Cisco Group Encrypted Transport VPN
By JoeLau from netyourlife
语音和视频等网络化应用加速了企业对即时互联分支机构、可确保服务质量(QoS)的广域网的需求。这些应用特有的分布式性质促使企业日益需要大规模部署。同时,企业广域网技术也迫使企业在提供基于QoS 的分支机构互联与确保传输安全性之间做出选择。随着网络安全风险的
加剧以及法规遵从能力越来越重要,作为下一代广域网加密技术的思科®
组加密传输VPN 可
帮助您同时在网络智能和数据私密性方面做到尽善尽美。
通过推出组加密传输技术,思科构建了无需隧道的新型虚拟专用网(VPN)。无需部署点到点隧道,分布式的分支机构网络即能够大规模扩展,同时保持对于确保语音和视频质量至关重要的网络智能特性—如QoS、路由和组播等。组加密传输技术基于“可信”组员的概念,提供基于标准的全新IP 安全(IPsec) 模式。可信的成员路由器使用通用的安全方法,与任何点到点的IPsec 隧道无关。 GET VPN是一系列使源自或流过Cisco IOS设备的私有WAN IP多播组流量或单播流量安全的特性集。G
ET VPN结合了关键协议组解释域(Group Domain of Interpretation GDOI)和IPsec加密为用户提供IP多播流量或单播流量的安全。GET VPN使路由器可以应用无隧道加密IP多播和单播数据包并避免了为保护多播和单播流量而必须配置隧道。
Cisco组加密传输VPN提供以下好处:
●提供数据安全和传输认证,通过加密所有WAN流量来帮助符合安全需求和内部规章。
●使用组加密密钥(group encryption keys)替换复杂的点到点密钥管理。 ●对于多协议标签交换(MPLS)网络,维护网络智能特性—如全网互联,natural
routing path和QoS等。
●允许所有站点之间开展不间断的直接通信,无需穿越中央站点,从而确保语音、视频和其
他延迟敏感型流程的低延迟和低抖动。
内容
●Cisco组加密传输VPN的要求
●Cisco组加密传输VPN的限制
●Cisco组加密传输VPN的信息
●如何配置Cisco组加密传输VPN
●验证Crypto Map的Fail-Close模式
●附加信息
●Cisco组加密传输VPN的特性
tek-081
●术语表
Cisco组加密传输VPN的要求
●必须使用Cisco IOS 12.4(11)T
●支持以下Cisco CPN加速模块
-Cisco路由器的Cisco AIM-VPN/SSL模块
-7200系列和7301路由器的VPN加速模块2+
-7200VXR/NPE-G2路由器的vsa(high-performance crypto engine)
●当配置IKE策略时,IKE生存周期必须设置为最小值5分钟,以便在IKE SA上浪费不必
要的资源。在IKE SA建立后,已登记的SA不必维护,因为此rekey SA已经建立并且会接受未来的rekeys。
Cisco组加密传输VPN的限制
●以下平台的限制:
-Cisco 870系列路由器:只可以作为组成员
-Cisco VSA在12.4(15)T5中不支持基于时间的反重放。而12.4(22)T中支持。
●如果加密高流量数据包,比如每秒1000万数据包,生存周期至少配置为11.93小时,
以便SA在序号重复使用前可用。
●对于单播流量,如果一个组成员down了并重新返回,序号也许在组成员之间不会同步
(比如:从组成员1到组成员2的流量,并且最后的序号为X。组成员1 down了并重新返回。组成员1的SA序号现在从1开始,但组成员2认为会继续从前面的序号X+1开始。这种情况导致从组成员1的后续流量被丢弃直到组成员1的序号到达X或下一次rekey)
●传输模式只可以用在组加密传输VPN模式(GM)到GM的流量。
●如果在加密数据包的IP头部设置的DF位,必须在全局模式下配置override命令。GET
VPN不考虑接口的配置。
●因为路径MTU发现(PMTUD)在GET VPN中不工作,在DF位被设置了并且中间链路的
MTU小于封装的数据包尺寸那么封装包也许就会被丢弃。在此情况下,丢弃数据包的路由器会向数据包的源IP地址发送一个通知,指出数据包因为设置的DF位而不能分片而被丢弃。在GET VPN中,由于GET VPN的头部保存特性,此信息会忽略封装端点直接到达数据的源。因此,封装路由器永远不会知道必须在设置DF位之前将数据包分片为更小的尺寸再封装。它会继续在数据包上设置DF位,并且在中间链路路由器上继续丢包。
关于Cisco组加密传输VPN的信息
为配置GET VPN,需要理解以下概念:
●Cisco GET VPN预览
●Cisco GET VPN结构
●Cisco GET VPN特性
●终端用户考虑事项
●系统错误消息
Cisco GET VPN预览
