admin管理员组文章数量:1609693
目录
GET VPN简介
GETVPN的优势
GETVPN技术分为以下几个核心组件:
实验
验证
GET VPN简介
CISCO的组加密传输VPN提出了一个名叫信任组的概念,不再使用点到点隧道来承载路由信息。而是由所有的组成员(GMs)共享一个公用SA,在这里可以理解为一个组SA。这个特性将允许组内的成员解密其他成员发送过来的加密流量。同一个组的成员间不再需要协商点到点的IPSEC隧道。
IETF标准化文档RFC 3547中的组解释域Group Domain of Interpretation (GDOI)是GETVPN的最主要的部分。
GET VPN技术是公有开放标准和Cisco私有技术的结合产物,该技术发挥了底层MPLS和共享网络的优势。
GETVPN的优势
- 为任意节点间瞬时大范围的IP通信提供了安全范本。
- 只需利用基础的IP路由结构,而不需要在基础结构上构建另一层路由结构。
- 与传统的IPSec隧道技术相比,GET VPN技术提供了与组播技术的无缝结合。
- 通过使用加密和封装技术保护了源地址和目的地址之间的通信,同时也可以很好的与QOS等技术协同工作。
GETVPN技术分为以下几个核心组件:
- GDOI (RFC 3547)
- Key servers (KSs)
- Cooperative (COOP) KSs
- GMs
- IP tunnel header preservation
- Group security association
- Rekey mechanism
- Time-based anti-replay (TBAR)
GDOI:
GDOI组密钥管理协议为一组设备提供了加密密钥和策略的集合。在GET VPN的网络中,GDOI分配一个公钥到组内的其他VPN网关,来确保通信的安全性。组中的所有VPN网关使用一种叫做rekey的方法来定期的更新密钥。
GDOI协议受阶段1的IKE SA保护。所有的VPN网关必须使用IKE进行认证。并且支持所有的IKE认证方法(PSK,PKI)。当VPN网关被认证和通过IKE SA获得密钥后,IKE SA条目超时后,GDOI通过灵活有效的方法更新组成员。
GDOI包含两种不同的加密密钥,其中名为KEK的密钥用来保护GET VPN的控制层面,另外一种名为TEK的密钥用来加密数据流。
IP tunnel header preservation:
传统意义上的IPSEC,隧道端点的地址被作为新的IP包的源和目的。数据包使用加密端的物理接口地址作为源地址,使用解密端的物理接口地址作为目的地址在IP网络上进行路由(隧道模式)。在GET VPN解决方案中,IPSEC保护的数据包将原数据包中的源地址和目的地址复制一份作为整个IP包头中的地址。
GET VPN数据包结构带来的最大优越性表现在可以使用底层的网络对GET VPN的数据包进行路由,分支机构中的高可用性技术可以和GET VPN解决方案无缝结合(如双接入点双链路等),不在需要在IPSec层面上实施高可用性的技术(如双HUB点,状态型高可用性IPSEC技术等)。
Key servers (KSs)
通常情况下IOS设备作为一个Key Server负责创建和维护GET VPN的控制层面。所有的加密策略包括:感兴趣流,加密协议,SA,rekey间隔等等,都需要在KS上进行统一的定义并在组成员想KS注册的时候将策略推送给组成员。
GET VPN是通过KS使用IKE第一阶段来认证组成员,组成员在认证通过后将key和加密策略下载到组成员本地。KS同时负责Key的刷新和分发。
和传统的IPSEC解决方案不同的是,GET VPN的感兴趣流是通过ACL方式定义在KS上,无论GMs是否和KS属于同一个子网内,该ACL都可以被下载到GMs路由器上。在定义感兴趣流的ACL时,建议将GM成员的网络汇总为尽可能的少的条目。例如如果组成员的网络都位于10.0.0.0/8的网络中(10.1.1.0/24,10.1.2.0/24等),最好将感兴趣流定义为permit 10.0.0.0/8 to 10.0.0.0/8”,而不是10.1.1.0/24 to 10.1.2.0/24。非对称的策略将导致ACL条目数量过于庞大,在这种情况下,为大多数组成员定义一个聚合策略是比较理想的策略实现方式。最少条目的聚合策略是permit ip any any,该策略加密GMs之间通信的流量,因此很多时候,我们需要定义排除的列表(使用Deny选项)使某些不需要与其他组成员通讯的数据不进行加密传输。
GMs:
前面已经提到,加密策略主要定义在KS上,当组成员向KS注册时下载这些策略到GM成员的本地,而作为组成员来说,只需要定义IKE的第一阶段和GDOI组信息。基于这些下载的加密策略,GM成员决定哪些流量将被加密和被解密,以及使用什么样的key等。但是,在某些情况下,GM成员可以配置本地的策略来覆盖通过KS得到的策略。例如,在组中的几个成员间运行了路由协议,而这些参加路由协议的流量必须避开加密策略,这个时候我们需要在这些组成员上定义一些策略条目来避开全局的策略。
Group SA:
和传统的IPSEC解决方案不同的是,GET VPN使用组SA的概念。所有GET VPN组内成员间的互相通信使用统一的加密策略和一条公共的SA。有了这些公共的策略,组成员间将不必再协商IPSEC隧道,这减少了路由器的资源消耗。
Rekey Process
以上我们提到,KS不仅仅负责创建加密策略和key,同时也负责更新和分发新key到组成员。当已存在的key超时后,KS将分发新的key到组成员,这个过程就被称为rekey进程。GET VPN支持两种类型的Rekey消息:单播和组播。
