Cisco GETVPN

GET VPN简介

GETVPN的优势

GETVPN技术分为以下几个核心组件：

实验

验证

GET VPN简介

CISCO的组加密传输VPN提出了一个名叫信任组的概念，不再使用点到点隧道来承载路由信息。而是由所有的组成员（GMs）共享一个公用SA，在这里可以理解为一个组SA。这个特性将允许组内的成员解密其他成员发送过来的加密流量。同一个组的成员间不再需要协商点到点的IPSEC隧道。

IETF标准化文档RFC 3547中的组解释域Group Domain of Interpretation (GDOI)是GETVPN的最主要的部分。

GET VPN技术是公有开放标准和Cisco私有技术的结合产物，该技术发挥了底层MPLS和共享网络的优势。

GETVPN的优势

为任意节点间瞬时大范围的IP通信提供了安全范本。
只需利用基础的IP路由结构，而不需要在基础结构上构建另一层路由结构。
与传统的IPSec隧道技术相比，GET VPN技术提供了与组播技术的无缝结合。
通过使用加密和封装技术保护了源地址和目的地址之间的通信，同时也可以很好的与QOS等技术协同工作。

GETVPN技术分为以下几个核心组件：

GDOI (RFC 3547)
Key servers (KSs)
Cooperative (COOP) KSs
GMs
IP tunnel header preservation
Group security association
Rekey mechanism
Time-based anti-replay (TBAR)

GDOI：

GDOI组密钥管理协议为一组设备提供了加密密钥和策略的集合。在GET VPN的网络中，GDOI分配一个公钥到组内的其他VPN网关，来确保通信的安全性。组中的所有VPN网关使用一种叫做rekey的方法来定期的更新密钥。

GDOI协议受阶段1的IKE SA保护。所有的VPN网关必须使用IKE进行认证。并且支持所有的IKE认证方法（PSK,PKI）。当VPN网关被认证和通过IKE SA获得密钥后，IKE SA条目超时后，GDOI通过灵活有效的方法更新组成员。

GDOI包含两种不同的加密密钥，其中名为KEK的密钥用来保护GET VPN的控制层面，另外一种名为TEK的密钥用来加密数据流。

IP tunnel header preservation：

传统意义上的IPSEC，隧道端点的地址被作为新的IP包的源和目的。数据包使用加密端的物理接口地址作为源地址，使用解密端的物理接口地址作为目的地址在IP网络上进行路由（隧道模式）。在GET VPN解决方案中,IPSEC保护的数据包将原数据包中的源地址和目的地址复制一份作为整个IP包头中的地址。

GET VPN数据包结构带来的最大优越性表现在可以使用底层的网络对GET VPN的数据包进行路由，分支机构中的高可用性技术可以和GET VPN解决方案无缝结合（如双接入点双链路等），不在需要在IPSec层面上实施高可用性的技术（如双HUB点，状态型高可用性IPSEC技术等）。

Key servers (KSs)

通常情况下IOS设备作为一个Key Server负责创建和维护GET VPN的控制层面。所有的加密策略包括：感兴趣流，加密协议，SA，rekey间隔等等，都需要在KS上进行统一的定义并在组成员想KS注册的时候将策略推送给组成员。

GET VPN是通过KS使用IKE第一阶段来认证组成员，组成员在认证通过后将key和加密策略下载到组成员本地。KS同时负责Key的刷新和分发。

和传统的IPSEC解决方案不同的是，GET VPN的感兴趣流是通过ACL方式定义在KS上，无论GMs是否和KS属于同一个子网内，该ACL都可以被下载到GMs路由器上。在定义感兴趣流的ACL时，建议将GM成员的网络汇总为尽可能的少的条目。例如如果组成员的网络都位于10.0.0.0/8的网络中（10.1.1.0/24,10.1.2.0/24等），最好将感兴趣流定义为permit 10.0.0.0/8 to 10.0.0.0/8”，而不是10.1.1.0/24 to 10.1.2.0/24。非对称的策略将导致ACL条目数量过于庞大，在这种情况下，为大多数组成员定义一个聚合策略是比较理想的策略实现方式。最少条目的聚合策略是permit ip any any，该策略加密GMs之间通信的流量，因此很多时候，我们需要定义排除的列表（使用Deny选项）使某些不需要与其他组成员通讯的数据不进行加密传输。

