IPSec方案部署(多业务场景)

技术点详解—IPSec方案部署

经过前面几期的介绍能够发现IPSec所涉及的参数不少，在具体方案部署过程当中有许多灵活选择的地方，本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。

1、              常规IPSec方案

 

上图所示网络环境是最基本的IPSec应用场景：

1.       响应方不管在何种环境都是固定的公网地址；

2.       发起方也是固定的公网地址；

3.       双方都是用IKE主模式进行协商；

4.       双方都互相指定对端IP地址，即双方均可以发起协商，没有固定的发起方、响应方；

5.       双方只能使用隧道模式，由于兴趣流192.168.1.0/24ßà192.168.0.0/24和IPSec隧道端点不一致。

因为只有大型企业才有可能为全部分支机构申请一个固定IP地址，商务领航客户一般是中小型企业，固定地址的状况并很少见，因此该场景更多出如今实验室环境中，在该方案中，若是有多个发起方，那么响应方须要对每一个发起方制定IPSec策略。

2、              发起方公网地址不固定状况下的IPSec部署

 

上面这个场景比较常见：

1.       响应方地址固定，如6.16.5.6；

2.       多个发起方使用动态接入互联网方式，如PPPoE拨号，这种方式中，发起方每次拨号地址有可能不一致，因此在响应方中没法使用指定对端IP地址方式限制对端身份；

3.       发起方则必需要指定响应方IP，不然没法发起协商；

4.       双方可使用预共享密钥方式对身份进行确认及保护；

5.       双方依然只能使用隧道模式；

6.       兴趣流的指定是比较有意思的事情，发起方是必需要配置兴趣流的，图中只举了一个发起方配置兴趣流的示例，那么响应方呢？响应方没有配置，而是采用由发起方指定的方式，即在协商过程当中，响应方得知发起方的兴趣流是192.168.1.0/24à192.168.0.0./24，会自动为该响应方生成反向兴趣流192.168.1.0/24ß192.168.0.0./24，那么为何要这么使用呢？

a)       发起方地址是动态的；

b)       响应方没法及时提早获知发起方地址，所以没有指定发起方的IP地址；

c)       因为响应方的兴趣流爷是与发起方相关的，而响应方中发起方的身份标识是IP地址，故响应方没法提早为发起方指定兴趣流；

d)       替代方法就是响应方在协商过程当中，动态地识别发起方，并接受发起方的兴趣流；

e)       这种方式还能在响应方配置工做带来简化，不须要为每一个发起方制定IPSec策略。

3、              部分发起方经过NAT网关链接到互联网

 

在上图中，有部分发起方躲在NAT网关后面链接互联网，如发起方Spartacus，在这种状况下，咱们的IPSec方案该如何制定呢？

1.       大致上和方案二相似；

2.       IKE协商模式要修改为野蛮模式（Aggressive Mode）；

3.       须要在IKE协商模式中打开NAT穿越，目前大部分厂家实现中，NAT穿越都变成默认选项。

针对这种发起方地址动态变化的状况，还有一个相对来讲更加安全的解决方案，即响应方须要指定发起方。

 

咱们从方案的标题能够看出，有的方案是“响应方指定发起方”，有的是“不指定”，具体区别在于以下两点：

1.       响应方指定对端IP地址或者指定对端名字，即指定响应方的固定身份标识，而不是动态身份；

2.       响应方为特定的响应方指定兴趣流用于协商。

在上一期专栏中介绍在IPSec中最经常使用的身份标识是IP地址，而在发起方动态IP或者存在NAT网关的状况下，就没法为发起方指定IP地址了，所以方案中使用指定名字方式做为身份标识，而使用名字做为身份标识则必须使用IKE的野蛮模式：

1.       响应方为每一个发起方指定名字；

2.       响应方为每一个发起方指定兴趣流。

若是不指定发起方，那么只要与共享密钥泄露，任意发起方都可以与响应方创建IPSec会话，指定发起方后，除掌握预共享密钥外，还必须掌握发起方IP地址（仿冒IP地址只能做为攻击手段，而非通讯手段）或者名字才能够发起协商，所以安全性要比不指定发起方要高。

4、              企业分支使用GRE Over IPSec进行网络互连

 

为何要使用GRE Over IPSec来互连呢，有以下好处：

1.       分支网络和总部网络都比较复杂，须要使用路由协议进行互联；

2.       IPSec隧道在承载路由协议上不如GRE隧道方便；

3.       GRE隧道不能提供加密保障，所以须要和IPSec进行结合；

4.       GRE Over IPSec方案的优势在于，使用GRE在两个网关之间搭建一个隧道，运行路由协议及传输正常数据，使用IPSec对整个GRE隧道进行加密。

在这个方案中，特殊之处在于：

1.       发起方、响应方的IP地址都是固定不变的，采起了响应方指定发起方的配置方式；

2.       发起方、响应方的GRE隧道源地址和目的地址和IPSec隧道的源地址、目的地址一致，所以可使用传输模式，提升传输效率，能够对比一下图中推荐的兴趣流配置与GRE隧道配置。

一样，若是发起方地址不是固定的，或者发起方躲在NAT网关后面，那么能够采起以下方式。

 

GRE隧道的特色是要求隧道的源、目的必须是固定的，所以在这种环境中：

1.       全部网关设置Loopback地址，如响应方设置环回接口地址为192.168.1.1/32，两个发起方分别为192.168.1.2/24和192.168.1.3/24；

2.       使用Loopback接口地址分别在响应方和各发起方之间创建GRE隧道；

3.       因为IPSec隧道是使用链接互联网地址创建的，所以与兴趣流不一致，只能使用隧道模式；

4.       因为是发起方地址动态得到，因此使用IKE野蛮模式+指定名字方式；

5.       以上两种方式能够混合，即根据发起方地址类型，分别配置身份标志类型、封装模式和兴趣流，能够有部分发起方和响应方是指定IP地址+传输模式的，另一部分则使用指定名字+隧道模式。

5、              对外出员工采用L2TP Over IPSec方案

 

在以前的L2TP专栏中，咱们了解到了L2TP主要是为单个外出员工提供远程接入企业网络的方案，而L2TP自己不提供加密服务，所以L2TP结合IPSec就可以为外出员工提供安全可靠的远程接入解决方案：

1.       外出员工的特色就是地址不固定，即采用IKE野蛮模式；

2.       兴趣流是L2TP流量，即发起方到响应方的UDP 1701流量，所以也就代表了兴趣流也不是固定的，响应方只能采起由对端指定兴趣流方案；

3.       因为如上两点缘由，响应方能够采起不指定发起方；

4.       因为有部分发起方要穿越NAT，必需要使用隧道模式。

本期将常见的IPSec应用场景进行了介绍，并对各个场景中对IPSec配置方案有影响的地方进行分析。IPSec专题介绍，到此告一段落。