【正文】 P P 運(yùn)營商網(wǎng)絡(luò) 用戶網(wǎng)絡(luò) 用戶網(wǎng)絡(luò) CE (Custom Edge Router)， 用戶邊緣路由器 ，直接與運(yùn)營商網(wǎng)絡(luò)相連 PE (Provider Edge Router)， 運(yùn)營商邊緣路由器 ，與 CE相連，主要負(fù)責(zé) VPN業(yè)務(wù)的接入。 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： 使用 SPI可以標(biāo)識路由器與不同對象之間的連接 。 IKE協(xié)商就是要在通信雙方之間找到相同的 policy。 ? 啟動 IKE (Inter key exchange)階段 1，對通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：可以改端口號了，太棒了 新 UDP頭 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 對上一節(jié)的回顧 ? IPSec協(xié)議框架包括加密、 hash、對稱密鑰交換、安全協(xié)議等四個(gè)部分，這些部分都可以采用多種算法來實(shí)現(xiàn)。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) 新 IP頭 AH hash IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 AH頭 新 IP頭 IPSec與 NAT ? AH模式無法與 NAT一起運(yùn)行 AH對包括 IP地址在內(nèi)的整個(gè) IP包進(jìn)行 hash運(yùn)算，而 NAT會改變 IP地址，從而破壞 AH的 hash值。 ? 用公鑰加密過的數(shù)據(jù)只有對應(yīng)的私鑰才能解開，反之亦然。 ? 通過把數(shù)據(jù)和密鑰一起進(jìn)行 hash運(yùn)算，可以有效抵御上述攻擊。 原始數(shù)據(jù)包 新增加的 IP頭 L2TP頭 可以是 IP、 IPX和 AppleTalk PPP封裝 原始數(shù)據(jù)包 PPP頭 L2TP封裝 原始數(shù)據(jù)包 PPP頭 可以是 IP、 ATM和幀中繼 ? L2TP沒有對數(shù)據(jù)進(jìn)行加密。基于 CISCO路由器的 IPSEC VPN和 BGP/MPLS VPN 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 VPN背景 總公司 租用專線 我們有很多分公司，如果用 租用專線 的方式把他們和總公司連起來，需要花很多錢 想節(jié)約成本的話，可以用VPN來連接 分公司 分公司 分公司 VPN簡介 IP VPN (Virtual Private Network，虛擬專用網(wǎng) )就是利用開放的公眾 IP/MPLS網(wǎng)絡(luò)建立 專用數(shù)據(jù)傳輸通道 ，將遠(yuǎn)程的分支機(jī)構(gòu)、移動辦公人員等連接起來。 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 乘客協(xié)議 隧道協(xié) 議 承載協(xié) 議 原始 IP包 經(jīng)過 IPSec封裝后 隧道帶來的好處 ? 隧道保證了 VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用地址無關(guān) Inter 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 私網(wǎng)地址 公網(wǎng)地址 中心站點(diǎn) 分支機(jī)構(gòu) Inter根據(jù)這個(gè)地址路由 可以使用私網(wǎng)地址，感覺雙方是用專用通道連接起來的，而不是 Inter 隧道 按隧道類型對 VPN分類 ? 隧道協(xié)議如下： ? 第二層隧道協(xié)議，如 L2TP ? 第三層隧道協(xié)議，如 IPSec ? 介于第二層和第三層之間的隧道協(xié)議，如 MPLS VPN L2TP ? L2TP封裝的乘客協(xié)議是位于第二層的PPP協(xié)議。 ? IPSec只能工作在 IP層，要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 通過加密保證數(shù)據(jù)的私密性 ? 