議中沒有定義通信雙方如何進行身份認證，路由器有可能會和一個假冒的對端建立IPSecVPN。端到端IPSecVPN的工作原理需要保護的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。啟動IKE(Internetkeyexchange)階段1，對通信雙方進行身份認證，并在兩端之間建立一條安全的通道。啟動IKE階段2，在上述安全通道上協(xié)商IPSec參數(shù)。按協(xié)商好的IPSec參數(shù)對數(shù)據(jù)流進行加密、hash等保護。HostAHostBRouterARouterB什么是端到端的VPN？IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)協(xié)商建立IKE安全通道所使用的參數(shù)IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)，包括：加密算法Hash算法DH算法身份認證方法存活時間IKE階段1Policy10DESMD5DH1Pre-sharelifetimePolicy15DESMD5DH1Pre-sharelifetimeRouterARouterBhostAhostBPolicy203DESSHADH1Pre-sharelifetimePolicy253DESSHADH2Pre-sharelifetime雙方找到相同的策略集上述IKE參數(shù)組合成集合，稱為IKEpolicy。IKE協(xié)商就是要在通信雙方之間找到相同的policy。IKE階段1HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段1協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認證建立IKE安全通道協(xié)商建立IKE安全通道所使用的參數(shù)交換對稱密鑰雙方身份認證建立IKE安全通道IKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)協(xié)商IPSec安全參數(shù)IKE階段2雙方協(xié)商IPSec安全參數(shù)，稱為變換集transformset，包括：加密算法Hash算法安全協(xié)議封裝模式存活時間Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetimeIKE與IPSec安全參數(shù)的比較加密算法Hash算法存活時間DH算法身份認證安全協(xié)議封裝模式IKEIPSecIKE階段2HostAHostBRouterARouterB10.0.1.310.0.2.3IKE階段2協(xié)商IPSec安全參數(shù)建立IPSecSA協(xié)商IPSec安全參數(shù)建立IPSecSAIPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：SA由SPD(securitypolicydatabase)和SAD(SAdatabase)組成。兩端成功協(xié)商IPSec參數(shù)加密算法hash算法封裝模式lifetime安全協(xié)議SPD加密SPIHash封裝模式lifetimeSAD目的IP地址SPI安全協(xié)議IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：SPI(SecurityParameterIndex)，由IKE自動分配發(fā)送數(shù)據(jù)包時，會把SPI插入到IPSec頭中接收到數(shù)據(jù)包后，根據(jù)SPI值查找SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法等。一個SA只記錄單向的參數(shù)，所以一個IPSec連接會有兩個IPSecSA。IPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：使用SPI可以標識路由器與不同對象之間的連接。BANK192.168.2.1SPI–12ESP/3DES/SHAtunnel28800192.168.12.1

SPI–39ESP/DES/MD5tunnel28800InternetIPSecSAIPSecSA(安全關(guān)聯(lián)，SecurityAssociation)：達到lifetime以后，原有的IPSecSA就會被刪除如果正在傳輸數(shù)據(jù)，系統(tǒng)會在原SA超時之前自動協(xié)商建立新的SA，從而保證數(shù)據(jù)的傳輸不會因此而中斷。SA示例端到端IPSecVPN的配置流程配置IPSec前的準備工作配置IKE參數(shù)配置IPSec參數(shù)測試并驗證IPSec是否正常工作端到端IPSecVPN的配置步驟1配置IPSec前的準備工作確認在配置IPSec之前，網(wǎng)絡(luò)是通的。確認AH流量(IP協(xié)議號為50)、ESP流量(IP協(xié)議號為51)和ISAKMP流量(UDP的端口500)不會被ACL所阻塞。配置IPSec前的準備工作在RouterA上ping路由器RouterBRouterA上要有到site2的路由，RouterB上有到site1的路由有必要的情況下，在路由器中添加類似以下的ACL條目：RouterA#showaccess-listsaccess-list102permitahphost172.30.2.2host172.30.1.2access-list102permitesphost172.30.2.2host172.30.1.2access-list102permitudphost172.30.2.2host172.30.1.2eqisakmpE0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB端到端IPSecVPN的配置步驟2配置IKE參數(shù)啟用IKE創(chuàng)建IKE策略集policy配置IKE身份認證的相關(guān)參數(shù)驗證IKE配置啟用IKERouterA(config)#nocryptoisakmpenableRouterA(config)#cryptoisakmpenablerouter(config)#[no]cryptoisakmpenable默認情況下，IKE處于開啟狀態(tài)IKE在全局模式下對所有端口啟用對于不希望使用IKE的端口，可以用ACL屏蔽UDP的500端口，達到阻斷IKE的目的創(chuàng)建IKE策略cryptoisakmppolicypriorityrouter(config)#RouterA(config)#cryptoisakmppolicy110RouterA(config-isakmp)#encryptiondesRouterA(config-isakmp)#hashmd5RouterA(config-isakmp)#group1RouterA(config-isakmp)#authenticationpre-shareRouterA(config-isakmp)#lifetime86400Authentication---身份認證方式Encryption---加密算法Group---DH算法組Hash---摘要算法Lifetime---IKE生存期IKE策略集的取值<86400秒86400秒IKESA生存期DHGroup2DHGroup1密鑰交換算法Rsa-sigPre-share身份認證方式SHA-1MD5摘要算法3DESDES加密算法更安全的取值安全的取值參數(shù)(56bit密鑰)(3次DES運算)(128bit密鑰)(160bit密鑰)(768bit密鑰)(1024bit密鑰)(共享密鑰)(數(shù)字簽名)IKE策略集的優(yōu)先級cryptoisakmppolicy100

