IPSec方案部署(多業務場景)

技術點詳解—IPSec方案部署

經過前面幾期的介紹能夠發現IPSec所涉及的參數不少，在具體方案部署過程當中有許多靈活選擇的地方，本期專欄就專門對IPSec在幾種典型環境中的方案部署進行介紹。

1、              常規IPSec方案

 

上圖所示網絡環境是最基本的IPSec應用場景：

1.       響應方不管在何種環境都是固定的公網地址；

2.       發起方也是固定的公網地址；

3.       雙方都是用IKE主模式進行協商；

4.       雙方都互相指定對端IP地址，即雙方均可以發起協商，沒有固定的發起方、響應方；

5.       雙方只能使用隧道模式，由於興趣流192.168.1.0/24ßà192.168.0.0/24和IPSec隧道端點不一致。

因爲只有大型企業纔有可能爲全部分支機構申請一個固定IP地址，商務領航客戶一般是中小型企業，固定地址的狀況並很少見，因此該場景更多出如今實驗室環境中，在該方案中，若是有多個發起方，那麼響應方須要對每一個發起方制定IPSec策略。

2、              發起方公網地址不固定狀況下的IPSec部署

 

上面這個場景比較常見：

1.       響應方地址固定，如6.16.5.6；

2.       多個發起方使用動態接入互聯網方式，如PPPoE撥號，這種方式中，發起方每次撥號地址有可能不一致，因此在響應方中沒法使用指定對端IP地址方式限制對端身份；

3.       發起方則必需要指定響應方IP，不然沒法發起協商；

4.       雙方可使用預共享密鑰方式對身份進行確認及保護；

5.       雙方依然只能使用隧道模式；

6.       興趣流的指定是比較有意思的事情，發起方是必需要配置興趣流的，圖中只舉了一個發起方配置興趣流的示例，那麼響應方呢？響應方沒有配置，而是採用由發起方指定的方式，即在協商過程當中，響應方得知發起方的興趣流是192.168.1.0/24à192.168.0.0./24，會自動爲該響應方生成反向興趣流192.168.1.0/24ß192.168.0.0./24，那麼爲何要這麼使用呢？

a)       發起方地址是動態的；

b)       響應方沒法及時提早獲知發起方地址，所以沒有指定發起方的IP地址；

c)       因爲響應方的興趣流爺是與發起方相關的，而響應方中發起方的身份標識是IP地址，故響應方沒法提早爲發起方指定興趣流；

d)       替代方法就是響應方在協商過程當中，動態地識別發起方，並接受發起方的興趣流；

e)       這種方式還能在響應方配置工做帶來簡化，不須要爲每一個發起方制定IPSec策略。

3、              部分發起方經過NAT網關鏈接到互聯網

 

在上圖中，有部分發起方躲在NAT網關後面鏈接互聯網，如發起方Spartacus，在這種狀況下，咱們的IPSec方案該如何制定呢？

1.       大致上和方案二相似；

2.       IKE協商模式要修改爲野蠻模式（Aggressive Mode）；

3.       須要在IKE協商模式中打開NAT穿越，目前大部分廠家實現中，NAT穿越都變成默認選項。

針對這種發起方地址動態變化的狀況，還有一個相對來講更加安全的解決方案，即響應方須要指定發起方。

 

咱們從方案的標題能夠看出，有的方案是「響應方指定發起方」，有的是「不指定」，具體區別在於以下兩點：

1.       響應方指定對端IP地址或者指定對端名字，即指定響應方的固定身份標識，而不是動態身份；

2.       響應方爲特定的響應方指定興趣流用於協商。

在上一期專欄中介紹在IPSec中最經常使用的身份標識是IP地址，而在發起方動態IP或者存在NAT網關的狀況下，就沒法爲發起方指定IP地址了，所以方案中使用指定名字方式做爲身份標識，而使用名字做爲身份標識則必須使用IKE的野蠻模式：

1.       響應方爲每一個發起方指定名字；

2.       響應方爲每一個發起方指定興趣流。

若是不指定發起方，那麼只要與共享密鑰泄露，任意發起方都可以與響應方創建IPSec會話，指定發起方後，除掌握預共享密鑰外，還必須掌握髮起方IP地址（仿冒IP地址只能做爲攻擊手段，而非通訊手段）或者名字才能夠發起協商，所以安全性要比不指定發起方要高。

4、              企業分支使用GRE Over IPSec進行網絡互連

 

爲何要使用GRE Over IPSec來互連呢，有以下好處：

1.       分支網絡和總部網絡都比較複雜，須要使用路由協議進行互聯；

2.       IPSec隧道在承載路由協議上不如GRE隧道方便；

3.       GRE隧道不能提供加密保障，所以須要和IPSec進行結合；

4.       GRE Over IPSec方案的優勢在於，使用GRE在兩個網關之間搭建一個隧道，運行路由協議及傳輸正常數據，使用IPSec對整個GRE隧道進行加密。

在這個方案中，特殊之處在於：

1.       發起方、響應方的IP地址都是固定不變的，採起了響應方指定發起方的配置方式；

2.       發起方、響應方的GRE隧道源地址和目的地址和IPSec隧道的源地址、目的地址一致，所以可使用傳輸模式，提升傳輸效率，能夠對比一下圖中推薦的興趣流配置與GRE隧道配置。

一樣，若是發起方地址不是固定的，或者發起方躲在NAT網關後面，那麼能夠採起以下方式。

 

GRE隧道的特色是要求隧道的源、目的必須是固定的，所以在這種環境中：

1.       全部網關設置Loopback地址，如響應方設置環回接口地址爲192.168.1.1/32，兩個發起方分別爲192.168.1.2/24和192.168.1.3/24；

2.       使用Loopback接口地址分別在響應方和各發起方之間創建GRE隧道；

3.       因爲IPSec隧道是使用鏈接互聯網地址創建的，所以與興趣流不一致，只能使用隧道模式；

4.       因爲是發起方地址動態得到，因此使用IKE野蠻模式+指定名字方式；

5.       以上兩種方式能夠混合，即根據發起方地址類型，分別配置身份標誌類型、封裝模式和興趣流，能夠有部分發起方和響應方是指定IP地址+傳輸模式的，另一部分則使用指定名字+隧道模式。

5、              對外出員工採用L2TP Over IPSec方案

 

在以前的L2TP專欄中，咱們瞭解到了L2TP主要是爲單個外出員工提供遠程接入企業網絡的方案，而L2TP自己不提供加密服務，所以L2TP結合IPSec就可以爲外出員工提供安全可靠的遠程接入解決方案：

1.       外出員工的特色就是地址不固定，即採用IKE野蠻模式；

2.       興趣流是L2TP流量，即發起方到響應方的UDP 1701流量，所以也就代表了興趣流也不是固定的，響應方只能採起由對端指定興趣流方案；

3.       因爲如上兩點緣由，響應方能夠採起不指定發起方；

4.       因爲有部分發起方要穿越NAT，必需要使用隧道模式。

本期將常見的IPSec應用場景進行了介紹，並對各個場景中對IPSec配置方案有影響的地方進行分析。IPSec專題介紹，到此告一段落。