CCIE安全-組加密***(GET ***)知識總結

本文轉載自http://www.gxlaoyou.com/home.php?mod=space&uid=46&do=blog&id=9

GET ***是一個爲大型企業網準備的***解決方案，做GET ***的首要前提是全網互通，可以對任意到任意的通訊進行加密。而不是像L2L ***一樣只能對指定源目的通訊進行加密。這個也是解決MPLS ***無法加密的一個解決方案。

       相對於傳統的L2L ***，GET ***有它的三個明顯優勢存在：

             1. 任意到任意的連通性

             2. 擴展性

            3. 實時性

       特別包括：

            1、基於現有的路由架構的透傳解決方案

            2、IP Header Preservation 技術實現頭部的保留

            3、不影響QoS，不增加網絡開銷和複雜度

            4、基於Trusted Group Memerbers的概念，在Groups內的Router使用相同的安全策略，比L2L ***管理更簡單

            5、Group內成員預先協商安全參數，實現any to any連接

            6、即時連接，減少類似語音流量的延時

            7、支持對單播和組播的加密

            8、是一個WAN 的解決方案，需要全局可路由。

      在GET ***中有三個角色：key server、Routing member和Group member。

             key server：認證組成員；

                                  管理安全策略；

                                 創建group keys；

                                 分發policy/keys

              Routing Members:    Forwarding;     Replication ;       Routing

GET ***的三個組件：

1. GDOI： GDOI協議用於在組成員和組控器、密鑰服務器（GCKS）之間建立安全關聯，實現安全的Group內通訊，GDOI協議適用於   UDP/848

2. GCKS:    GCKS是一個Wie組維護策略，創建和維護密鑰的路由器。當一個組成員註冊時，密鑰腐惡uwifasong策略和密鑰到這個組成員。密鑰服務器也會在密鑰超時更新密鑰。服務器會發送兩種類型的密鑰，加密流量的密鑰（TEK）和加密密鑰的密鑰（KEK）。TEK會成爲IPSEC SA。這個SA用於相同的組內成員之間的通訊。TEK是一個本質的組密鑰，它共享給所有的組成員，並且加密組成員之間的流量。KEK用於加密更新密鑰的信息，每一個組成員也用它來解密從密鑰服務器發送過來的更新密鑰信息。

3. GM:        組成員是一臺路由器，他在密鑰服務器上註冊，並且從密鑰服務器獲取IPSEC SA。使用這個SA與屬於這個組的其他設備通訊，組成員在密鑰服務器上註冊並且提供一個組ID，並從服務器獲取用於這個組的安全策略和密鑰。

GET ***還有他的一個優勢是他採用單一的SA，他通過Key Server來分發SA給GM，而不是像L2L ***那樣通過兩者協商出3個SA。

GET ***註冊過程：

1。 GM會發送註冊請求給KS（觸發註冊的條件是：GM啓動或在GM的進出流量的接口上調用crypto map）。通過GDOI協議，KS對組成員認證和授權，並且發送策略和用於加解密IP單播和組播的密鑰。

2。 當組成員註冊成功獲取IPSEC SA後，就會獲取相應的密鑰，組成員之間能夠直接加密IP組播和單播，旁路掉KEY Server直接建立安全的通訊。

3。 如果需要，KEY Server發送的密鑰更新信息（Rekey Message）到組內的所有成員。這個密鑰更新信息包含新的IPSEC策略和當前IPSEC SA超時以後使用的更新的密鑰。密鑰更新信息會在SA超時之前發送，保障組密鑰一直可用。

Cooperative Key Server

Primary：        接受GM註冊，產生密鑰，分發密鑰，通知Secondary KS （密鑰是同步的），發送Rekey。

Secondary：   接受GM註冊，檢測Primary KS是否存在，通知Primary KS新的GM，不發送Rekey。

注意：Primary和Secondary之間只有GM數據庫和密鑰是會自動同步的。但是policy是不會同步的，建議要把兩者的policy配置成相同的。

兩種Anti-Replay 技術：

1。 Counter-Based Anti-Replay   ： 只適用於連個GM的環境（點對點）

2。 Time-Based Anti-Replay        ： 適用於多個GM環境（點對多點）

GET ***感興趣流ACL：

1。建議適用可歸納的網段（如10.1.1.0，10.1.2.0，10.1.3.0等），只需要配置一條ACL：

       如：access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255

2。 如果網絡不能歸納（如10.1.1.0，172.16.1.0）需要配置兩條ACL，每個方向一條：

       如：access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

              access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

3。 GM上可以配置GM ACL，只能配置deny條目，優先於從key Server上下載的感興趣流

        如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255

GET ***配置步驟回顧：

1。全網可路由

2。在KS上產生和導出密鑰（KS1）

3。配置ISAKMP Policy （KS1,KS2,GM）

4。配置IPSec Profile （KS1,KS2）

5。KS基本配置（KS1,KS2）

6。Rekey參數設置（KS1）

7。配置IPSEC SA策略（KS1,KS2）

8。GM配置crypto map

9。配置coop key Server（KS1,KS2）