GMs：

前面已经提到，加密策略主要定义在KS上，当组成员向KS注册时下载这些策略到GM成员的本地，而作为组成员来说，只需要定义IKE的第一阶段和GDOI组信息。基于这些下载的加密策略，GM成员决定哪些流量将被加密和被解密，以及使用什么样的key等。但是，在某些情况下，GM成员可以配置本地的策略来覆盖通过KS得到的策略。例如，在组中的几个成员间运行了路由协议，而这些参加路由协议的流量必须避开加密策略，这个时候我们需要在这些组成员上定义一些策略条目来避开全局的策略。

Group SA：

和传统的IPSEC解决方案不同的是，GET VPN使用组SA的概念。所有GET VPN组内成员间的互相通信使用统一的加密策略和一条公共的SA。有了这些公共的策略，组成员间将不必再协商IPSEC隧道，这减少了路由器的资源消耗。

Rekey Process

以上我们提到，KS不仅仅负责创建加密策略和key，同时也负责更新和分发新key到组成员。当已存在的key超时后，KS将分发新的key到组成员，这个过程就被称为rekey进程。GET VPN支持两种类型的Rekey消息：单播和组播。

如果组成员不能从KS处收到rekey消息（例如KS服务器down或者网络中断），GM将在已存在的IPSEC SA超时前60秒尝试向KS进行注册。如果注册成功，则组成员通过重注册过程收到新的SA并且流量不会产生中断。如果注册不成功，则组成员会每间隔10秒尝试向KS重试三次，如果依然不成功则在已存在的IPSEC SA超时前20秒时，尝试向其他已定义的KS注册。

Unicast Rekey

在单播Rekey的过程中，KS生成一个rekey消息并且将这个消息复制发送给每一个组成员。当组成员收到该消息后，返回一个ACK消息给KS。该机制不仅能确定在KS上注册的活跃组成员是正确的，同时也能确定rekey消息只发送给了活跃的组成员。

KS在网络出现短暂中断的时候，会对Rekey数据包进行重传。如果GM在KS发出的三次rekey的过程中不能响应，则KS会将该GM从活跃的GM数据库中移除，并停止向该GM发送rekey消息。

Multicast Rekey

在组播Rekey的过程中，KS创建一个rekey消息并发送该消息到预先配置好的组播组地址。每一个加入这个组播组的GM，在向KS注册的时候都会受到这个rekey消息的拷贝。

和单播rekey过程不同的是，组播rekey没有ACK的机制。KS不会维护一个活跃的GM数据库。和单播rekey过程相同的是，KS会对Rekey数据包进行重传，已防止短暂的网络中断。

为了使用组播方式的rekey，必须在核心的网络上打开组播功能。

COOP KSs

KS在整个GET VPN中扮演着最重要的角色，KS维护着整个GET VPN的控制层面。因此，仅有一台KS时有可能会在VPN网络中造成单点故障。GET VPN支持多个KS服务器，称之为COOP KSs，用来确保如果主KS失效或者不可达的时侯，GET VPN的控制层面可以使主KS失效时无缝切换到其他的KS。

一个组成员可以配置多个活跃KS服务器，GM会对这个列表进行递归查询。

COOP协议配置在每一个GDOI的基本组内，一个KS可以配置多个GDOI组用来维护多个KSs所关联的不同的COOP列表。

当COOP KSs启动后，所有的KSs都被假设为处于备用状态并开始选举主KS。优先级最高的KS被选举为主KS，同时其他的KS都被置于备用状态。主KS用来创建和分发组策略到所有的GM，并且和其他的COOP KSs进行周期性的同步。

COOP KSs之间交换一种单向的消息通告（从主KS到备用KS）。如果一个备用的KS在一段时间内不能收到主KS发送来的消息，备用的KS将尝试联系主KS并请求更新消息。如果主KS没有响应，则COOP KSs间重新开始选举，直到一个新的主KS被选举出来。