如果组成员不能从KS处收到rekey消息(例如KS服务器down或者网络中断),GM将在已存在的IPSEC SA超时前60秒尝试向KS进行注册。如果注册成功,则组成员通过重注册过程收到新的SA并且流量不会产生中断。如果注册不成功,则组成员会每间隔10秒尝试向KS重试三次,如果依然不成功则在已存在的IPSEC SA超时前20秒时,尝试向其他已定义的KS注册。
Unicast Rekey
在单播Rekey的过程中,KS生成一个rekey消息并且将这个消息复制发送给每一个组成员。当组成员收到该消息后,返回一个ACK消息给KS。该机制不仅能确定在KS上注册的活跃组成员是正确的,同时也能确定rekey消息只发送给了活跃的组成员。
KS在网络出现短暂中断的时候,会对Rekey数据包进行重传。如果GM在KS发出的三次rekey的过程中不能响应,则KS会将该GM从活跃的GM数据库中移除,并停止向该GM发送rekey消息。
Multicast Rekey
在组播Rekey的过程中,KS创建一个rekey消息并发送该消息到预先配置好的组播组地址。每一个加入这个组播组的GM,在向KS注册的时候都会受到这个rekey消息的拷贝。
和单播rekey过程不同的是,组播rekey没有ACK的机制。KS不会维护一个活跃的GM数据库。和单播rekey过程相同的是,KS会对Rekey数据包进行重传,已防止短暂的网络中断。
为了使用组播方式的rekey,必须在核心的网络上打开组播功能。
COOP KSs
KS在整个GET VPN中扮演着最重要的角色,KS维护着整个GET VPN的控制层面。因此,仅有一台KS时有可能会在VPN网络中造成单点故障。GET VPN支持多个KS服务器,称之为COOP KSs,用来确保如果主KS失效或者不可达的时侯,GET VPN的控制层面可以使主KS失效时无缝切换到其他的KS。
一个组成员可以配置多个活跃KS服务器,GM会对这个列表进行递归查询。
COOP协议配置在每一个GDOI的基本组内,一个KS可以配置多个GDOI组用来维护多个KSs所关联的不同的COOP列表。
当COOP KSs启动后,所有的KSs都被假设为处于备用状态并开始选举主KS。优先级最高的KS被选举为主KS,同时其他的KS都被置于备用状态。主KS用来创建和分发组策略到所有的GM,并且和其他的COOP KSs进行周期性的同步。
COOP KSs之间交换一种单向的消息通告(从主KS到备用KS)。如果一个备用的KS在一段时间内不能收到主KS发送来的消息,备用的KS将尝试联系主KS并请求更新消息。如果主KS没有响应,则COOP KSs间重新开始选举,直到一个新的主KS被选举出来。
建议在Coop KS内部配置DPD特性,该特性可以使主KS跟踪和显示其他的备用KS的状态。但是需要注意的是在GM和KS之间该功能不是必须的同时也不支持该功能。
Time Based Anti-Replay
在传统的IPSEC vpn解决方案中,防止回放攻击的能力可以防止第三方恶意攻击对IPSEC站点间IPSEC包进行抓包并回放从而造成的DOS攻击。传统的IPSEC VPN解决方案使用基于滑动窗口的计数器:发送者发送使用连续数值的数据包,接收者视同滑动窗口来确定这个包是否是被允许。
我们使用一种新的方法称为基于时间的反回放攻击来保护网络不受第三人的攻击。TBAR在KS上维护一个虚构的时间,所带来的其中一个优点就是不需要在GET VPN的设备间使用NTP来同步时间。主KS为整个组建立并维护一个虚构的时间。主KS会在GM进行rekey更新的时候与GM成员进行虚构时间的同步。每一个GM成员都在数据包内包含一个虚构的时间戳。接收数据包的VPN网关会将数据包内的时间戳和自身与KS同步得到的时间戳进行比较,如果数据包内的时间戳比较晚,则丢弃该数据包。
实验
配置思路
KS
1创建 gdoi group
2crypto gdoi group mygroup
3//配置gdoi group(所有的KS和GM的ID必须一致)
4 identity number 66666
5//配置本地路由器为KS服务器
6 server local
7 //定义本地服务器地址
8 address ipv4 202.100.1.1
9 //Rekey基本配置
10 //配置对Rekey message进行签名的RSA密钥
11 rekey authentication mypubkey rsa GETVPN-KEY
12 //配置对Rekey message进行加密的算法,默认的HASH算法为SHA-1
13 rekey algorithm aes 256
14 //定义组播Rekey message的流量,注意默认为组播更新
15 rekey address ipv4 Multicast
16 //配置第一个IPSec SA策略(可以配置多个)
17 sa ipsec 1
18 //匹配感兴趣流
19 match address ipv4 GETVPN-Traffic
20 //配置处理感兴趣的策略
21 profile ipsecprof
GM
1crypto isakmp policy 10
2 authentication pre-share
3//只需要配置所有KS的"isakmp keys"
4crypto isakmp key ccie address 202.100.1.1
5crypto isakmp key ccie address 202.100.1.2
