【正文】 基于 CISCO路由器的 IPSEC VPN和 BGP/MPLS VPN 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 VPN背景 總公司 租用專線 我們有很多分公司，如果用 租用專線 的方式把他們和總公司連起來，需要花很多錢 想節(jié)約成本的話，可以用VPN來連接 分公司 分公司 分公司 VPN簡介 IP VPN (Virtual Private Network，虛擬專用網(wǎng) )就是利用開放的公眾 IP/MPLS網(wǎng)絡(luò)建立 專用數(shù)據(jù)傳輸通道 ，將遠(yuǎn)程的分支機構(gòu)、移動辦公人員等連接起來。 IP/MPLS網(wǎng) 中心站點 分支機構(gòu) 移動辦公人員 隧道機制 ? IP VPN可以理解為：通過隧道技術(shù)在公眾 IP/MPLS網(wǎng)絡(luò)上仿真一條點到點的專線 。 ? 隧道是利用一種協(xié)議來傳輸另外一種協(xié)議的技術(shù)，共涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議 。 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 乘客協(xié)議 隧道協(xié) 議 承載協(xié) 議 原始 IP包 經(jīng)過 IPSec封裝后 隧道帶來的好處 ? 隧道保證了 VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用地址無關(guān) Inter 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 私網(wǎng)地址 公網(wǎng)地址 中心站點 分支機構(gòu) Inter根據(jù)這個地址路由 可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來的，而不是 Inter 隧道 按隧道類型對 VPN分類 ? 隧道協(xié)議如下： ? 第二層隧道協(xié)議，如 L2TP ? 第三層隧道協(xié)議，如 IPSec ? 介于第二層和第三層之間的隧道協(xié)議，如 MPLS VPN L2TP ? L2TP封裝的乘客協(xié)議是位于第二層的PPP協(xié)議。 原始數(shù)據(jù)包 新增加的 IP頭 L2TP頭 可以是 IP、 IPX和 AppleTalk PPP封裝 原始數(shù)據(jù)包 PPP頭 L2TP封裝 原始數(shù)據(jù)包 PPP頭 可以是 IP、 ATM和幀中繼 ? L2TP沒有對數(shù)據(jù)進(jìn)行加密。 L2TP的典型應(yīng)用 VPDN L2TP連接 PPP連接 用戶發(fā)起 PPP連接到接入服務(wù)器 接入服務(wù)器封裝用戶的 PPP會話到 L2TP隧道， L2TP隧道穿過公共 IP網(wǎng)絡(luò)，終止于電信 VPDN機房的 LNS 用戶的 PPP session經(jīng)企業(yè)內(nèi)部的認(rèn)證服務(wù)器認(rèn)證通過后即可訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源 IPSec ? IPSec只能工作在 IP層，要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 ? IPSec可以對被封裝的數(shù)據(jù)包進(jìn)行加密和摘要等，以進(jìn)一步提高數(shù)據(jù)傳輸?shù)陌踩? MPLS VPN的基本工作模式 ? 在入口邊緣路由器為每個包加上 MPLS標(biāo)簽，核心路由器根據(jù)標(biāo)簽值進(jìn)行轉(zhuǎn)發(fā)，出口邊緣路由器再去掉標(biāo)簽，恢復(fù)原來的 IP包 。 MPLS網(wǎng) P1 P2 PE1 PE2 CE1 CE2 MPLS標(biāo)簽 MPLS VPN的特點 ? MPLS標(biāo)簽位于二層和三層之間 三層包頭 MPLS 標(biāo)簽 二層包頭 二層包頭 三層包頭 MPLS封裝 三種 VPN的比較 L2TP IPSec MPLS VPN 隧道協(xié)議類型 第二層 第三層 第二層和第三層之間 是否支持?jǐn)?shù)據(jù)加密 不支持 支持 不支持 對設(shè)備的要求 只要求邊緣設(shè)備支持 L2TP 只要求邊緣設(shè)備支持 IPSec 要求邊緣設(shè)備和核心設(shè)備都支持MPLS 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 IPSec概述 IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在 IP 層 通過加密和數(shù)據(jù)摘要 (hash)等手段，來保證數(shù)據(jù)包在 Inter 網(wǎng)上傳輸時的 私密性(confidentiality) 、 完整性 (data integrity)和 真實性(origin authentication)。 ? IPSec只能工作在 IP層，要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 通過加密保證數(shù)據(jù)的私密性 ? 私密性：防止信息泄漏給未經(jīng)授權(quán)的個人 ? 通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性 Inter 4ehIDx67NMop9eR U78IOPotVBn45TR 土豆批發(fā)價兩塊錢一斤 實在是 看不懂 加密 4ehIDx67NMop9eR U78IOPotVBn45TR 解密 土豆批發(fā)價兩塊錢一斤 對稱加密 ? 如果加密密鑰與解密密鑰相同，就稱為 對稱加密 ? 由于對稱加密的運算速度快，所以 IPSec使用對稱加密 算法來加密數(shù)據(jù) 對數(shù)據(jù)進(jìn)行 hash運算來保證完整性 ? 完整性：數(shù)據(jù)沒有被非法篡改 ? 通過對數(shù)據(jù)進(jìn)行 hash運算， 產(chǎn)生類似于指紋的數(shù)據(jù)摘要 ，以保證數(shù)據(jù)的完整性 土豆兩塊錢一斤 Hash 4ehIDx67NMop9 土豆兩塊錢一斤 4ehIDx67NMop9 土豆三塊錢一斤 4ehIDx67NMop9 我偷改數(shù)據(jù) Hash 2fwex67N32rfee3 兩者不一致代表 數(shù)據(jù)已被篡改 對數(shù)據(jù)和密鑰一起進(jìn)行 hash運算 ? 攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。 ? 通過把數(shù)據(jù)和密鑰一起進(jìn)行 hash運算，可以有效抵御上述攻擊。 土豆兩塊錢一斤 Hash fefe23fgrNMop7 土豆兩塊錢一斤 fefe23fgrNMop7 土豆三塊錢一斤 2fwex67N32rfee3 我同時改數(shù)據(jù)和摘要 兩者還是不一致 Hash fergergr23frewfgh 對稱密鑰交換 ? 對稱加密和 hash都 要求通信雙方具有相同的密鑰 問題：怎樣在雙方之間安全地傳遞密鑰？ 密鑰 哈哈，要是敢直接傳遞密鑰，我就只好偷看了 密鑰 DH算法的基本原理 Router A Router B 生成一個整數(shù) p 生成一個整數(shù) q 把 p發(fā)送到對端 p 把 q發(fā)送到對端 q 根據(jù) p、 q生成 g 根據(jù) p、 q生成 g 生成密鑰 Xa 生成密鑰 Xb 把 Ya=g^ Xa發(fā)送 到對端 把 Yb=g^ Xb發(fā)送 到對端 Ya Yb Key=Yb^Xa =g^(Xb*Xa) Key=Ya^Xb =g^(Xa*Xb) 最后得到的對稱密鑰 雙方?jīng)]有直接傳遞密鑰 通過身份認(rèn)證保證數(shù)據(jù)的真實性 ? 真實性：數(shù)據(jù)確實是由特定的對端發(fā)出 ? 通過身份認(rèn)證可以保證數(shù)據(jù)的真實性。常用的 身份認(rèn)證方式 包括： Preshared key，預(yù)共享密鑰 RSA Signature，數(shù)字簽名 預(yù)共享密鑰 ? 預(yù)共享密鑰，是指通信雙方在配置時手工輸入相同的密鑰。 Hash_L + 路由器名等 本地 Hash 共享 密鑰 遠(yuǎn)端 生成的 Hash_L Hash = + 對端路由器名 Inter 共享 密鑰 接收到的 Hash_L 數(shù)字證書 ? RSA密鑰對，一個是可以向大家公開的公鑰，另一個是只有自己知道的私鑰。 ? 用公鑰加密過的數(shù)據(jù)只有對應(yīng)的私鑰才能解開，反之亦然。 ? 數(shù)字證書中存儲了公鑰，以及用戶名等身份信息。 數(shù)字 證書 我是 Router A，我的公鑰是 ……. 數(shù)字簽名認(rèn)證 + ID Information 加密 Hash_I 解密 Hash_I 私鑰 公鑰 本地 遠(yuǎn)端 Hash = + 身份信息 Hash 對稱 密鑰 數(shù)字簽名 + 身份信息 Hash 1 2 數(shù)字 證書 + Inter 對稱 密鑰 數(shù)字簽名 數(shù)字 證書 IPSec框架結(jié)構(gòu) ESP AH DES 3DES AES MD5 SHA DH1 DH2 IPSec框架 可選擇的算法 IPSec安全協(xié)議 加密 數(shù)據(jù)摘要 對稱密鑰交換 IPSec安全協(xié)議 ? AH (Authentication Header) 只能進(jìn)行數(shù)據(jù)摘要 (hash) ，不能實現(xiàn)數(shù)據(jù)加密 ahmd5hmac、 ahshahmac ? ESP (Encapsulating Security Payload) 能夠進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)摘要 (hash) espdes、 esp3des、 espmd5hmac、 espshahmac、 IPSec安全協(xié)議描述了如何利用加密和 hash來保護數(shù)據(jù)安全 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 傳輸模式： 不改變原有的 IP包頭 ，通常用于主機與主機之間。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) AH頭 AH hash AH對除了 TTL等變化值以外的整個 IP包進(jìn)行 hash運算 IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 隧道模式： 增加新的 IP頭 ，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) 新 IP頭 AH hash IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 AH頭 新 IP頭 IPSec與 NAT ? AH模式無法與 NAT一起運行 AH對包括 IP地址在內(nèi)的整個 IP包進(jìn)行 hash運算，而 NAT會改變 IP地址，從而破壞 AH的 hash值。 IP頭 數(shù)據(jù) AH頭 hash NAT：我要修改源 /目的 IP地址 AH：不行！我對 IP地址也進(jìn)行了 hash IPSec與 NAT ? ESP模式下： 只進(jìn)行地址映射時， ESP可與它一起工作。 進(jìn)行端口映射時，需要修改端口，而 ESP已經(jīng)對端口號進(jìn)行了加密和 /或 hash，所以將無法進(jìn)行。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：端口號被加密了，沒法改，真郁悶 IPSec與 NAT ? ESP模式下： 啟用 IPSec NAT穿越后，會在 ESP頭前增加一個 UDP頭，就可以進(jìn)行端口映射。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：可以改端口號了，太棒了 新 UDP頭 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 對上一節(jié)的回顧 ? IPSec協(xié)議框架包括加密、 hash、對稱密鑰交換、安全協(xié)議等四個部分，這些部分都可以采用多種算法來實現(xiàn)。 問題 1：要成功建立 IPSec VPN，兩端路由器必須采用相同 的加密算法、 hash算法和安全協(xié)議等，但 IPSec協(xié)議中并沒有描述雙方應(yīng)如何協(xié)商這些參數(shù) 。 問題 2： IPSec協(xié)議中沒有定義通信雙方如何進(jìn)行身份認(rèn)證，路由器有可能會和一個假冒的對端建立 IPSec VPN。 端到端 IPSec VPN的工作原理 ? 需要保護的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。 ? 啟動 IKE (Inter key exchange)階段 1，對通信雙方進(jìn)行身份