建议在Coop KS内部配置DPD特性，该特性可以使主KS跟踪和显示其他的备用KS的状态。但是需要注意的是在GM和KS之间该功能不是必须的同时也不支持该功能。

Time Based Anti-Replay

在传统的IPSEC vpn解决方案中，防止回放攻击的能力可以防止第三方恶意攻击对IPSEC站点间IPSEC包进行抓包并回放从而造成的DOS攻击。传统的IPSEC VPN解决方案使用基于滑动窗口的计数器：发送者发送使用连续数值的数据包，接收者视同滑动窗口来确定这个包是否是被允许。

我们使用一种新的方法称为基于时间的反回放攻击来保护网络不受第三人的攻击。TBAR在KS上维护一个虚构的时间，所带来的其中一个优点就是不需要在GET VPN的设备间使用NTP来同步时间。主KS为整个组建立并维护一个虚构的时间。主KS会在GM进行rekey更新的时候与GM成员进行虚构时间的同步。每一个GM成员都在数据包内包含一个虚构的时间戳。接收数据包的VPN网关会将数据包内的时间戳和自身与KS同步得到的时间戳进行比较，如果数据包内的时间戳比较晚，则丢弃该数据包。

实验

配置思路

 KS1创建 gdoi group2crypto gdoi group mygroup3//配置gdoi group（所有的KS和GM的ID必须一致）4 identity number 666665//配置本地路由器为KS服务器6 server local7 //定义本地服务器地址8  address ipv4 202.100.1.19  //Rekey基本配置
10  //配置对Rekey message进行签名的RSA密钥
11  rekey authentication mypubkey rsa GETVPN-KEY
12  //配置对Rekey message进行加密的算法，默认的HASH算法为SHA-1
13  rekey algorithm aes 256
14  //定义组播Rekey message的流量，注意默认为组播更新
15  rekey address ipv4 Multicast
16  //配置第一个IPSec SA策略（可以配置多个）
17  sa ipsec 1
18  //匹配感兴趣流
19   match address ipv4 GETVPN-Traffic
20   //配置处理感兴趣的策略
21   profile ipsecprofGM1crypto isakmp policy 102 authentication pre-share3//只需要配置所有KS的"isakmp keys"4crypto isakmp key ccie address 202.100.1.1    5crypto isakmp key ccie address 202.100.1.267crypto gdoi group mygroup8 identity number 66666 (所有的KS和GM的Key必须相同)9 server address ipv4 202.100.1.1(Primary KS)
10 server address ipv4 202.100.1.2(Secondary KS)
11
12GDOI为crypto map提供密钥资源TEK
13crypto map cisco 10 gdoi
14调用GDOI Group
15 set group mygroup
16调用在感兴趣流进出的接口上
17interface Ethernet0/0
18调用crypto map直接触发注册
19 crypto map cisco

