【正文】 MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 對上一節(jié)的回顧 ? IPSec協(xié)議框架包括加密、 hash、對稱密鑰交換、安全協(xié)議等四個部分，這些部分都可以采用多種算法來實現(xiàn)。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) 新 IP頭 AH hash IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 AH頭 新 IP頭 IPSec與 NAT ? AH模式無法與 NAT一起運行 AH對包括 IP地址在內(nèi)的整個 IP包進(jìn)行 hash運算，而 NAT會改變 IP地址，從而破壞 AH的 hash值。 ? 用公鑰加密過的數(shù)據(jù)只有對應(yīng)的私鑰才能解開，反之亦然。 ? 通過把數(shù)據(jù)和密鑰一起進(jìn)行 hash運算，可以有效抵御上述攻擊。 原始數(shù)據(jù)包 新增加的 IP頭 L2TP頭 可以是 IP、 IPX和 AppleTalk PPP封裝 原始數(shù)據(jù)包 PPP頭 L2TP封裝 原始數(shù)據(jù)包 PPP頭 可以是 IP、 ATM和幀中繼 ? L2TP沒有對數(shù)據(jù)進(jìn)行加密?；?CISCO路由器的 IPSEC VPN和 BGP/MPLS VPN 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 VPN背景 總公司 租用專線 我們有很多分公司，如果用 租用專線 的方式把他們和總公司連起來，需要花很多錢 想節(jié)約成本的話，可以用VPN來連接 分公司 分公司 分公司 VPN簡介 IP VPN (Virtual Private Network，虛擬專用網(wǎng) )就是利用開放的公眾 IP/MPLS網(wǎng)絡(luò)建立 專用數(shù)據(jù)傳輸通道 ，將遠(yuǎn)程的分支機構(gòu)、移動辦公人員等連接起來。 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 乘客協(xié)議 隧道協(xié) 議 承載協(xié) 議 原始 IP包 經(jīng)過 IPSec封裝后 隧道帶來的好處 ? 隧道保證了 VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用地址無關(guān) Inter 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 私網(wǎng)地址 公網(wǎng)地址 中心站點 分支機構(gòu) Inter根據(jù)這個地址路由 可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來的，而不是 Inter 隧道 按隧道類型對 VPN分類 ? 隧道協(xié)議如下： ? 第二層隧道協(xié)議，如 L2TP ? 第三層隧道協(xié)議，如 IPSec ? 介于第二層和第三層之間的隧道協(xié)議，如 MPLS VPN L2TP ? L2TP封裝的乘客協(xié)議是位于第二層的PPP協(xié)議。 ? IPSec只能工作在 IP層，要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 通過加密保證數(shù)據(jù)的私密性 ? 私密性：防止信息泄漏給未經(jīng)授權(quán)的個人 ? 通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性 Inter 4ehIDx67NMop9eR U78IOPotVBn45TR 土豆批發(fā)價兩塊錢一斤 實在是 看不懂 加密 4ehIDx67NMop9eR U78IOPotVBn45TR 解密 土豆批發(fā)價兩塊錢一斤 對稱加密 ? 如果加密密鑰與解密密鑰相同，就稱為 對稱加密 ? 由于對稱加密的運算速度快，所以 IPSec使用對稱加密 算法來加密數(shù)據(jù) 對數(shù)據(jù)進(jìn)行 hash運算來保證完整性 ? 完整性：數(shù)據(jù)沒有被非法篡改 ? 