【正文】 P router In Label FEC Out Label PE1 CE1 CE2 VPNA VRF , NH= Label=(28) 28 41 入口 PE出口 PE CE ? 該報文在公網(wǎng)上沿著 LSP轉(zhuǎn)發(fā)，并根據(jù)途徑的每一臺設(shè)備的標簽轉(zhuǎn)發(fā)表進行標簽交換。 ? 要求路由信息中包含私網(wǎng) MPLS標簽。 ? 在 IPv4地址前加上 RD之后，就稱為 VPNIPv4地址族 。 VPN_A VPN_A VPN_B VPN_B BGP連接 BGP報文的種類 ? Open: 用于建立 BGP鄰居關(guān)系，是 BGP路由器之間的初始握手信息 ? Keepalive: 定期檢測 BGP鄰居是否存活 ? Update: 發(fā)送路由更新信息 ? Notification: 檢測到差錯時發(fā)送該報文 Update報文的格式 不可達路由長度 (2byte) 不可達路由 withdrawn routes(變長 ) 路由屬性長度 (2byte) 路由屬性 (變長 ) 可達路由信息 NLRI (變長 ) 不可達路由中不攜帶路由屬性，可達路由同時攜帶路由屬性 一個 update報文中可以攜帶多條不可達路由信息，可攜帶多條具有相同路由屬性的可達路由信息 常見的路由屬性 ? Origin ? Aspath ? Nexthop ? Community: 團體屬性，可用來對入路由和出路由進行過濾。 問題：路由器怎么知道自己是倒數(shù)第二跳？ MPLS的優(yōu)化 2 R1 R2 R3 R4 1 30 2 30 3 4 5 最后一跳路由器向倒數(shù)第二跳分配一個特殊的標簽 3。 VPN_A VPN_A VPN_B VPN_B IPSec VPN tunnel VPN_A BGP/MPLS VPN要達到的目標 CE CE CE CE PE PE P P 隧道在 PE與 PE之間建立，用戶不需要自己維護 VPN 把 VPN隧道的部署及路由發(fā)布變?yōu)閯討B(tài)實現(xiàn) VPN_A VPN_A VPN_B VPN_B VPN tunnel 要解決的主要問題 CE CE CE CE PE PE P P 提供一種 動態(tài)建立的隧道 技術(shù) 解決不同 VPN共享 相同地址空間 的問題 VPN_A VPN_A VPN_B VPN_B MPLS BGP VPN tunnel 動態(tài)隧道 MPLS MPLS與動態(tài)隧道 ? MPLS（ MultiProtocol label Switch，多協(xié)議標簽交換）是 根據(jù)標簽對數(shù)據(jù)包進行轉(zhuǎn)發(fā) ，因此在三層數(shù)據(jù)包中可以使用私有地址，從而形成了一種天然的隧道。 一個 SA只記錄單向的參數(shù)，所以一個 IPSec連接會有兩個 IPSec SA。 端到端 IPSec VPN的工作原理 ? 需要保護的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) AH頭 AH hash AH對除了 TTL等變化值以外的整個 IP包進行 hash運算 IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 隧道模式： 增加新的 IP頭 ，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進行通信。 ? IPSec只能工作在 IP層，要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 通過加密保證數(shù)據(jù)的私密性 ? 私密性：防止信息泄漏給未經(jīng)授權(quán)的個人 ? 通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性 Inter 4ehIDx67NMop9eR U78IOPotVBn45TR 土豆批發(fā)價兩塊錢一斤 實在是 看不懂 加密 4ehIDx67NMop9eR U78IOPotVBn45TR 解密 土豆批發(fā)價兩塊錢一斤 對稱加密 ? 如果加密密鑰與解密密鑰相同，就稱為 對稱加密 ? 由于對稱加密的運算速度快，所以 IPSec使用對稱加密 算法來加密數(shù)據(jù) 對數(shù)據(jù)進行 hash運算來保證完整性 ? 完整性：數(shù)據(jù)沒有被非法篡改 ? 通過對數(shù)據(jù)進行 hash運算， 產(chǎn)生類似于指紋的數(shù)據(jù)摘要 ，以保證數(shù)據(jù)的完整性 土豆兩塊錢一斤 Hash 4ehIDx67NMop9 土豆兩塊錢一斤 4ehIDx67NMop9 土豆三塊錢一斤 4ehIDx67NMop9 我偷改數(shù)據(jù) Hash 2fwex67N32rfee3 兩者不一致代表 數(shù)據(jù)已被篡改 對數(shù)據(jù)和密鑰一起進行 hash運算 ? 攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為?；?CISCO路由器的 IPSEC VPN和 BGP/MPLS VPN 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 VPN背景 總公司 租用專線 我們有很多分公司，如果用 租用專線 的方式把他們和總公司連起來，需要花很多錢 想節(jié)約成本的話，可以用VPN來連接 分公司 分公司 分公司 VPN簡介 IP VPN (Virtual Private Network，虛擬專用網(wǎng) )就是利用開放的公眾 IP/MPLS網(wǎng)絡(luò)建立 專用數(shù)據(jù)傳輸通道 ，將遠程的分支機構(gòu)、移動辦公人員等連接起來。 ? 通過把數(shù)據(jù)和密鑰一起進行 hash運算，可以有效抵御上述攻擊。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) 新 IP頭 AH hash IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 AH頭 新 IP頭 IPSec與 NAT ? AH模式無法與 NAT一起運行 AH對包括 IP地址在內(nèi)的整個 IP包進行 hash運算，而 NAT會改變 IP地址，從而破壞 AH的 hash值。 ? 啟動 IKE (Inter key exchange)階段 1，對通信雙方進行身份認證，并在兩端之間建立一條安全的通道。 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： 使用 SPI可以標識路由器與不同對象之間的連接 。 ? MPLS標簽的分發(fā)可以通過 LDP等協(xié)議動態(tài)完成，所以 MPLS能夠提供動態(tài)的隧道。 路由器查看標簽轉(zhuǎn)發(fā)表，如果發(fā)現(xiàn) out標簽是 3，就認為自己是倒數(shù)第二跳路由器。 Community:20:101 Community:20:102 只接收 Community為20:102的路由 R1 R2 R3 RT的表示 ? 可以用擴展的 munity來表示 RT， type字段為 0x0002或者 0x0102時是 RT。 RD的本質(zhì) ? 通常建議為一個 VPN中的 VRF都配置相同的RD，不同的 VPN配置不同的 RD。 BGP的多協(xié)議擴展 MPBGP ? BGP增加了兩個擴展屬性 MP_REACH_NLRI和 MP_UNREACH_NLRI。 ? 在倒數(shù)第二跳處，將外層的公網(wǎng)標簽彈出，交給目的 PE。 ? 將該報文 封裝一層私網(wǎng)標簽 后，在公網(wǎng)的標簽轉(zhuǎn)發(fā)表中查找下一跳地址，再 封裝一層公網(wǎng)標簽 ，然后交給MPLS轉(zhuǎn)發(fā)。 對 BGP的要求 ? 要求支持 VPNIPv4路由，而原有的 BGP只支持 IPv4路由。 ? RD的長度為 8個字節(jié)，格式與 RT相似。 BGP鄰居分為兩類： IBGP（同一個 AS內(nèi)的鄰居）和 EBGP（不同 AS間的鄰居） BGP鄰居之間通過 TCP協(xié)議相連，因此可以在不直接相連的路由器間交換路由信息 用 BGP傳遞 VPN路由的好處 CE CE CE CE PE PE P P VPN路由信息可以直接在 PE之間傳遞，所以 P路由器中不會包含任何 VPN路由信息。 最好在倒數(shù)第二跳路由器就去掉標簽，直接把 IP報文發(fā)送給最后一跳路由器。 對 IPSec VPN的回顧 CE CE CE CE PE PE P P IPSec隧道在 CE與 CE之間建立，需要用戶自己創(chuàng)建并維護 VPN IPSec VPN的創(chuàng)建以及相關(guān)用戶路由的配置等都需要手工完成 擴展不方便，如果用戶 VPN網(wǎng)絡(luò)中新增一個節(jié)點，需要完成以下工作： N個結(jié)點的隧道及相關(guān)的路由； N個結(jié)點，需要在每個結(jié)點上都建立一個與新增結(jié)點之間的隧道及相關(guān)的路由。 兩端成功協(xié)商 IPSec參數(shù) 加密算法 hash算法 封裝模式 lifetime 安全協(xié)議 SPD 加密 SPI Hash 封裝模式 lifetime SAD 目的 IP地址 SPI 安全協(xié)議 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： SPI (Security Parameter Index)，由 IKE自動分配 發(fā)送數(shù)據(jù)包時，會把 SPI插入到 IPSec頭中 接收到數(shù)據(jù)包后， 根據(jù) SPI值查找 SAD和 SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、 hash算法等。 問題 2： IPSec協(xié)議中沒有定義通信雙方如何進行身份認證，路由器有可能會和一個假冒的對端建立 IPSec VPN。 數(shù)字 證書 我是 Router A，我的公鑰是 ……. 數(shù)字簽名認證 + ID Information 加密 Hash_I 解密 Hash_I 私鑰 公鑰 本地 遠端 Hash = + 身份信息 Hash 對稱 密鑰 數(shù)字簽名 + 身份信息 Hash 1 2 數(shù)字 證書 + Inter 對稱 密鑰 數(shù)字簽名 數(shù)字 證書 IPSec框架結(jié)構(gòu) ESP AH DES 3DES AES MD5 SHA DH1 DH2 IPSec框架 可選擇的算法 IPSec安全協(xié)議 加密 數(shù)據(jù)摘要 對稱密鑰交換 IPSec安全協(xié)議 ? AH (Authentication Header) 只能進行數(shù)據(jù)摘要 (hash) ，不能實現(xiàn)數(shù)據(jù)加密 ahmd5hmac、 ahshahmac ? ESP (Encapsulating Security Payload) 能夠進行數(shù)據(jù)加密和數(shù)據(jù)摘要 (hash) espdes、 esp3des、 espmd5hmac、 espshahmac、 IPSec安全協(xié)議描述了如何利用加密和 hash來保護數(shù)據(jù)安全 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 傳輸模式： 不改變原有的 IP包頭 ，通常用于主機與主機之間。 MPLS網(wǎng) P1 P2 PE1 PE2 CE1 CE2 MPLS標簽 MPLS VPN的特點 ? MPLS標簽位于二層和三層之間 三層包頭 MPLS 標簽 二層包頭 二層包頭 三層包頭 MPLS封裝 三種 VPN的比較 L2TP IPSec MPLS VPN 隧道協(xié)議類型 第二層 第三層 第二層和第三層之間 是否支持數(shù)據(jù)加密 不支持 支持 不支持 對設(shè)備的要求 只要求邊緣設(shè)備支持 L2TP 只要求邊緣設(shè)備支持 IPSec 要求邊緣設(shè)備和核心設(shè)備都支持MPLS 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 IPSec概述 IPSec是一種開放標準的框架結(jié)構(gòu)，特定的通信方之間在 IP 層 通過加密和數(shù)據(jù)摘要 (hash)等手段，來保證數(shù)據(jù)包在 Inter 網(wǎng)上傳輸時的 私密性(confidentiality) 、 完整性 (data integrit