全部配置

hostname KS-1
!
crypto isakmp policy 10authentication pre-share
crypto isakmp key qytangccies address 202.100.1.2
crypto isakmp key qytangccies address 202.100.2.1
crypto isakmp key qytangccies address 202.100.2.2
crypto isakmp key qytangccies address 202.100.3.1
crypto isakmp key qytangccies address 202.100.3.2
!
!
crypto ipsec transform-set QYT-Ttrans esp-3des esp-md5-hmac mode tunnel
!
!
crypto ipsec profile ipsecprofset transform-set QYT-Ttrans
!
crypto gdoi group mygroupidentity number 66666server localrekey algorithm aes 256rekey address ipv4 Multicastrekey retransmit 10 number 2rekey authentication mypubkey rsa GETVPN-KEYsa ipsec 1profile ipsecprofmatch address ipv4 GETVPN-Trafficreplay time window-size 3address ipv4 202.100.1.1redundancylocal priority 100peer address ipv4 202.100.1.2
!
crypto gdoi group VRF_Groupidentity number 88888server localrekey retransmit 10 number 2rekey authentication mypubkey rsa GETVPN-KEYrekey transport unicastsa ipsec 1! Incomplete! Match address is not configuredprofile ipsecprofmatch address ipv4 GETVPN_VRF_Trafficreplay time window-size 3address ipv4 202.100.1.2redundancylocal priority 100peer address ipv4 202.100.1.1
!
crypto gdoi group GM_Groupidentity number 99999server localrekey retransmit 10 number 2rekey authentication mypubkey rsa GETVPN-KEYrekey transport unicastsa ipsec 1profile ipsecprofmatch address ipv4 GETVPN-Trafficreplay time window-size 3address ipv4 202.100.1.1redundancylocal priority 100peer address ipv4 202.100.1.2
!
interface Loopback0ip address 172.16.100.1 255.255.255.0ip ospf network point-to-point
!
router ospf 1network 172.16.100.0 0.0.0.255 area 0network 202.100.1.0 0.0.0.255 area 0
!
ip pim rp-address 202.100.1.2
!
ip access-list extended GETVPN-Trafficpermit ip 172.16.0.0 0.0.255.255 172.16.0.0 0.0.255.255
ip access-list extended GETVPN_VRF_Trafficpermit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access-list extended Multicastpermit udp host 202.100.1.1 eq 848 host 239.0.1.2 eq 848
!
End===============================================================================================================
hostname KS-2
!
crypto isakmp policy 10authentication pre-share
crypto isakmp key qytangccies address 202.100.2.1
crypto isakmp key qytangccies address 202.100.2.2
crypto isakmp key qytangccies address 202.100.1.1
!
crypto ipsec transform-set cisco esp-3des esp-md5-hmac mode tunnel
!
crypto ipsec profile ipsecprofset transform-set cisco
!
crypto gdoi group mygroupidentity number 66666server localrekey algorithm aes 256rekey address ipv4 Multicastrekey retransmit 10 number 2rekey authentication mypubkey rsa GETVPN-KEYsa ipsec 1profile ipsecprofmatch address ipv4 GETVPN-Trafficreplay time window-size 3address ipv4 202.100.1.2redundancylocal priority 75peer address ipv4 202.100.1.1
!
crypto gdoi group VRF_Groupidentity number 88888server localrekey retransmit 10 number 2rekey authentication mypubkey rsa GETVPN-KEYrekey transport unicastsa ipsec 1! Incomplete! Match address is not configuredprofile ipsecprofmatch address ipv4 GETVPN_VRF_Trafficreplay time window-size 3address ipv4 202.100.1.2redundancylocal priority 100peer address ipv4 202.100.1.1
!
crypto gdoi group GM_Groupidentity number 99999server localrekey retransmit 10 number 2rekey authentication mypubkey rsa GETVPN-KEYrekey transport unicastsa ipsec 1profile ipsecprofmatch address ipv4 GETVPN-Trafficreplay time window-size 3address ipv4 202.100.1.2redundancylocal priority 75peer address ipv4 202.100.1.1
!
interface FastEthernet0/0ip address 202.100.1.2 255.255.255.0ip pim sparse-modeduplex full
!
router ospf 1network 202.100.1.0 0.0.0.255 area 0
!
ip access-list extended GETVPN-Trafficpermit ip 172.16.0.0 0.0.255.255 172.16.0.0 0.0.255.255
ip access-list extended Multicastpermit udp host 202.100.1.2 eq 848 host 239.0.1.2 eq 848
!
end===============================================================================================================
hostname GM-1
!
crypto isakmp policy 10authentication pre-share
crypto isakmp key qytangccies address 202.100.1.1
crypto isakmp key qytangccies address 202.100.1.2
!
crypto gdoi group mygroupidentity number 99999server address ipv4 202.100.1.1server address ipv4 202.100.1.2
!
!
crypto map cisco 10 gdoi set group mygroupmatch address GM_ACL
!
interface Loopback0ip address 172.16.1.1 255.255.255.0ip ospf network point-to-point
!
interface FastEthernet0/0no ip addressduplex full
!
interface FastEthernet1/0ip address 202.100.2.1 255.255.255.0ip pim sparse-modeduplex fullcrypto map cisco
!
router ospf 1network 172.16.1.0 0.0.0.255 area 0network 202.100.2.0 0.0.0.255 area 0
!
ip access-list extended GM_ACLdeny   ip 172.16.1.0 0.0.0.255 172.16.100.0 0.0.0.255
!end===============================================================================================================
