【正文】 如何進行身份認證，路由器有可能會和一個假冒的對端建立 IPSec VPN。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：可以改端口號了，太棒了 新 UDP頭 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 對上一節(jié)的回顧 ? IPSec協(xié)議框架包括加密、 hash、對稱密鑰交換、安全協(xié)議等四個部分，這些部分都可以采用多種算法來實現(xiàn)。 進行端口映射時，需要修改端口，而 ESP已經對端口號進行了加密和 /或 hash，所以將無法進行。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) 新 IP頭 AH hash IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 AH頭 新 IP頭 IPSec與 NAT ? AH模式無法與 NAT一起運行 AH對包括 IP地址在內的整個 IP包進行 hash運算，而 NAT會改變 IP地址，從而破壞 AH的 hash值。 數(shù)字 證書 我是 Router A，我的公鑰是 ……. 數(shù)字簽名認證 + ID Information 加密 Hash_I 解密 Hash_I 私鑰 公鑰 本地 遠端 Hash = + 身份信息 Hash 對稱 密鑰 數(shù)字簽名 + 身份信息 Hash 1 2 數(shù)字 證書 + Inter 對稱 密鑰 數(shù)字簽名 數(shù)字 證書 IPSec框架結構 ESP AH DES 3DES AES MD5 SHA DH1 DH2 IPSec框架 可選擇的算法 IPSec安全協(xié)議 加密 數(shù)據(jù)摘要 對稱密鑰交換 IPSec安全協(xié)議 ? AH (Authentication Header) 只能進行數(shù)據(jù)摘要 (hash) ，不能實現(xiàn)數(shù)據(jù)加密 ahmd5hmac、 ahshahmac ? ESP (Encapsulating Security Payload) 能夠進行數(shù)據(jù)加密和數(shù)據(jù)摘要 (hash) espdes、 esp3des、 espmd5hmac、 espshahmac、 IPSec安全協(xié)議描述了如何利用加密和 hash來保護數(shù)據(jù)安全 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 傳輸模式： 不改變原有的 IP包頭 ，通常用于主機與主機之間。 ? 用公鑰加密過的數(shù)據(jù)只有對應的私鑰才能解開，反之亦然。常用的 身份認證方式 包括： Preshared key，預共享密鑰 RSA Signature，數(shù)字簽名 預共享密鑰 ? 預共享密鑰，是指通信雙方在配置時手工輸入相同的密鑰。 ? 通過把數(shù)據(jù)和密鑰一起進行 hash運算，可以有效抵御上述攻擊。 MPLS網 P1 P2 PE1 PE2 CE1 CE2 MPLS標簽 MPLS VPN的特點 ? MPLS標簽位于二層和三層之間 三層包頭 MPLS 標簽 二層包頭 二層包頭 三層包頭 MPLS封裝 三種 VPN的比較 L2TP IPSec MPLS VPN 隧道協(xié)議類型 第二層 第三層 第二層和第三層之間 是否支持數(shù)據(jù)加密 不支持 支持 不支持 對設備的要求 只要求邊緣設備支持 L2TP 只要求邊緣設備支持 IPSec 要求邊緣設備和核心設備都支持MPLS 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 IPSec概述 IPSec是一種開放標準的框架結構，特定的通信方之間在 IP 層 通過加密和數(shù)據(jù)摘要 (hash)等手段，來保證數(shù)據(jù)包在 Inter 網上傳輸時的 私密性(confidentiality) 、 完整性 (data integrity)和 真實性(origin authentication)。 原始數(shù)據(jù)包 新增加的 IP頭 L2TP頭 可以是 IP、 IPX和 AppleTalk PPP封裝 原始數(shù)據(jù)包 PPP頭 L2TP封裝 原始數(shù)據(jù)包 PPP頭 可以是 IP、 ATM和幀中繼 ? L2TP沒有對數(shù)據(jù)進行加密。 ? 隧道是利用一種協(xié)議來傳輸另外一種協(xié)議的技術，共涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議 ?；?CISCO路由器的 IPSEC VPN和 BGP/MPLS VPN 目 錄 ? VPN簡介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 VPN背景 總公司 租用專線 我們有很多分公司，如果用 租用專線 的方式把他們和總公司連起來，需要花很多錢 想節(jié)約成本的話，可以用VPN來連接 分公司 分公司 分公司 VPN簡介 IP VPN (Virtual Private Network，虛擬專用網 )就是利用開放的公眾 IP/MPLS網絡建立 專用數(shù)據(jù)傳輸通道 ，將遠程的分支機構、移動辦公人員等連接起來。 IP/MPLS網 中心站點 分支機構 移動辦公人員 隧道機制 ? IP VPN可以理解為：通過隧道技術在公眾 IP/MPLS網絡上仿真一條點到點的專線 。 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 乘客協(xié)議 隧道協(xié) 議 承載協(xié) 議 原始 IP包 經過 IPSec封裝后 隧道帶來的好處 ? 隧道保證了 VPN中分組的封裝方式及使用的地址與承載網絡的封裝方式及使用地址無關 Inter 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 私網地址 公網地址 中心站點 分支機構 Inter根據(jù)這個地址路由 可以使用私網地址，感覺雙方是用專用通道連接起來的，而不是 Inter 隧道 按隧道類型對 VPN分類 ? 