hashmd5

authentication

pre-sharecryptoisakmppolicy200authenticationrsa-sig

hashshacryptoisakmppolicy300authenticationpre-sharehashmd5RouterA(config)#RouterB(config)#cryptoisakmppolicy100hashmd5authenticationpre-sharecryptoisakmppolicy200authenticationrsa-sighashshacryptoisakmppolicy300authenticationrsa-sighashmd5Priority表示策略集的優(yōu)先級，該值越小表示優(yōu)先級越高路由器將首先比較優(yōu)先級最高的策略集是否匹配，因此本例中雖然三個策略集都匹配，但路由器只會采用policy100建議把最安全的策略集設(shè)為最高優(yōu)先級使用共享密鑰進行身份認證RouterA(config)#cryptoisakmpkeycisco1234address172.30.2.2router(config)#cryptoisakmpkeykeystringaddresspeer-addresscryptoisakmpkeykeystringhostnamehostnamerouter(config)#共享密鑰Cisco1234Site1Site2172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterB兩端路由器使用的共享密鑰必須相同可以用IP地址或

主機名來指定對端驗證IKE配置RouterA#showcryptoisakmppolicyProtectionsuiteofpriority110encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:MessageDigest5authenticationmethod:Pre-SharedKeyDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitDefaultprotectionsuiteencryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimitshowcryptoisakmppolicy

router#顯示已配置的和缺省的策略集端到端IPSecVPN的配置步驟3配置IPSec參數(shù)配置IPSec變換集用ACL定義需要IPSec保護的流量創(chuàng)建cryptomap把cryptomap應(yīng)用到路由器的端口上配置IPSec變換集cryptoipsectransform-settransform-set-name

transform1[transform2[transform3]]router(cfg-crypto-trans)#router(config)#RouterA(config)#cryptoipsectransform-setmineesp-desRouterA(cfg-crypto-trans)#modetunnel每個變換集中可以包含AH變換、ESP變換和封裝模式(隧道模式或傳輸模式)每個變換集中最多可以有一個AH變換和兩個ESP變換IOS支持的變換RouterA(config)#cryptoipsectransform-set transform-set-name?ah-md5-hmacAH-HMAC-MD5transformah-sha-hmacAH-HMAC-SHAtransformesp-3desESPtransformusing3DES(EDE)cipher(168 bits)esp-desESPtransformusingDEScipher(56bits)esp-md5-hmacESPtransformusingHMAC-MD5authesp-sha-hmacESPtransformusingHMAC-SHAauthesp-nullESPtransformw/ocipher用ACL定義需要IPSec保護的流量access-listaccess-list-number[dynamicdynamic-name

[timeoutminutes]]{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedenceprecedence][tostos][log]router(config)#RouterA(config)#access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterB10.0.1.010.0.2.0加密定義哪些流量需要IPSec保護Permit=要保護/deny=不用保護兩端路由器要配置對稱的ACLRouterA(config)#access-list110permittcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255RouterB(config)#access-list101permittcp

10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255E0/1172.30.1.2Site1Site2E0/1172.30.2.2AB10.0.1.310.0.2.3InternetRouterARouterBCryptomap的主要配置參數(shù)需要IPSec保護的流量的ACLVPN對端的IP地址使用的IPSec變換集協(xié)商建立IPSecSA的方式(手工或通過IKE)IPSecSA的存活期創(chuàng)建cryptomapcryptomapmap-nameseq-numipsec-manualcryptomapmap-nameseq-numipsec-isakmp

[dynamicdynamic-map-name]router(config)#Site1Site2AB10.0.1.310.0.2.3InternetRouterARouterBRouterA(config)#cryptomapmymap110ipsec-isakmpSite3B10.0.3.3RouterC每個路由器端口只能應(yīng)用一個cryptomap當一個端口有多個VPN對端時，就使用seq-num來區(qū)分Cryptomap配置示例RouterA(config)#cryptomapmymap110ipsec-isakmpRouterA(config-crypto-map)#matchaddress110RouterA(config-crypto-map)#setpeer172.30.2.2RouterA(config-crypto-map)#setpeer172.30.3.2RouterA(config-crypto-map)#setpfsgroup1RouterA(config-crypto-map)#settransform-setmineRouterA(config-crypto-map)#setsecurity-associationlifetime86400Site1Site2172.30.2.2AB10.0.1.310.0.2.3RouterARouterB172.30.3.2BRouterCInternet可配置多個vpn對端進行冗余應(yīng)用cryptomap到路由器端口上RouterA(config)#interfaceethernet0/1RouterA(config-if)#cryptomapmymapE0/1172.30.1.2Site1Site2E0/1172.30.2.