基于CISCO路由器的IPSEC_VPN和BGPMPLS_VPN要点.ppt

基于CISCO路由器的IPSEC VPN和BGP/MPLS VPN 目 录 VPN背景 VPN简介 IP VPN (Virtual Private Network，虚拟专用网)就是利用开放的公众IP/MPLS网络建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。 隧道机制 IP VPN可以理解为：通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线 。 隧道是利用一种协议来传输另外一种协议的技术，共涉及三种协议，包括：乘客协议、隧道协议和承载协议。 隧道带来的好处 隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关 按隧道类型对VPN分类 隧道协议如下： 第二层隧道协议，如L2TP 第三层隧道协议，如IPSec 介于第二层和第三层之间的隧道协议，如MPLS VPN L2TP L2TP封装的乘客协议是位于第二层的PPP协议。 L2TP的典型应用--VPDN IPSec IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议 MPLS VPN的基本工作模式 在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的IP包 。 MPLS VPN的特点 MPLS标签位于二层和三层之间 三种VPN的比较 目 录 IPSec概述 IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议 通过加密保证数据的私密性 私密性：防止信息泄漏给未经授权的个人 通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性 对称加密 如果加密密钥与解密密钥相同，就称为对称加密 由于对称加密的运算速度快，所以IPSec使用对称加密算法来加密数据 对数据进行hash运算来保证完整性 完整性：数据没有被非法篡改 通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性 对数据和密钥一起进行hash运算 攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。 通过把数据和密钥一起进行hash运算，可以有效抵御上述攻击。 对称密钥交换 对称加密和hash都要求通信双方具有相同的密钥 DH算法的基本原理 通过身份认证保证数据的真实性 真实性：数据确实是由特定的对端发出 通过身份认证可以保证数据的真实性。常用的身份认证方式包括： Pre-shared key，预共享密钥 RSA Signature，数字签名 预共享密钥 预共享密钥，是指通信双方在配置时手工输入相同的密钥。 数字证书 RSA密钥对，一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。 用公钥加密过的数据只有对应的私钥才能解开，反之亦然。 数字证书中存储了公钥，以及用户名等身份信息。 数字签名认证 IPSec框架结构 IPSec安全协议 AH (Authentication Header) 只能进行数据摘要(hash) ，不能实现数据加密 ah-md5-hmac、ah-sha-hmac ESP (Encapsulating Security Payload) 能够进行数据加密和数据摘要(hash) esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、 IPSec封装模式 IPSec支持两种封装模式：传输模式和隧道模式 传输模式：不改变原有的IP包头，通常用于主机与主机之间。 IPSec封装模式 IPSec支持两种封装模式：传输模式和隧道模式 隧道模式：增加新的IP头，通常用于私网与私网之间通过公网进行通信。 IPSec与NAT AH模式无法与NAT一起运行 AH对包括IP地址在内的整个IP包进行hash运算，而NAT会改变IP地址，从而破坏AH的hash值。 IPSec与NAT ESP模式下： 只进行地址映射时，ESP可与它一起工作。 进行端口映射时，需要修改端口，而ESP已经对端口号进行了加密和/或hash，所以将无法进行。 IPSec与NAT ESP模式下： 启用IPSec NAT穿越后，会在ESP头前增加一个UDP头，就可以进行端口映射。 目 录 对上一节的回顾 IPSec协议框架包括加密、hash、对称密钥交换、安全协议等四个部分，这些部分都可以采用多种算法来实现。 端到端IPSec VPN的工作原理 需要保护的流量流经路由器，触发路由器启动相关的协商过程。 启动IKE (Internet key exchange)阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道。 启动IKE阶段2，在上述安全通道上协商IPSec参数。 按协商好的IPSec参数对数据流进行加密、hash等保护。 IKE阶段1 IKE阶段1 协商建立IKE安全通道所使用的参数，