私密性：防止信息泄漏給未經(jīng)授權(quán)的個(gè)人 ? 通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性 Inter 4ehIDx67NMop9eR U78IOPotVBn45TR 土豆批發(fā)價(jià)兩塊錢一斤 實(shí)在是 看不懂 加密 4ehIDx67NMop9eR U78IOPotVBn45TR 解密 土豆批發(fā)價(jià)兩塊錢一斤 對稱加密 ? 如果加密密鑰與解密密鑰相同，就稱為 對稱加密 ? 由于對稱加密的運(yùn)算速度快，所以 IPSec使用對稱加密 算法來加密數(shù)據(jù) 對數(shù)據(jù)進(jìn)行 hash運(yùn)算來保證完整性 ? 完整性：數(shù)據(jù)沒有被非法篡改 ? 通過對數(shù)據(jù)進(jìn)行 hash運(yùn)算， 產(chǎn)生類似于指紋的數(shù)據(jù)摘要 ，以保證數(shù)據(jù)的完整性 土豆兩塊錢一斤 Hash 4ehIDx67NMop9 土豆兩塊錢一斤 4ehIDx67NMop9 土豆三塊錢一斤 4ehIDx67NMop9 我偷改數(shù)據(jù) Hash 2fwex67N32rfee3 兩者不一致代表 數(shù)據(jù)已被篡改 對數(shù)據(jù)和密鑰一起進(jìn)行 hash運(yùn)算 ? 攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。 Hash_L + 路由器名等 本地 Hash 共享 密鑰 遠(yuǎn)端 生成的 Hash_L Hash = + 對端路由器名 Inter 共享 密鑰 接收到的 Hash_L 數(shù)字證書 ? RSA密鑰對，一個(gè)是可以向大家公開的公鑰，另一個(gè)是只有自己知道的私鑰。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) AH頭 AH hash AH對除了 TTL等變化值以外的整個(gè) IP包進(jìn)行 hash運(yùn)算 IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 隧道模式： 增加新的 IP頭 ，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：端口號被加密了，沒法改，真郁悶 IPSec與 NAT ? ESP模式下： 啟用 IPSec NAT穿越后，會在 ESP頭前增加一個(gè) UDP頭，就可以進(jìn)行端口映射。 端到端 IPSec VPN的工作原理 ? 需要保護(hù)的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。 Host A Host B Router A Router B 什么是端到端的 VPN？ IKE階段 1 Host A Host B Router A Router B IKE 階段 1 協(xié)商建立 IKE安全 通道所使用的參數(shù) 協(xié)商建立 IKE安全 通道所使用的參數(shù) IKE階段 1 ? 協(xié)商 建立 IKE安全通道 所使用的參數(shù)，包括： 加密算法 Hash算法 DH算法 身份認(rèn)證方法 存活時(shí)間 IKE階段 1 Policy 10 DES MD5 DH1 Preshare lifetime Policy 15 DES MD5 DH1 Preshare lifetime Router A Router B host A host B Policy 20 3DES SHA DH1 Preshare lifetime Policy 25 3DES SHA DH2 Preshare lifetime 雙方找到相同的策略集 上述 IKE參數(shù)組合成集合，稱為 IKE policy。 一個(gè) SA只記錄單向的參數(shù)，所以一個(gè) IPSec連接會有兩個(gè) IPSec SA。 確認(rèn) AH流量 (IP協(xié)議號為 50)、 ESP流量 (IP協(xié)議號為 51)和 ISAKMP流量 (UDP的端口500)不會被 ACL所阻塞。 