本文轉載自http://www.gxlaoyou.com/home.php?mod=space&uid=46&do=blog&id=9
GET ***是一個爲大型企業網準備的***解決方案,做GET ***的首要前提是全網互通,可以對任意到任意的通訊進行加密。而不是像L2L ***一樣只能對指定源目的通訊進行加密。這個也是解決MPLS ***無法加密的一個解決方案。
相對於傳統的L2L ***,GET ***有它的三個明顯優勢存在:
1. 任意到任意的連通性
2. 擴展性
3. 實時性
特別包括:
1、基於現有的路由架構的透傳解決方案
2、IP Header Preservation 技術實現頭部的保留
3、不影響QoS,不增加網絡開銷和複雜度
4、基於Trusted Group Memerbers的概念,在Groups內的Router使用相同的安全策略,比L2L ***管理更簡單
5、Group內成員預先協商安全參數,實現any to any連接
6、即時連接,減少類似語音流量的延時
7、支持對單播和組播的加密
8、是一個WAN 的解決方案,需要全局可路由。
在GET ***中有三個角色:key server、Routing member和Group member。
key server:認證組成員;
管理安全策略;
創建group keys;
分發policy/keys
Routing Members: Forwarding; Replication ; Routing
GET ***的三個組件:
1. GDOI: GDOI協議用於在組成員和組控器、密鑰服務器(GCKS)之間建立安全關聯,實現安全的Group內通訊,GDOI協議適用於 UDP/848
2. GCKS: GCKS是一個Wie組維護策略,創建和維護密鑰的路由器。當一個組成員註冊時,密鑰腐惡uwifasong策略和密鑰到這個組成員。密鑰服務器也會在密鑰超時更新密鑰。服務器會發送兩種類型的密鑰,加密流量的密鑰(TEK)和加密密鑰的密鑰(KEK)。TEK會成爲IPSEC SA。這個SA用於相同的組內成員之間的通訊。TEK是一個本質的組密鑰,它共享給所有的組成員,並且加密組成員之間的流量。KEK用於加密更新密鑰的信息,每一個組成員也用它來解密從密鑰服務器發送過來的更新密鑰信息。
3. GM: 組成員是一臺路由器,他在密鑰服務器上註冊,並且從密鑰服務器獲取IPSEC SA。使用這個SA與屬於這個組的其他設備通訊,組成員在密鑰服務器上註冊並且提供一個組ID,並從服務器獲取用於這個組的安全策略和密鑰。
GET ***還有他的一個優勢是他採用單一的SA,他通過Key Server來分發SA給GM,而不是像L2L ***那樣通過兩者協商出3個SA。
GET ***註冊過程:
1。 GM會發送註冊請求給KS(觸發註冊的條件是:GM啓動或在GM的進出流量的接口上調用crypto map)。通過GDOI協議,KS對組成員認證和授權,並且發送策略和用於加解密IP單播和組播的密鑰。
2。 當組成員註冊成功獲取IPSEC SA後,就會獲取相應的密鑰,組成員之間能夠直接加密IP組播和單播,旁路掉KEY Server直接建立安全的通訊。
3。 如果需要,KEY Server發送的密鑰更新信息(Rekey Message)到組內的所有成員。這個密鑰更新信息包含新的IPSEC策略和當前IPSEC SA超時以後使用的更新的密鑰。密鑰更新信息會在SA超時之前發送,保障組密鑰一直可用。
Cooperative Key Server
Primary: 接受GM註冊,產生密鑰,分發密鑰,通知Secondary KS (密鑰是同步的),發送Rekey。
Secondary: 接受GM註冊,檢測Primary KS是否存在,通知Primary KS新的GM,不發送Rekey。
注意:Primary和Secondary之間只有GM數據庫和密鑰是會自動同步的。但是policy是不會同步的,建議要把兩者的policy配置成相同的。
兩種Anti-Replay 技術:
1。 Counter-Based Anti-Replay : 只適用於連個GM的環境(點對點)
2。 Time-Based Anti-Replay : 適用於多個GM環境(點對多點)
GET ***感興趣流ACL:
1。建議適用可歸納的網段(如10.1.1.0,10.1.2.0,10.1.3.0等),只需要配置一條ACL:
如:access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255
2。 如果網絡不能歸納(如10.1.1.0,172.16.1.0)需要配置兩條ACL,每個方向一條:
如:access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
3。 GM上可以配置GM ACL,只能配置deny條目,優先於從key Server上下載的感興趣流
如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255
GET ***配置步驟回顧:
1。全網可路由
2。在KS上產生和導出密鑰(KS1)
3。配置ISAKMP Policy (KS1,KS2,GM)
4。配置IPSec Profile (KS1,KS2)
5。KS基本配置(KS1,KS2)
6。Rekey參數設置(KS1)
7。配置IPSEC SA策略(KS1,KS2)
8。GM配置crypto map
9。配置coop key Server(KS1,KS2)