通過對數(shù)據(jù)進(jìn)行 hash運算， 產(chǎn)生類似于指紋的數(shù)據(jù)摘要 ，以保證數(shù)據(jù)的完整性 土豆兩塊錢一斤 Hash 4ehIDx67NMop9 土豆兩塊錢一斤 4ehIDx67NMop9 土豆三塊錢一斤 4ehIDx67NMop9 我偷改數(shù)據(jù) Hash 2fwex67N32rfee3 兩者不一致代表 數(shù)據(jù)已被篡改 對數(shù)據(jù)和密鑰一起進(jìn)行 hash運算 ? 攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。 Hash_L + 路由器名等 本地 Hash 共享 密鑰 遠(yuǎn)端 生成的 Hash_L Hash = + 對端路由器名 Inter 共享 密鑰 接收到的 Hash_L 數(shù)字證書 ? RSA密鑰對，一個是可以向大家公開的公鑰，另一個是只有自己知道的私鑰。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) AH頭 AH hash AH對除了 TTL等變化值以外的整個 IP包進(jìn)行 hash運算 IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 隧道模式： 增加新的 IP頭 ，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：端口號被加密了，沒法改，真郁悶 IPSec與 NAT ? ESP模式下： 啟用 IPSec NAT穿越后，會在 ESP頭前增加一個 UDP頭，就可以進(jìn)行端口映射。 端到端 IPSec VPN的工作原理 ? 需要保護(hù)的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。 Host A Host B Router A Router B 什么是端到端的 VPN？ IKE階段 1 Host A Host B Router A Router B IKE 階段 1 協(xié)商建立 IKE安全 通道所使用的參數(shù) 協(xié)商建立 IKE安全 通道所使用的參數(shù) IKE階段 1 ? 協(xié)商 建立 IKE安全通道 所使用的參數(shù)，包括： 加密算法 Hash算法 DH算法 身份認(rèn)證方法 存活時間 IKE階段 1 Policy 10 DES MD5 DH1 Preshare lifetime Policy 15 DES MD5 DH1 Preshare lifetime Router A Router B host A host B Policy 20 3DES SHA DH1 Preshare lifetime Policy 25 3DES SHA DH2 Preshare lifetime 雙方找到相同的策略集 上述 IKE參數(shù)組合成集合，稱為 IKE policy。 一個 SA只記錄單向的參數(shù)，所以一個 IPSec連接會有兩個 IPSec SA。 確認(rèn) AH流量 (IP協(xié)議號為 50)、 ESP流量 (IP協(xié)議號為 51)和 ISAKMP流量 (UDP的端口500)不會被 ACL所阻塞。 VPN_A VPN_A VPN_B VPN_B IPSec VPN tunnel VPN_A BGP/MPLS VPN要達(dá)到的目標(biāo) CE CE CE CE PE PE P P 隧道在 PE與 PE之間建立，用戶不需要自己維護(hù) VPN 把 VPN隧道的部署及路由發(fā)布變?yōu)閯討B(tài)實現(xiàn) VPN_A VPN_A VPN_B VPN_B VPN tunnel 要解決的主要問題 CE CE CE CE PE PE P P 提供一種 動態(tài)建立的隧道 技術(shù) 解決不同 VPN共享 相同地址空間 的問題 VPN_A VPN_A VPN_B VPN_B MPLS BGP VPN tunnel 動態(tài)隧道 MPLS MPLS與動態(tài)隧道 ? MPLS（ MultiProtocol label Switch，多協(xié)議標(biāo)簽交換）是 根據(jù)標(biāo)簽對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā) ，因此在三層數(shù)據(jù)包中可以使用私有地址，從而形成了一種天然的隧道。 