通过推出组加密传输技术,思科构建了无需隧道的新型虚拟专用网(VPN)。无需部署点到点隧道,分布式的分支机构网络即能够大规模扩展,同时保持对于确保语音和视频质量至关重要的网络智能特性—如QoS、路由和组播等。组加密传输技术基于“可信”组员的概念。可信的成员路由器使用通用的安全方法,与任何点到点的IPsec 隧道无关。通过使用信任组来替代点到点隧道,“any-any”网络可以有更好的扩展,同时保持对于确保语音和视频质量至关重要的网络智能特性—如QoS、路由和组播等。
基于GET的网络可以应用在各种WAN环境中,包括IP和MPLS。MPLS VPNs使用这种加密技术有较好的扩展性,可管理性并节省成本,并符合政府强制的加密要求。GET简单化要求部分或全网互联的大的二层或MPLS网络的安全。
Cisco GET VPN结构
GET VPN是一个围绕着多播Rekeying的增强的解决方案,一个Cisco对‘native’多播数据包启用加密的解决方案,和穿越私有WAN的单播rekeying。多播Rekeying和GET VPN都是基于在IETF RFC 3547中定义的GDOI。另外,在头部区域保留和SA查方面和IPSEC类似。添加了IPsec SA的动态分布,去除了IPsec的隧道覆盖特性。
下图说明了GET VPN的概念和和相互之间的关系。
此节包含以下内容:
●密钥分发:组解释域(Group Domain of Interpretation)
●路由
●多播数据安全平面
●单播数据安全平面
密钥分发:组解释域
GDOI(RFC3547)
GDOI组密钥管理协议用来向一组设备提供加密密钥和策略。在GET VPN网络中,GDOI 用来分发共用的IPsec密钥到必须安全通讯的一组启用VPN网关。使用rekey来周期性的刷新并更新所有VPN网关中的这些密钥。
GDOI协议由IKE SA的阶段1保护。所有参与的VPN网关必须使用IKE提供密钥来证明自己。所有IKE认证方法,比如pre-shared key和PKE都支持初始化认证。在此VPN网关认证后并通过此IKE SA提供了相关的安全密钥之后,此IKE SA过期并且GDOI用来升级GMs。GDOI引入了两种不同的加密密钥。一个密钥保护GETVPN 控制平面层,另一个保护数据流量。保护控制平面层的叫作密钥加密密钥(KEK),用来加密数据流量的称为流量加密密钥(TEK)。
GDOI定义了解释域的组密钥管理就像ISAKMP那样。在一个组管理模型中,GDOI协议在组成员和组控制器或密钥服务器(GCKS)之间运行,它将在已授权的组成员间建立SA。ISAKMP定义了协商的两个阶段。GDOI由ISAKMP阶段1的SA保护。阶段2交换由IETF RFC 3547定义。
下图显示拓扑并解释了此协议如何工作。
组成员
到密钥服务器注册的组成员获取IPsec SA或与通讯必须的SAs。组成员向密钥服务器提供组ID以获取各自的策略和此组的密钥。这些密钥周期性的在当前IPsec SA过期前更新,这样就不会丢失流量。GM在注册时可用使用pre-sharedkey或PKI向KS认证。此PSK的
更新不会影响加密数据平面层或控制平面层因为rekeys使用的是KEK。
当使用PSK时,GET VPN支持使用ip地址的GM认证。如果GM的ip地址不匹配ACL,KS 将拒绝GM的注册请求。
列:在KS上:
crypto gdoi group getvpn
server local
authorization address ipv4 50
!
access-list 50 permit 100.1.1.10
access-list 50 permit 101.1.1.0 0.0.0.255
如有不匹配此acl的地址来注册,KS则会有以下提示:
%GDOI-1-UNAUTHORIZED_IPADDR: Group getvpn received registration from unauthorized ip address: 100.1.1.9
密钥服务器
密钥服务器是一个负责建立并维护GET VPN控制平面层的设备。所有加密策略比如感兴趣流,加密协议,SA,rekey计时器等等,都集中由KS定义并在所有GM注册的时候推到GM上。
GMs适用IKE阶段一向KS认证(pre-shared keys或PKI)然后下载GET VPN运行时所需要的加密策略和
密钥。KS也响应更新和分发密钥。
不象传统的IPsec那样,感兴趣流是在KS上定义的(使用访问控制列表)并会下载到每个GM上。推荐尽量将GM网络汇总成较少的条目。比如所有GMs的LAN地址都在10.0.0.0/8
(10.1.1.0/24,10.1.2.0/24等等),在定义感兴趣流时“permit 10.0.0.0/8 to 10.0.0.0/8”比“permit 10.1.1.0/24 to 10.1.2.0/24”, “10.1.1.0/24 to 10.1.3.0/24,”要来的好。
密钥服务器的责任包括维护策略和建立并维护组的密钥。当组成员注册时,密钥服务器将策略和密钥下载到组成员。此密钥服务器在已存的密钥过期前更新密钥(rekey)。
Cisco ASR 1000系列服务器上不支持密钥服务器。
