IPSEC VPN方案0329

IPSECVPN高可用方案©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID2技术名词说明GRE隧道GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接，使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。IPSECVPNIPSEC是一套比较完整成体系的VPN技术，引进了完整的安全机制，包括加密、认证和数据防篡改功能。GREoverIPSec将IP包经过GRE隧道封装后，再使用IPSEC进行加密。可以解决IPSEC不支持路由、广播和组播IP流量的问题。由于IPSec封装是在接口上配置，凡是匹配ACL的流量都会送到加密引擎进行处理，即使加密引擎出现问题，只要接口的链路状态正常，数据包仍然无法切换到接口上进行路由。所以必须要使用GREoverIPSec技术，通过路由来进行切换。设计思路及原则如何解决福州到上海的广域网线路上生产业务的安全性，防止关键生产数据被窃取？思路：1、从性能角度，考虑通过专用硬件设备或板卡建立IPSECVPN通道2、从功能角度，充分考虑冗余和故障切换原则：1、IPSEC加密性能要强，扩展性好，在建立VPN的情况下吞吐量应大于100M2、故障切换简单，在IPSECVPN建立失败的情况下平滑切换到非加密路由相关术语GRE隧道GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接，使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。IPSECVPNIPSEC是一套比较完整成体系的VPN技术，引进了完整的安全机制，包括加密、认证和数据防篡改功能。GREoverIPSec将IP包经过GRE隧道封装后，再使用IPSEC进行加密。可以解决IPSEC不支持路由、广播和组播IP流量的问题。IPSecoverGRE将IP包经过IPSEC加密后，再通过GRE隧道封装。可以对需要加密的流量进行精确的ACL控制。GRE隧道+IPSEC加密具体实现广域网IPSECVPN7600760076007600上海福州Inttunnel0Inttunnel0Inttunnel0Inttunnel0福州和上海的广域网路由器之间可以分别建立ipsecvpn通道，逻辑上相当于每一对路由器之间有两条逻辑链路。一个接口是原有的广域网物理接口，另一个接口是新建的TUNNEL0接口。通过路由策略，可以设置每一对路由器之间的主链路是ipsecvpn通道，备份链路是物理链路。当主链路出现问题时，将路由切换到备份链路，即非加密的物理链路。虽然可以通过路由策略设置两个ipsecvpn通道优先互为备份，但是考虑到路由控制的复杂度，ipsecvpn硬件损坏的罕见，以及主物理链路正常情况下，切换到备份ipsecvpn通道会占用其他业务带宽，仍然建议每一对路由器的ipsecvpn通道和物理链路互为备份。具体实现模式一：GREoverIPSecE0:172.16.0.1E0:172.16.0.2Tunnel0:192.168.1.1Tunnel0:192.168.1.2R1R2cryptoisakmppolicy10encr3desauthenticationpre-sharegroup2lifetime5000cryptoisakmpkeyciscoaddress172.16.0.2!cryptoipsectransform-setmysetesp-des!cryptomapMYMAP10ipsec-isakmpsetpeer172.16.0.2settransform-setmysetmatchaddress101!interfaceTunnel0ipaddress192.168.1.1255.255.255.0tunnelsourceEthernet0/0tunneldestination172.16.0.2!interfaceEthernet0/0ipaddress172.16.0.1255.255.255.0cryptomapMYMAP；在物理接口上加密access-list101permitgrehost172.16.0.1host172.16.0.2cryptoisakmppolicy10encr3desauthenticationpre-sharegroup2lifetime5000cryptoisakmpkeyciscoaddress172.16.0.1!cryptoipsectransform-setmysetesp-des!cryptomapMYMAP10ipsec-isakmpsetpeer172.16.0.1settransform-setmysetmatchaddress101!interfaceTunnel0ipaddress192.168.1.2255.255.255.0tunnelsourceEthernet0/0tunneldestination172.16.0.1!interfaceEthernet0/0ipaddress172.16.0.2255.255.255.0cryptomapMYMAPaccess-list101permitgrehost172.16.0.2host172.16.0.1具体实现模式一：GREoverIPSecE0:172.16.0.1E0:172.16.0.2Tunnel0:192.168.1.1Tunnel0:192.168.1.2R1R2routerbgp1nosynchronizationbgplog-neighbor-changesnetwork10.1.1.0mask255.255.255.0timersbgp515neighbor172.16.0.2remote-as2neighbor192.168.1.2remote-as2neighbor192.168.1.2route-maptestinnoauto-summaryroute-maptestpermit10matchipaddress1setweight2000access-list1permit0.0.0.0255.255.255.0；定义需要加密的网段优点：在物理接口上对所有GRE流量加密，包括路由协议也被加密，配置简单。