VPN_A VPN_A VPN_B VPN_B IPSec VPN tunnel VPN_A BGP/MPLS VPN要達(dá)到的目標(biāo) CE CE CE CE PE PE P P 隧道在 PE與 PE之間建立，用戶不需要自己維護(hù) VPN 把 VPN隧道的部署及路由發(fā)布變?yōu)閯討B(tài)實(shí)現(xiàn) VPN_A VPN_A VPN_B VPN_B VPN tunnel 要解決的主要問題 CE CE CE CE PE PE P P 提供一種 動態(tài)建立的隧道 技術(shù) 解決不同 VPN共享 相同地址空間 的問題 VPN_A VPN_A VPN_B VPN_B MPLS BGP VPN tunnel 動態(tài)隧道 MPLS MPLS與動態(tài)隧道 ? MPLS（ MultiProtocol label Switch，多協(xié)議標(biāo)簽交換）是 根據(jù)標(biāo)簽對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā) ，因此在三層數(shù)據(jù)包中可以使用私有地址，從而形成了一種天然的隧道。 8個(gè) Bit的 TTL 2層頭部 MPLS頭部 IP頭部 數(shù)據(jù) 標(biāo)簽 EXP S TTL 32Bit 0 20 23 24 32 MPLS標(biāo)簽的生成 1 R1 R2 R3 R4 路由器 發(fā)現(xiàn)有直連路由時(shí) 就會向外發(fā)送標(biāo)簽 Label 20 In 20 MPLS標(biāo)簽的生成 2 R1 R2 R3 R4 路由器發(fā)現(xiàn)自己有直連路由時(shí)就會向外發(fā)送標(biāo)簽 收到下游 到某條路由的標(biāo)簽 并且該路由生效（也就是說，在本地已經(jīng)存在該條路由，并且路由的下一跳和標(biāo)簽的下一跳相同）時(shí)會發(fā)送標(biāo)簽。 問題：路由器怎么知道自己是倒數(shù)第二跳？ MPLS的優(yōu)化 2 R1 R2 R3 R4 1 30 2 30 3 4 5 最后一跳路由器向倒數(shù)第二跳分配一個(gè)特殊的標(biāo)簽 3。 VPN_A VPN_A VPN_B VPN_B 解決本地路由沖突的思路 CE CE PE ? 在 PE上同時(shí)維護(hù)多張相互獨(dú)立路由表 一張全局路由表（公網(wǎng)路由表） 為每個(gè) VPN建立一個(gè)路由表 ? 由于每個(gè) VPN使用自己獨(dú)立的路由表，因此可以有效地解決本地路由沖突。 VPN_A VPN_A VPN_B VPN_B BGP連接 BGP報(bào)文的種類 ? Open: 用于建立 BGP鄰居關(guān)系，是 BGP路由器之間的初始握手信息 ? Keepalive: 定期檢測 BGP鄰居是否存活 ? Update: 發(fā)送路由更新信息 ? Notification: 檢測到差錯(cuò)時(shí)發(fā)送該報(bào)文 Update報(bào)文的格式 不可達(dá)路由長度 (2byte) 不可達(dá)路由 withdrawn routes(變長 ) 路由屬性長度 (2byte) 路由屬性 (變長 ) 可達(dá)路由信息 NLRI (變長 ) 不可達(dá)路由中不攜帶路由屬性，可達(dá)路由同時(shí)攜帶路由屬性 一個(gè) update報(bào)文中可以攜帶多條不可達(dá)路由信息，可攜帶多條具有相同路由屬性的可達(dá)路由信息 常見的路由屬性 ? Origin ? Aspath ? Nexthop ? Community: 團(tuán)體屬性，可用來對入路由和出路由進(jìn)行過濾。所以在收到 來自不同 vpn、具有相同網(wǎng)段的不可達(dá)路由信息時(shí) ，路由器將無法根據(jù) RT來分辨。 ? 在 IPv4地址前加上 RD之后，就稱為 VPNIPv4地址族 。 ? PE與 CE之間傳遞的是 IPv4路由 ， PE與 PE之間傳遞的是 VPNIPv4路由 。 ? 要求路由信息中包含私網(wǎng) MPLS標(biāo)簽。 ? 通過本 VRF的路由協(xié)議引入上述路由并轉(zhuǎn)發(fā)給相應(yīng)的 CE。 P router In Label FEC Out Label PE1 CE1 CE2 VPNA VRF , NH= Label=(28) 28 41 入口 PE出口 PE CE ? 該報(bào)文在公網(wǎng)上沿著 LSP轉(zhuǎn)發(fā)，并根據(jù)途徑的每一臺設(shè)備的標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行標(biāo)簽交換。 P router PE1