本文转载自http://www.gxlaoyou.com/home.php?mod=space&uid=46&do=blog&id=9
GET ×××是一个为大型企业网准备的×××解决方案,做GET ×××的首要前提是全网互通,可以对任意到任意的通讯进行加密。而不是像L2L ×××一样只能对指定源目的通讯进行加密。这个也是解决MPLS ×××无法加密的一个解决方案。
相对于传统的L2L ×××,GET ×××有它的三个明显优势存在:
1. 任意到任意的连通性
2. 扩展性
3. 实时性
特别包括:
1、基于现有的路由架构的透传解决方案
2、IP Header Preservation 技术实现头部的保留
3、不影响QoS,不增加网络开销和复杂度
4、基于Trusted Group Memerbers的概念,在Groups内的Router使用相同的安全策略,比L2L ×××管理更简单
5、Group内成员预先协商安全参数,实现any to any连接
6、即时连接,减少类似语音流量的延时
7、支持对单播和组播的加密
8、是一个WAN 的解决方案,需要全局可路由。
在GET ×××中有三个角色:key server、Routing member和Group member。
key server:认证组成员;
管理安全策略;
创建group keys;
分发policy/keys
Routing Members: Forwarding; Replication ; Routing
GET ×××的三个组件:
1. GDOI: GDOI协议用于在组成员和组控器、密钥服务器(GCKS)之间建立安全关联,实现安全的Group内通讯,GDOI协议适用于 UDP/848
2. GCKS: GCKS是一个Wie组维护策略,创建和维护密钥的路由器。当一个组成员注册时,密钥腐恶uwifasong策略和密钥到这个组成员。密钥服务器也会在密钥超时更新密钥。服务器会发送两种类型的密钥,加密流量的密钥(TEK)和加密密钥的密钥(KEK)。TEK会成为IPSEC SA。这个SA用于相同的组内成员之间的通讯。TEK是一个本质的组密钥,它共享给所有的组成员,并且加密组成员之间的流量。KEK用于加密更新密钥的信息,每一个组成员也用它来解密从密钥服务器发送过来的更新密钥信息。
3. GM: 组成员是一台路由器,他在密钥服务器上注册,并且从密钥服务器获取IPSEC SA。使用这个SA与属于这个组的其他设备通讯,组成员在密钥服务器上注册并且提供一个组ID,并从服务器获取用于这个组的安全策略和密钥。
GET ×××还有他的一个优势是他采用单一的SA,他通过Key Server来分发SA给GM,而不是像L2L ×××那样通过两者协商出3个SA。
GET ×××注册过程:
1。 GM会发送注册请求给KS(触发注册的条件是:GM启动或在GM的进出流量的接口上调用crypto map)。通过GDOI协议,KS对组成员认证和授权,并且发送策略和用于加解密IP单播和组播的密钥。
2。 当组成员注册成功获取IPSEC SA后,就会获取相应的密钥,组成员之间能够直接加密IP组播和单播,旁路掉KEY Server直接建立安全的通讯。
3。 如果需要,KEY Server发送的密钥更新信息(Rekey Message)到组内的所有成员。这个密钥更新信息包含新的IPSEC策略和当前IPSEC SA超时以后使用的更新的密钥。密钥更新信息会在SA超时之前发送,保障组密钥一直可用。
Cooperative Key Server
Primary: 接受GM注册,产生密钥,分发密钥,通知Secondary KS (密钥是同步的),发送Rekey。
Secondary: 接受GM注册,检测Primary KS是否存在,通知Primary KS新的GM,不发送Rekey。
注意:Primary和Secondary之间只有GM数据库和密钥是会自动同步的。但是policy是不会同步的,建议要把两者的policy配置成相同的。
两种Anti-Replay 技术:
1。 Counter-Based Anti-Replay : 只适用于连个GM的环境(点对点)
2。 Time-Based Anti-Replay : 适用于多个GM环境(点对多点)
GET ×××感兴趣流ACL:
1。建议适用可归纳的网段(如10.1.1.0,10.1.2.0,10.1.3.0等),只需要配置一条ACL:
如:access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255
2。 如果网络不能归纳(如10.1.1.0,172.16.1.0)需要配置两条ACL,每个方向一条:
如:access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
3。 GM上可以配置GM ACL,只能配置deny条目,优先于从key Server上下载的感兴趣流
如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255
GET ×××配置步骤回顾:
1。全网可路由
2。在KS上产生和导出密钥(KS1)
3。配置ISAKMP Policy (KS1,KS2,GM)
4。配置IPSec Profile (KS1,KS2)
5。KS基本配置(KS1,KS2)
6。Rekey参数设置(KS1)
7。配置IPSEC SA策略(KS1,KS2)
8。GM配置crypto map
9。配置coop key Server(KS1,KS2)