6
7crypto gdoi group mygroup
8 identity number 66666 (所有的KS和GM的Key必须相同)
9 server address ipv4 202.100.1.1(Primary KS)
10 server address ipv4 202.100.1.2(Secondary KS)
11
12GDOI为crypto map提供密钥资源TEK
13crypto map cisco 10 gdoi
14调用GDOI Group
15 set group mygroup
16调用在感兴趣流进出的接口上
17interface Ethernet0/0
18调用crypto map直接触发注册
19 crypto map cisco
全部配置
hostname KS-1
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key qytangccies address 202.100.1.2
crypto isakmp key qytangccies address 202.100.2.1
crypto isakmp key qytangccies address 202.100.2.2
crypto isakmp key qytangccies address 202.100.3.1
crypto isakmp key qytangccies address 202.100.3.2
!
!
crypto ipsec transform-set QYT-Ttrans esp-3des esp-md5-hmac
mode tunnel
!
!
crypto ipsec profile ipsecprof
set transform-set QYT-Ttrans
!
crypto gdoi group mygroup
identity number 66666
server local
rekey algorithm aes 256
rekey address ipv4 Multicast
rekey retransmit 10 number 2
rekey authentication mypubkey rsa GETVPN-KEY
sa ipsec 1
profile ipsecprof
match address ipv4 GETVPN-Traffic
replay time window-size 3
address ipv4 202.100.1.1
redundancy
local priority 100
peer address ipv4 202.100.1.2
!
crypto gdoi group VRF_Group
identity number 88888
server local
rekey retransmit 10 number 2
rekey authentication mypubkey rsa GETVPN-KEY
rekey transport unicast
sa ipsec 1
! Incomplete
! Match address is not configured
profile ipsecprof
match address ipv4 GETVPN_VRF_Traffic
replay time window-size 3
address ipv4 202.100.1.2
redundancy
local priority 100
peer address ipv4 202.100.1.1
!
crypto gdoi group GM_Group
identity number 99999
server local
rekey retransmit 10 number 2
rekey authentication mypubkey rsa GETVPN-KEY
rekey transport unicast
sa ipsec 1
profile ipsecprof
match address ipv4 GETVPN-Traffic
replay time window-size 3
address ipv4 202.100.1.1
redundancy
local priority 100
peer address ipv4 202.100.1.2
!
interface Loopback0
ip address 172.16.100.1 255.255.255.0
ip ospf network point-to-point
!
router ospf 1
network 172.16.100.0 0.0.0.255 area 0
network 202.100.1.0 0.0.0.255 area 0
!
ip pim rp-address 202.100.1.2
!
ip access-list extended GETVPN-Traffic
permit ip 172.16.0.0 0.0.255.255 172.16.0.0 0.0.255.255
ip access-list extended GETVPN_VRF_Traffic
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access-list extended Multicast
permit udp host 202.100.1.1 eq 848 host 239.0.1.2 eq 848
!