隧道協(xié)議如下： ? 第二層隧道協(xié)議，如 L2TP ? 第三層隧道協(xié)議，如 IPSec ? 介于第二層和第三層之間的隧道協(xié)議，如 MPLS VPN L2TP ? L2TP封裝的乘客協(xié)議是位于第二層的PPP協(xié)議。 L2TP的典型應用 VPDN L2TP連接 PPP連接 用戶發(fā)起 PPP連接到接入服務器 接入服務器封裝用戶的 PPP會話到 L2TP隧道， L2TP隧道穿過公共 IP網絡，終止于電信 VPDN機房的 LNS 用戶的 PPP session經企業(yè)內部的認證服務器認證通過后即可訪問企業(yè)內部網絡資源 IPSec ? IPSec只能工作在 IP層，要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 ? IPSec可以對被封裝的數(shù)據(jù)包進行加密和摘要等，以進一步提高數(shù)據(jù)傳輸?shù)陌踩? MPLS VPN的基本工作模式 ? 在入口邊緣路由器為每個包加上 MPLS標簽，核心路由器根據(jù)標簽值進行轉發(fā)，出口邊緣路由器再去掉標簽，恢復原來的 IP包 。 ? IPSec只能工作在 IP層，要求乘客協(xié)議和承載協(xié)議都是 IP協(xié)議 被封裝的原始 IP包 新增加的 IP頭 IPSec頭 必須是 IP協(xié) 議 必須是 IP協(xié) 議 通過加密保證數(shù)據(jù)的私密性 ? 私密性：防止信息泄漏給未經授權的個人 ? 通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性 Inter 4ehIDx67NMop9eR U78IOPotVBn45TR 土豆批發(fā)價兩塊錢一斤 實在是 看不懂 加密 4ehIDx67NMop9eR U78IOPotVBn45TR 解密 土豆批發(fā)價兩塊錢一斤 對稱加密 ? 如果加密密鑰與解密密鑰相同，就稱為 對稱加密 ? 由于對稱加密的運算速度快，所以 IPSec使用對稱加密 算法來加密數(shù)據(jù) 對數(shù)據(jù)進行 hash運算來保證完整性 ? 完整性：數(shù)據(jù)沒有被非法篡改 ? 通過對數(shù)據(jù)進行 hash運算， 產生類似于指紋的數(shù)據(jù)摘要 ，以保證數(shù)據(jù)的完整性 土豆兩塊錢一斤 Hash 4ehIDx67NMop9 土豆兩塊錢一斤 4ehIDx67NMop9 土豆三塊錢一斤 4ehIDx67NMop9 我偷改數(shù)據(jù) Hash 2fwex67N32rfee3 兩者不一致代表 數(shù)據(jù)已被篡改 對數(shù)據(jù)和密鑰一起進行 hash運算 ? 攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。 土豆兩塊錢一斤 Hash fefe23fgrNMop7 土豆兩塊錢一斤 fefe23fgrNMop7 土豆三塊錢一斤 2fwex67N32rfee3 我同時改數(shù)據(jù)和摘要 兩者還是不一致 Hash fergergr23frewfgh 對稱密鑰交換 ? 對稱加密和 hash都 要求通信雙方具有相同的密鑰 問題：怎樣在雙方之間安全地傳遞密鑰？ 密鑰 哈哈，要是敢直接傳遞密鑰，我就只好偷看了 密鑰 DH算法的基本原理 Router A Router B 生成一個整數(shù) p 生成一個整數(shù) q 把 p發(fā)送到對端 p 把 q發(fā)送到對端 q 根據(jù) p、 q生成 g 根據(jù) p、 q生成 g 生成密鑰 Xa 生成密鑰 Xb 把 Ya=g^ Xa發(fā)送 到對端 把 Yb=g^ Xb發(fā)送 到對端 Ya Yb Key=Yb^Xa =g^(Xb*Xa) Key=Ya^Xb =g^(Xa*Xb) 最后得到的對稱密鑰 雙方沒有直接傳遞密鑰 通過身份認證保證數(shù)據(jù)的真實性 ? 真實性：數(shù)據(jù)確實是由特定的對端發(fā)出 ? 通過身份認證可以保證數(shù)據(jù)的真實性。 Hash_L + 路由器名等 本地 Hash 共享 密鑰 遠端 生成的 Hash_L Hash = + 對端路由器名 Inter 共享 密鑰 接收到的 Hash_L 數(shù)字證書 ? RSA密鑰對，一個是可以向大家公開的公鑰，另一個是只有自己知道的私鑰。 ? 數(shù)字證書中存儲了公鑰，以及用戶名等身份信息。 IP頭 數(shù)據(jù) 原始 IP包 IP頭 數(shù)據(jù) AH頭 AH hash AH對除了 TTL等變化值以外的整個 IP包進行 hash運算 IP頭 數(shù)據(jù) ESP頭 hash ESP trailer ESP auth ESP 加密 IPSec封裝模式 ? IPSec支持兩種封裝模式：傳輸模式和隧道模式 隧道模式： 增加新的 IP頭 ，通常用于私網與私網之間通過公網進行通信。 IP頭 數(shù)據(jù) AH頭 hash NAT：我要修改源/目的 IP地址 AH：不行！我對 IP地址也進行了 hash IPSec與 NAT ? ESP模式下： 只進行地址映射時， ESP可與它一起工作。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：端口號被加密了，沒法改，真郁悶 IPSec與 NAT ? ESP模式下： 啟用 IPSec NAT穿越后，會在 ESP頭前增加一個 UDP頭，就可以進行端口映射。 問題 1：要成功建立 IPSec VPN，兩端路由器必須采用相同 的加密算法、 hash算法和安全協(xié)議等，但 IPSec協(xié)議中并沒有描述雙方應如何協(xié)商這些參數(shù) 。 端到端 IPSec VPN的工作原理 ? 需要保護的流量流經路由器，觸發(fā)路由器啟動相關的協(xié)商過程。 ? 啟動 IKE階段 2，在上述安全通道上協(xié)商 IPSec參數(shù)。 Host A Host B Router A Router B 什么是端到端