技术点详解—IPSec方案部署

通过前面几期的介绍可以发现IPSec所涉及的参数很多&＃xff0c;在具体方案部署过程中有许多灵活选择的地方&＃xff0c;本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。

一、              常规IPSec方案

上图所示网络环境是最基本的IPSec应用场景&＃xff1a;

1.       响应方无论在何种环境都是固定的公网地址&＃xff1b;

2.       发起方也是固定的公网地址&＃xff1b;

3.       双方都是用IKE主模式进行协商&＃xff1b;

4.       双方都互相指定对端IP地址&＃xff0c;即双方都可以发起协商&＃xff0c;没有固定的发起方、响应方&＃xff1b;

5.       双方只能使用隧道模式&＃xff0c;因为兴趣流192.168.1.0/24ßà192.168.0.0/24和IPSec隧道端点不一致。

由于只有大型企业才有可能为所有分支机构申请一个固定IP地址&＃xff0c;商务领航客户通常是中小型企业&＃xff0c;固定地址的情况并不多见&＃xff0c;所以该场景更多出现在实验室环境中&＃xff0c;在该方案中&＃xff0c;如果有多个发起方&＃xff0c;那么响应方需要对每个发起方制定IPSec策略。

二、              发起方公网地址不固定情况下的IPSec部署

上面这个场景比较常见&＃xff1a;

1.       响应方地址固定&＃xff0c;如6.16.5.6&＃xff1b;

2.       多个发起方使用动态接入互联网方式&＃xff0c;如PPPoE拨号&＃xff0c;这种方式中&＃xff0c;发起方每次拨号地址有可能不一致&＃xff0c;所以在响应方中无法使用指定对端IP地址方式限制对端身份&＃xff1b;

3.       发起方则必须要指定响应方IP&＃xff0c;否则无法发起协商&＃xff1b;

4.       双方可以使用预共享密钥方式对身份进行确认及保护&＃xff1b;

5.       双方依然只能使用隧道模式&＃xff1b;

6.       兴趣流的指定是比较有意思的事情&＃xff0c;发起方是必须要配置兴趣流的&＃xff0c;图中只举了一个发起方配置兴趣流的示例&＃xff0c;那么响应方呢&＃xff1f;响应方没有配置&＃xff0c;而是采用由发起方指定的方式&＃xff0c;即在协商过程中&＃xff0c;响应方得知发起方的兴趣流是192.168.1.0/24à192.168.0.0./24&＃xff0c;会自动为该响应方生成反向兴趣流192.168.1.0/24ß192.168.0.0./24&＃xff0c;那么为什么要这么使用呢&＃xff1f;

a)       发起方地址是动态的&＃xff1b;

b)       响应方无法及时提前获知发起方地址&＃xff0c;因此没有指定发起方的IP地址&＃xff1b;

c)       由于响应方的兴趣流爷是与发起方相关的&＃xff0c;而响应方中发起方的身份标识是IP地址&＃xff0c;故响应方无法提前为发起方指定兴趣流&＃xff1b;

d)       替代方法就是响应方在协商过程中&＃xff0c;动态地识别发起方&＃xff0c;并接受发起方的兴趣流&＃xff1b;

e)       这种方式还能在响应方配置工作带来简化&＃xff0c;不需要为每个发起方制定IPSec策略。

三、              部分发起方通过NAT网关连接到互联网

在上图中&＃xff0c;有部分发起方躲在NAT网关后面连接互联网&＃xff0c;如发起方Spartacus&＃xff0c;在这种情况下&＃xff0c;我们的IPSec方案该如何制定呢&＃xff1f;

1.       大体上和方案二类似&＃xff1b;

2.       IKE协商模式要修改成野蛮模式&＃xff08;Aggressive Mode&＃xff09;&＃xff1b;

3.       需要在IKE协商模式中打开NAT穿越&＃xff0c;目前大部分厂家实现中&＃xff0c;NAT穿越都变成默认选项。

针对这种发起方地址动态变化的情况&＃xff0c;还有一个相对来说更加安全的解决方案&＃xff0c;即响应方需要指定发起方。

我们从方案的标题可以看出&＃xff0c;有的方案是“响应方指定发起方”&＃xff0c;有的是“不指定”&＃xff0c;具体区别在于如下两点&＃xff1a;

1.       响应方指定对端IP地址或者指定对端名字&＃xff0c;即指定响应方的固定身份标识&＃xff0c;而不是动态身份&＃xff1b;