End
===============================================================================================================
hostname KS-2
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key qytangccies address 202.100.2.1
crypto isakmp key qytangccies address 202.100.2.2
crypto isakmp key qytangccies address 202.100.1.1
!
crypto ipsec transform-set cisco esp-3des esp-md5-hmac
mode tunnel
!
crypto ipsec profile ipsecprof
set transform-set cisco
!
crypto gdoi group mygroup
identity number 66666
server local
rekey algorithm aes 256
rekey address ipv4 Multicast
rekey retransmit 10 number 2
rekey authentication mypubkey rsa GETVPN-KEY
sa ipsec 1
profile ipsecprof
match address ipv4 GETVPN-Traffic
replay time window-size 3
address ipv4 202.100.1.2
redundancy
local priority 75
peer address ipv4 202.100.1.1
!
crypto gdoi group VRF_Group
identity number 88888
server local
rekey retransmit 10 number 2
rekey authentication mypubkey rsa GETVPN-KEY
rekey transport unicast
sa ipsec 1
! Incomplete
! Match address is not configured
profile ipsecprof
match address ipv4 GETVPN_VRF_Traffic
replay time window-size 3
address ipv4 202.100.1.2
redundancy
local priority 100
peer address ipv4 202.100.1.1
!
crypto gdoi group GM_Group
identity number 99999
server local
rekey retransmit 10 number 2
rekey authentication mypubkey rsa GETVPN-KEY
rekey transport unicast
sa ipsec 1
profile ipsecprof
match address ipv4 GETVPN-Traffic
replay time window-size 3
address ipv4 202.100.1.2
redundancy
local priority 75
peer address ipv4 202.100.1.1
!
interface FastEthernet0/0
ip address 202.100.1.2 255.255.255.0
ip pim sparse-mode
duplex full
!
router ospf 1
network 202.100.1.0 0.0.0.255 area 0
!
ip access-list extended GETVPN-Traffic
permit ip 172.16.0.0 0.0.255.255 172.16.0.0 0.0.255.255
ip access-list extended Multicast
permit udp host 202.100.1.2 eq 848 host 239.0.1.2 eq 848
!
end
===============================================================================================================
hostname GM-1
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key qytangccies address 202.100.1.1
crypto isakmp key qytangccies address 202.100.1.2
!
crypto gdoi group mygroup
identity number 99999
server address ipv4 202.100.1.1
server address ipv4 202.100.1.2
!
!
crypto map cisco 10 gdoi
set group mygroup
match address GM_ACL
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0
ip ospf network point-to-point
!
interface FastEthernet0/0
no ip address
duplex full
!
interface FastEthernet1/0
ip address 202.100.2.1 255.255.255.0
ip pim sparse-mode
duplex full
crypto map cisco
!
router ospf 1
network 172.16.1.0 0.0.0.255 area 0
network 202.100.2.0 0.0.0.255 area 0
!
ip access-list extended GM_ACL
deny ip 172.16.1.0 0.0.0.255 172.16.100.0 0.0.0.255
!
end
===============================================================================================================
hostname GM-2
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key qytangccies address 202.100.1.1
crypto isakmp key qytangccies address 202.100.1.2
!
crypto gdoi group mygroup
identity number 99999
server address ipv4 202.100.1.1
server address ipv4 202.100.1.2
!
crypto map cisco 10 gdoi
set group mygroup
!
interface Loopback0
ip address 172.16.2.1 255.255.255.0
ip ospf network point-to-point
!
interface FastEthernet1/0
ip address 202.100.2.2 255.255.255.0
ip pim sparse-mode
duplex full
crypto map cisco
!
router ospf 1
network 172.16.2.0 0.0.0.255 area 0
network 202.100.2.0 0.0.0.255 area 0
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip pim rp-address 202.100.1.2
!
