本文转载自http://www.gxlaoyou.com/home.php?mod=space&uid=46&do=blog&id=9

GET ×××是一个为大型企业网准备的×××解决方案,做GET ×××的首要前提是全网互通,可以对任意到任意的通讯进行加密。而不是像L2L ×××一样只能对指定源目的通讯进行加密。这个也是解决MPLS ×××无法加密的一个解决方案。

       相对于传统的L2L ×××,GET ×××有它的三个明显优势存在:

             1. 任意到任意的连通性

             2. 扩展性

            3. 实时性

       特别包括

            1、基于现有的路由架构的透传解决方案

            2、IP Header Preservation 技术实现头部的保留

            3、不影响QoS,不增加网络开销和复杂度

            4、基于Trusted Group Memerbers的概念,在Groups内的Router使用相同的安全策略,比L2L ×××管理更简单

            5、Group内成员预先协商安全参数,实现any to any连接

            6、即时连接,减少类似语音流量的延时

            7、支持对单播和组播的加密

            8、是一个WAN 的解决方案,需要全局可路由。

      在GET ×××中有三个角色:key server、Routing member和Group member。

             key server:认证组成员;

                                  管理安全策略;

                                 创建group keys;

                                 分发policy/keys

              Routing Members:    Forwarding;     Replication ;       Routing

GET ×××的三个组件:

1. GDOI: GDOI协议用于在组成员和组控器、密钥服务器(GCKS)之间建立安全关联,实现安全的Group内通讯,GDOI协议适用于   UDP/848

2. GCKS:    GCKS是一个Wie组维护策略,创建和维护密钥的路由器。当一个组成员注册时,密钥腐恶uwifasong策略和密钥到这个组成员。密钥服务器也会在密钥超时更新密钥。服务器会发送两种类型的密钥,加密流量的密钥(TEK)加密密钥的密钥(KEK)。TEK会成为IPSEC SA。这个SA用于相同的组内成员之间的通讯。TEK是一个本质的组密钥,它共享给所有的组成员,并且加密组成员之间的流量。KEK用于加密更新密钥的信息,每一个组成员也用它来解密从密钥服务器发送过来的更新密钥信息。

3. GM:        组成员是一台路由器,他在密钥服务器上注册,并且从密钥服务器获取IPSEC SA。使用这个SA与属于这个组的其他设备通讯,组成员在密钥服务器上注册并且提供一个组ID,并从服务器获取用于这个组的安全策略和密钥。

GET ×××还有他的一个优势是他采用单一的SA,他通过Key Server来分发SA给GM,而不是像L2L ×××那样通过两者协商出3个SA。

GET ×××注册过程:

1。 GM会发送注册请求给KS(触发注册的条件是:GM启动或在GM的进出流量的接口上调用crypto map)。通过GDOI协议,KS对组成员认证和授权,并且发送策略和用于加解密IP单播和组播的密钥。

2。 当组成员注册成功获取IPSEC SA后,就会获取相应的密钥,组成员之间能够直接加密IP组播和单播,旁路掉KEY Server直接建立安全的通讯。

3。 如果需要,KEY Server发送的密钥更新信息(Rekey Message)到组内的所有成员。这个密钥更新信息包含新的IPSEC策略和当前IPSEC SA超时以后使用的更新的密钥。密钥更新信息会在SA超时之前发送,保障组密钥一直可用。

Cooperative Key Server

Primary:        接受GM注册,产生密钥,分发密钥,通知Secondary KS (密钥是同步的),发送Rekey。

Secondary:   接受GM注册,检测Primary KS是否存在,通知Primary KS新的GM,不发送Rekey。

注意:Primary和Secondary之间只有GM数据库和密钥是会自动同步的。但是policy是不会同步的,建议要把两者的policy配置成相同的。

两种Anti-Replay 技术:

1。 Counter-Based Anti-Replay   : 只适用于连个GM的环境(点对点)

2。 Time-Based Anti-Replay        : 适用于多个GM环境(点对多点)

GET ×××感兴趣流ACL:

1。建议适用可归纳的网段(如10.1.1.0,10.1.2.0,10.1.3.0等),只需要配置一条ACL:

       如:access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255

2。 如果网络不能归纳(如10.1.1.0,172.16.1.0)需要配置两条ACL,每个方向一条:

       如:access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

              access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

3。 GM上可以配置GM ACL,只能配置deny条目,优先于从key Server上下载的感兴趣流

        如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255

GET ×××配置步骤回顾:

1。全网可路由

2。在KS上产生和导出密钥(KS1)

3。配置ISAKMP Policy (KS1,KS2,GM)

4。配置IPSec Profile (KS1,KS2)

5。KS基本配置(KS1,KS2)

6。Rekey参数设置(KS1)

7。配置IPSEC SA策略(KS1,KS2)

8。GM配置crypto map

9。配置coop key Server(KS1,KS2)