可以支持各种路由协议。缺点：只能通过路由协议对需要加密的网段进行控制，不能精细到某个IP地址。routerbgp1nosynchronizationbgplog-neighbor-changesnetwork10.2.2.0mask255.255.255.0timersbgp515neighbor172.16.0.1remote-as1neighbor192.168.1.1remote-as1neighbor192.168.1.1route-maptestinnoauto-summaryroute-maptestpermit10matchipaddress1setweight2000access-list1permit0.0.0.0255.255.255.0；定义需要加密的网段具体实现模式二：IPSecoverGREE0:172.16.0.1E0:172.16.0.2Tunnel0:192.168.1.1Tunnel0:192.168.1.2R1R2cryptoisakmppolicy10encr3desauthenticationpre-sharegroup2lifetime5000cryptoisakmpkeyciscoaddress172.16.0.2!cryptoipsectransform-setmysetesp-des!cryptomapMYMAP110ipsec-isakmpsetpeer172.16.0.2settransform-setmysetmatchaddress102!interfaceTunnel0ipaddress192.168.1.1255.255.255.0tunnelsourceEthernet0/0tunneldestination172.16.0.2cryptomapMYMAP1；在tunnel接口上加密!interfaceEthernet0/0ipaddress172.16.0.1255.255.255.0access-list102permitiphost10.1.1.2host10.2.2.2access-list102permitiphost172.16.0.1host172.16.0.2；匹配BGP路由协议包cryptoisakmppolicy10encr3desauthenticationpre-sharegroup2lifetime5000cryptoisakmpkeyciscoaddress172.16.0.1!cryptoipsectransform-setmysetesp-des!cryptomapMYMAP110ipsec-isakmpsetpeer172.16.0.1settransform-setmysetmatchaddress102!interfaceTunnel0ipaddress192.168.1.2255.255.255.0tunnelsourceEthernet0/0tunneldestination172.16.0.1cryptomapMYMAP1；在tunnel接口上加密!interfaceEthernet0/0ipaddress172.16.0.2255.255.255.0access-list102permitiphost10.2.2.2host10.1.1.2access-list102permitiphost172.16.0.2host172.16.0.1；匹配BGP路由协议包E0:172.16.0.1E0:172.16.0.2Tunnel0:192.168.1.1Tunnel0:192.168.1.2R1R2routerbgp1nosynchronizationbgplog-neighbor-changesnetwork10.1.1.0mask255.255.255.0timersbgp515neighbor172.16.0.2remote-as2neighbor192.168.1.2remote-as2neighbor192.168.1.2route-maptestinnoauto-summaryroute-maptestpermit10matchipaddress1setweight2000access-list1permit0.0.0.0255.255.255.0；定义需要加密的网段优点：可以精确控制哪些流量需要加密。缺点：缺省情况下不能对路由协议加密，在加密硬件损坏时，路由仍然从tunnel接口传送而没有切换到物理接口，导致业务流量发送到tunnel接口后加密失败，通讯中断。除非路由协议是BGP，采用TCP协议，可加入到访问列表中。routerbgp1nosynchronizationbgplog-neighbor-changesnetwork10.2.2.0mask255.255.255.0timersbgp515neighbor172.16.0.1remote-as1neighbor192.168.1.1remote-as1neighbor192.168.1.1route-maptestinnoauto-summaryroute-maptestpermit10matchipaddress1setweight2000access-list1p