End
===============================================================================================================
hostname VRF-GM-1
!
ip vrf MGMT
rd 10:10
!
ip vrf Site-1
rd 11:11
!
ip vrf Site-2
rd 22:22
!
key chain ccie
key 1
key-string cisco
!
crypto keyring getvpn vrf MGMT
pre-shared-key address 202.100.1.1 key qytangccies
pre-shared-key address 202.100.1.2 key qytangccies
!
crypto isakmp policy 10
authentication pre-share
!
crypto gdoi group VRF_Group
identity number 88888
server address ipv4 202.100.1.1
server address ipv4 202.100.2.2
client registration interface FastEthernet0/0.10
!
crypto map cisco 10 gdoi
set group VRF_Group
interface Loopback100
ip vrf forwarding Site-1
ip address 192.168.1.1 255.255.255.0
!
interface Loopback200
ip vrf forwarding Site-2
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip vrf forwarding MGMT
ip address 202.100.3.1 255.255.255.0
!
interface FastEthernet0/0.11
encapsulation dot1Q 11
ip vrf forwarding Site-1
ip address 10.1.1.1 255.255.255.0
ip authentication key-chain eigrp 11 ccie
crypto map cisco
!
interface FastEthernet0/0.22
encapsulation dot1Q 22
ip vrf forwarding Site-2
ip address 10.1.1.1 255.255.255.0
ip authentication mode eigrp 22 md5
ip authentication key-chain eigrp 22 ccie
crypto map cisco
!
router eigrp 22
!
router eigrp 1122
!
address-family ipv4 vrf Site-1 autonomous-system 11
network 10.1.1.0 0.0.0.255
network 192.168.1.0
exit-address-family
!
address-family ipv4 vrf Site-2 autonomous-system 22
network 10.1.1.0 0.0.0.255
network 192.168.1.0
exit-address-family
!
ip route vrf MGMT 202.100.1.0 255.255.255.0 202.100.3.10
!
end
===============================================================================================================
hostname VRF-GM-2
!
ip vrf MGMT
rd 10:10
!
ip vrf Site-1
rd 11:11
!
ip vrf Site-2
rd 22:22
!
!
key chain ccie
key 1
key-string cisco
!
crypto keyring getvpn vrf MGMT
pre-shared-key address 202.100.1.1 key qytangccies
pre-shared-key address 202.100.1.2 key qytangccies
!
crypto isakmp policy 10
authentication pre-share
!
crypto gdoi group VRF_Group
identity number 88888
server address ipv4 202.100.1.1
server address ipv4 202.100.2.2
client registration interface FastEthernet0/0.10
!
crypto map cisco 10 gdoi
set group VRF_Group
!
interface Loopback100
ip vrf forwarding Site-1
ip address 192.168.2.1 255.255.255.0
!
interface Loopback200
ip vrf forwarding Site-2
ip address 192.168.2.1 255.255.255.0
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip vrf forwarding MGMT
ip address 202.100.3.2 255.255.255.0
!
interface FastEthernet0/0.11
encapsulation dot1Q 11
ip vrf forwarding Site-1
ip address 10.1.1.2 255.255.255.0
ip authentication key-chain eigrp 11 ccie
crypto map cisco
!
interface FastEthernet0/0.22
encapsulation dot1Q 22
ip vrf forwarding Site-2
ip address 10.1.1.2 255.255.255.0
ip authentication mode eigrp 22 md5
ip authentication key-chain eigrp 22 ccie
crypto map cisco
!
router eigrp 1122
!
address-family ipv4 vrf Site-1 autonomous-system 11
network 10.1.1.0 0.0.0.255
network 192.168.2.0
exit-address-family
!
address-family ipv4 vrf Site-2 autonomous-system 22
network 10.1.1.0 0.0.0.255
network 192.168.2.0
exit-address-family
!
ip forward-protocol nd
!
ip route vrf MGMT 202.100.1.0 255.255.255.0 202.100.3.10
!
end
===============================================================================================================
ASA
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 202.100.1.10 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 202.100.2.10 255.255.255.0
!
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 202.100.3.10 255.255.255.0
!
access-list out extended permit icmp any any
access-list out extended permit udp any any eq 848
access-list dmz extended permit icmp any any
access-list dmz extended permit udp any any eq 848
access-group out in interface outside
access-group dmz in interface dmz
router ospf 1
network 202.100.1.0 255.255.255.0 area 0
network 202.100.2.0 255.255.255.0 area 0
network 202.100.3.0 255.255.255.0 area 0
验证
版权声明:本文标题:Cisco GETVPN 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1728577119a1164606.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论