hostname GM-2
!
crypto isakmp policy 10authentication pre-share
crypto isakmp key qytangccies address 202.100.1.1
crypto isakmp key qytangccies address 202.100.1.2
!
crypto gdoi group mygroupidentity number 99999server address ipv4 202.100.1.1server address ipv4 202.100.1.2
!
crypto map cisco 10 gdoi set group mygroup
!
interface Loopback0ip address 172.16.2.1 255.255.255.0ip ospf network point-to-point
!
interface FastEthernet1/0ip address 202.100.2.2 255.255.255.0ip pim sparse-modeduplex fullcrypto map cisco
!
router ospf 1network 172.16.2.0 0.0.0.255 area 0network 202.100.2.0 0.0.0.255 area 0
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip pim rp-address 202.100.1.2
!
End
===============================================================================================================
hostname VRF-GM-1
!
ip vrf MGMTrd 10:10
!
ip vrf Site-1rd 11:11
!
ip vrf Site-2rd 22:22
!
key chain cciekey 1key-string cisco
!
crypto keyring getvpn vrf MGMT pre-shared-key address 202.100.1.1 key qytangcciespre-shared-key address 202.100.1.2 key qytangccies
!
crypto isakmp policy 10authentication pre-share
!
crypto gdoi group VRF_Groupidentity number 88888server address ipv4 202.100.1.1server address ipv4 202.100.2.2client registration interface FastEthernet0/0.10
!
crypto map cisco 10 gdoi set group VRF_Groupinterface Loopback100ip vrf forwarding Site-1ip address 192.168.1.1 255.255.255.0
!
interface Loopback200ip vrf forwarding Site-2ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.10encapsulation dot1Q 10ip vrf forwarding MGMTip address 202.100.3.1 255.255.255.0
!
interface FastEthernet0/0.11encapsulation dot1Q 11ip vrf forwarding Site-1ip address 10.1.1.1 255.255.255.0ip authentication key-chain eigrp 11 cciecrypto map cisco
!
interface FastEthernet0/0.22encapsulation dot1Q 22ip vrf forwarding Site-2ip address 10.1.1.1 255.255.255.0ip authentication mode eigrp 22 md5ip authentication key-chain eigrp 22 cciecrypto map cisco
!
router eigrp 22
!
router eigrp 1122!address-family ipv4 vrf Site-1 autonomous-system 11network 10.1.1.0 0.0.0.255network 192.168.1.0exit-address-family!address-family ipv4 vrf Site-2 autonomous-system 22network 10.1.1.0 0.0.0.255network 192.168.1.0exit-address-family
!
ip route vrf MGMT 202.100.1.0 255.255.255.0 202.100.3.10
!
end
===============================================================================================================
hostname VRF-GM-2
!
ip vrf MGMTrd 10:10
!
ip vrf Site-1rd 11:11
!
ip vrf Site-2rd 22:22!
!
key chain cciekey 1key-string cisco!
crypto keyring getvpn vrf MGMT pre-shared-key address 202.100.1.1 key qytangcciespre-shared-key address 202.100.1.2 key qytangccies
!
crypto isakmp policy 10authentication pre-share
!
crypto gdoi group VRF_Groupidentity number 88888server address ipv4 202.100.1.1server address ipv4 202.100.2.2client registration interface FastEthernet0/0.10
!
crypto map cisco 10 gdoi set group VRF_Group
!
interface Loopback100ip vrf forwarding Site-1ip address 192.168.2.1 255.255.255.0
!
interface Loopback200ip vrf forwarding Site-2ip address 192.168.2.1 255.255.255.0
!
interface FastEthernet0/0.10encapsulation dot1Q 10ip vrf forwarding MGMTip address 202.100.3.2 255.255.255.0
!
interface FastEthernet0/0.11encapsulation dot1Q 11ip vrf forwarding Site-1ip address 10.1.1.2 255.255.255.0ip authentication key-chain eigrp 11 cciecrypto map cisco
!
interface FastEthernet0/0.22encapsulation dot1Q 22ip vrf forwarding Site-2ip address 10.1.1.2 255.255.255.0ip authentication mode eigrp 22 md5ip authentication key-chain eigrp 22 cciecrypto map cisco
!
router eigrp 1122!address-family ipv4 vrf Site-1 autonomous-system 11network 10.1.1.0 0.0.0.255network 192.168.2.0exit-address-family!        address-family ipv4 vrf Site-2 autonomous-system 22network 10.1.1.0 0.0.0.255network 192.168.2.0exit-address-family
!
ip forward-protocol nd
!
ip route vrf MGMT 202.100.1.0 255.255.255.0 202.100.3.10
!
end===============================================================================================================ASA
interface GigabitEthernet0/0nameif insidesecurity-level 100ip address 202.100.1.10 255.255.255.0
!
interface GigabitEthernet0/1nameif outsidesecurity-level 0ip address 202.100.2.10 255.255.255.0
!
interface GigabitEthernet0/2nameif dmzsecurity-level 50ip address 202.100.3.10 255.255.255.0
!
access-list out extended permit icmp any any
access-list out extended permit udp any any eq 848
access-list dmz extended permit icmp any any
access-list dmz extended permit udp any any eq 848
access-group out in interface outside
access-group dmz in interface dmz
router ospf 1network 202.100.1.0 255.255.255.0 area 0network 202.100.2.0 255.255.255.0 area 0network 202.100.3.0 255.255.255.0 area 0