2.       响应方为特定的响应方指定兴趣流用于协商。

在上一期专栏中介绍在IPSec中最常用的身份标识是IP地址&＃xff0c;而在发起方动态IP或者存在NAT网关的情况下&＃xff0c;就无法为发起方指定IP地址了&＃xff0c;因此方案中使用指定名字方式作为身份标识&＃xff0c;而使用名字作为身份标识则必须使用IKE的野蛮模式&＃xff1a;

1.       响应方为每个发起方指定名字&＃xff1b;

2.       响应方为每个发起方指定兴趣流。

如果不指定发起方&＃xff0c;那么只要与共享密钥泄露&＃xff0c;任意发起方都能够与响应方建立IPSec会话&＃xff0c;指定发起方后&＃xff0c;除掌握预共享密钥外&＃xff0c;还必须掌握发起方IP地址&＃xff08;仿冒IP地址只能作为攻击手段&＃xff0c;而非通信手段&＃xff09;或者名字才可以发起协商&＃xff0c;因此安全性要比不指定发起方要高。

四、              企业分支使用GRE Over IPSec进行网络互连

为什么要使用GRE Over IPSec来互连呢&＃xff0c;有如下好处&＃xff1a;

1.       分支网络和总部网络都比较复杂&＃xff0c;需要使用路由协议进行互联&＃xff1b;

2.       IPSec隧道在承载路由协议上不如GRE隧道方便&＃xff1b;

3.       GRE隧道不能提供加密保障&＃xff0c;因此需要和IPSec进行结合&＃xff1b;

4.       GRE Over IPSec方案的优点在于&＃xff0c;使用GRE在两个网关之间搭建一个隧道&＃xff0c;运行路由协议及传输正常数据&＃xff0c;使用IPSec对整个GRE隧道进行加密。

在这个方案中&＃xff0c;特殊之处在于&＃xff1a;

1.       发起方、响应方的IP地址都是固定不变的&＃xff0c;采取了响应方指定发起方的配置方式&＃xff1b;

2.       发起方、响应方的GRE隧道源地址和目的地址和IPSec隧道的源地址、目的地址一致&＃xff0c;因此可以使用传输模式&＃xff0c;提高传输效率&＃xff0c;可以对比一下图中推荐的兴趣流配置与GRE隧道配置。

同样&＃xff0c;如果发起方地址不是固定的&＃xff0c;或者发起方躲在NAT网关后面&＃xff0c;那么可以采取如下方式。

GRE隧道的特点是要求隧道的源、目的必须是固定的&＃xff0c;因此在这种环境中&＃xff1a;

1.       所有网关设置Loopback地址&＃xff0c;如响应方设置环回接口地址为192.168.1.1/32&＃xff0c;两个发起方分别为192.168.1.2/24和192.168.1.3/24&＃xff1b;

2.       使用Loopback接口地址分别在响应方和各发起方之间建立GRE隧道&＃xff1b;

3.       由于IPSec隧道是使用连接互联网地址建立的&＃xff0c;因此与兴趣流不一致&＃xff0c;只能使用隧道模式&＃xff1b;

4.       由于是发起方地址动态获得&＃xff0c;所以使用IKE野蛮模式&＃43;指定名字方式&＃xff1b;

5.       以上两种方式可以混合&＃xff0c;即根据发起方地址类型&＃xff0c;分别配置身份标志类型、封装模式和兴趣流&＃xff0c;可以有部分发起方和响应方是指定IP地址&＃43;传输模式的&＃xff0c;另外一部分则使用指定名字&＃43;隧道模式。

五、              对外出员工采用L2TP Over IPSec方案

在之前的L2TP专栏中&＃xff0c;我们了解到了L2TP主要是为单个外出员工提供远程接入企业网络的方案&＃xff0c;而L2TP本身不提供加密服务&＃xff0c;因此L2TP结合IPSec就能够为外出员工提供安全可靠的远程接入解决方案&＃xff1a;

1.       外出员工的特点就是地址不固定&＃xff0c;即采用IKE野蛮模式&＃xff1b;

2.       兴趣流是L2TP流量&＃xff0c;即发起方到响应方的UDP 1701流量&＃xff0c;因此也就表明了兴趣流也不是固定的&＃xff0c;响应方只能采取由对端指定兴趣流方案&＃xff1b;

3.       由于如上两点原因&＃xff0c;响应方可以采取不指定发起方&＃xff1b;

4.       由于有部分发起方要穿越NAT&＃xff0c;必须要使用隧道模式。

本期将常见的IPSec应用场景进行了介绍&＃xff0c;并对各个场景中对IPSec配置方案有影响的地方进行分析。IPSec专题介绍&＃xff0c;到此告一段落。