8個 Bit的 TTL 2層頭部 MPLS頭部 IP頭部 數(shù)據(jù) 標(biāo)簽 EXP S TTL 32Bit 0 20 23 24 32 MPLS標(biāo)簽的生成 1 R1 R2 R3 R4 路由器 發(fā)現(xiàn)有直連路由時 就會向外發(fā)送標(biāo)簽 Label 20 In 20 MPLS標(biāo)簽的生成 2 R1 R2 R3 R4 路由器發(fā)現(xiàn)自己有直連路由時就會向外發(fā)送標(biāo)簽 收到下游 到某條路由的標(biāo)簽 并且該路由生效（也就是說，在本地已經(jīng)存在該條路由，并且路由的下一跳和標(biāo)簽的下一跳相同）時會發(fā)送標(biāo)簽。 問題：路由器怎么知道自己是倒數(shù)第二跳？ MPLS的優(yōu)化 2 R1 R2 R3 R4 1 30 2 30 3 4 5 最后一跳路由器向倒數(shù)第二跳分配一個特殊的標(biāo)簽 3。 VPN_A VPN_A VPN_B VPN_B 解決本地路由沖突的思路 CE CE PE ? 在 PE上同時維護(hù)多張相互獨立路由表 一張全局路由表（公網(wǎng)路由表） 為每個 VPN建立一個路由表 ? 由于每個 VPN使用自己獨立的路由表，因此可以有效地解決本地路由沖突。 問題： VRF實現(xiàn)了不同 VPN之間路由的隔離 ，這并不夠，如何實現(xiàn) VRF之間的路由發(fā)布和交互呢？ RT（ Route target） PE2 PE1 Vrf1： export red import red Vrf2： export yellow import yellow Vrf3： export red import red Vrf4： export yellow import yellow VPNA VPNB ? RT的本質(zhì)是每個 VRF表達(dá)自己的路由取舍及喜好的方式 ，分為兩部分： export target，表示發(fā)出路由的屬性 import target，表示愿意接收什么路由 RT的靈活應(yīng)用 ? 每個 VRF中都可以配置多個 export target和import target屬性，接收時采用“ 或 ”操作，從而實現(xiàn)靈活的 VPN訪問控制 bai m : ae x : bi m : be x : ai m : ae x : aaim : ae x : acbi m : a , ce x : a , bi m : be x : ca傳統(tǒng)模式傳統(tǒng)模式h u b s p o k e 模式e x t r a n e t 模式? 總結(jié)： ? VRF作用： 問題：如何在 PE之間傳遞各 VRF中的路由以及相應(yīng)的 RT？ BGP的引入 解決辦法：使用 BGP路由協(xié)議 BGP簡介 AS100 AS200 AS300 BGP是外部路由協(xié)議，用在自治系統(tǒng) AS之間傳遞路由信息，屬于增強型的距離矢量路由協(xié)議。 Type（ 0x0002） AS（ 16bit） Value（ 32bit） Type（ 0x0102） IP address（ 32bit） Value（ 16bit） ? 可見 RT有兩種表示方法： AS:nn和ipaddress:nn。在 PE發(fā)布 VRF中的路由信息時，會在地址前面加上 RD，以便接收方 PE區(qū)分來自不同 VRF的路由信息。事實上分配RD只需遵循以下原則 : 保證存在 相同地址的兩個 VRF的 RD不同 。由于公網(wǎng)的隧道已經(jīng)由 MPLS來提供，而且 MPLS支持多層標(biāo)簽的嵌套，因此這個標(biāo)記可定義成 MPLS標(biāo)簽的格式。 使用了這兩種屬性的 BGP稱為 MPBGP Addressfamily:指明使用了 VPNIPV4地址族 Nexthop:路由的下一跳地址 Label:24bit，與 MPLS標(biāo)簽一樣，但沒有 TTL字段 Prefix:64bit的 RD＋ IP前綴 MP_REACH_NLRI的結(jié)構(gòu) BGP/MPLS VPN的關(guān)鍵流程 CE與 PE之間交換路由 CE CE PE ? PE 維護(hù)獨立的路由表，包括公網(wǎng)和 VRF路由表： 公網(wǎng)路由表：包含 全部 PE和 P 路由器之間的路由 ，由骨干網(wǎng)IGP產(chǎn)生 VRF路由表：包含 本 VPN內(nèi)的路由信息 。 PE在本 VRF的路由表中進(jìn)行查找，得到該路由的公網(wǎng)下一跳地址（即對端 PE的 Loopback地址）和私網(wǎng)