密钥服务器有两个责任:为注册请求服务和发送更新密钥。组成员可以在任意时间注册并接收最新的策略和密钥。当组成员向密钥服务器组册时,密钥服务器验证组成员企图加入的组ID。如果此ID有效,此密钥服务器将SA策略发送到此组成员。在组成员确认后它就可以下载策略了,密钥服务器下载各自的密钥。
密钥服务器有两类密钥可供下载:密钥加密密钥(the key encryption key KEK)和流量加密密钥(traffic encryption key TEK)。KEK成为组成员与同一组的成员通讯的IPsec SA。KEK加密更新密钥消息。
GDOI服务器在IPsec SA将要过期或密钥服务器的策略改变了就会发出更新密钥消息。如果KEK计时过期了也会发生更新密钥,并且密钥服务器也会发出一个KEK更新密钥。此更新密钥消息会周期性的重新发送以解决可能发生的数据包丢失。数据包会丢失是因为更新密钥消息没有使用可靠的传输。如果更新密码机制是多播,就没有有效的反馈机制指出接收者没有收到更新密钥消息,所以使用重传来确保所有接收者都收到了消息。如果更新密码机制是单播,接收者将发送一个确认消息。
组成员参与组必须的协议流
上图显示了参与组的组成员必须的协议流拓扑:
1、组成员向密钥服务器注册。密钥服务器认证并授权此组成员并下载加解密IP多播数据
包必须的IPsec策略和密钥。
2、如果需要,密钥服务器推送一个更新密钥消息到组成员。此更新密钥消息包含新的
IPsec策略和密钥在老的IPsec SAs超时时使用。更新密钥消息会在SA过期前发送以确保组密钥一直有效。
协议消息如何与Cisco IOS一起工作
多播更新密钥使用GDOI协议(IETF RFC3547)来为组分发策略和密钥。此GDOI协议在密钥服务器和组成员间使用的。此密钥服务器创建并维护策略和密钥,并将策略和密钥下载到已认证组成员。组成员由密钥服务器认证并使用从密钥服务器收到的IPsec SAs与在同一个组内的其它已认证组成员通讯。
GDOI协议由ISAKMP 阶段1交换保护。此GDOI密钥服务器和GDOI组成员必须有相同的ISAKMP 策略。此ISAKMP阶段1策略必须足够强壮以保护所跟随的GDOI协议。此GDOI 协议有4个消息交换跟随在ISAKMP 阶段1策略后。此ISAKMP 阶段1交换可以发生在主模式或积极模式。
下图显示ISAKMP阶段1交换:
上述消息(ISAKMP阶段1消息和四个GDOI协议消息)都在GDOI注册时用到,并且以上条目交换都使用单播在组成员和密钥服务器之间交换。
在注册期间,如果密钥更新机制是多播,组成员接收此多播组地址并向此多播组注册。GDOI协议使用UDP端口848,如使用NAT-T则使用4500。
密钥服务器和组成员间的升级IPsec SAs通讯流
密钥服务器和组成员是GET VPN的两个构成组件。密钥服务器为组成员保存并提供组认证密钥和IPsec SAs。
组成员为感兴趣流提供加密服务(流量由IPsec加密)。
密钥服务器和组成员之间的通讯是加密的。GDOI支持使用两个密钥:TEK(traffic encryption key)和KEK (key encryption key。)TEK由密钥服务器下载到所有组成员。TEK在所有组成员与其它成员间通讯使用。此密钥是由所有组成员共享的组密钥。组策略和IPsec SAs由密钥服务器使用周期性的密钥更新消息向所有组成员更新。KEK也由密钥服务器下载,组成员用来解密发自密钥服务器的密钥更新消息。
密钥服务器为此GDOI组产生组策略和IPsec SAs。此由密钥服务器产生的信息包括多个TEK 属性,流量加密策略,生存周期,源和目的,与每个TEK关联的SPI ID和密钥更新策略rekey policy(一个KEK)。
下图描述在组成员和密钥服务器之间的通信流。密钥服务器在收到组成员发送的注册消息后,产生包括组策略和新的IPsec SAs的信息。新的IPsec SA然后会被下载到组成员上。密钥服务器维护一个包含每个组组成员的IP地址的列表。当有组成员注册时,密钥服务器将此成员的IP添加到列表中,从而允许此密钥服务器监控此活跃的组成员。密钥服务器可以支持多个组。一个组成员可以属于多个组。
IPsec和ISAKMP计时器
IPsec和ISAKMP SAs通过以下计时器维护:
●TEK生存周期――决定IPsec SA的生存周期。在此TEK生存周期结束前,密钥服务器会
发送更新密钥消息,此消息包括一个新的TEK加密密钥和变换体和已存在的KEK加密密钥和变换体一样。此TEK生存周期只有在密钥服务器上配置,并此生存周期使用GDOI协议推送到组成员上。此TEK生存周期值由网络的安全策略决定。如果set security-association lifetime命令没有配置,默认值为86400秒。
●KEK生存周期――决定GET VPN更新密钥SAs的生存周期。在此生存周期结束之前,密
钥服务器会发送一个更新密钥消息,此消息包含了一个新的KEK加密密钥和变换体和
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议