验证

Cisco GETVPN相关推荐

《跟菜鸟学Cisco UC部署实战》-第 1 章规划-课件(一共12章，免费)
链接:https://pan.baidu.com/s/1RiIphSUG5dsbPPqWaynHjQ 提取码:xjp9 复制这段内容后打开百度网盘手机App,操作更方便哦 <跟菜鸟学Cisco ...
《Cisco/H3C交换机配置与管理完全手册（第2版）》终稿封面和目录
无数网友一直殷切期待和关注的<Cisco/H3C交换机配置与管理完全手册>(第2版)一书即将于本月底正式上市了.到时对于真实读者,写书评后可以参加全额返款的抽奖活动,加入我的微博(本博客首 ...
CISCO设备上DHCP实例
Cisco设备上设置DHCP实例 -------------------------------------------------------------------------------- ...
cisco aaa 授权后门测试
最近遇到一个客户aaa没有正确的配置,导致自己被关在设备外面的case:由于是生产环境的多交换机堆叠单元,重启忽略配置也是不允许的,且必须远程操作解决,无疑提升了解决问题的难度. 多次尝试后发现通过c ...
Cisco *** 完全配置指南-连载-PIX和ASA连接的故障诊断与排除
Cisco *** 完全配置指南-连载-PIX和ASA连接的故障诊断与排除一.ISAKMP/IKE阶段1连接<?xml:namespace prefix = o ns = "urn: ...
Cisco asa 5510升级IOS和ASDM
Cisco asa <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" ...
Cisco路由器安全配置必用10条命令
当谈到配置一台新的cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,每位管理员都有其自己的"正确"配置每台路由器的命令列表.笔者将和你分享他自己配置路由器的十条 ...
(ASA) Cisco Web ××× 配置详解 [三部曲之一]
(ASA) Cisco Web ××× 配置详解 [三部曲之一] 注意:本文仅对Web×××特性和配置作介绍,不包含SSL ×××配置,SSL ×××配置将在本版的后续文章中进行介绍. 首先,先来 ...
cisco PIX防火墙的配置及注解完全手册
PIX Version 6.3(1) interface ethernet0 auto 设定端口0 速率为自动 interface ethernet1 100full 设定端口1 速率为100兆全双工 ...

Cisco GETVPN

GET VPN简介

GETVPN的优势

GETVPN技术分为以下几个核心组件：

实验

验证

Cisco GETVPN相关推荐

最新文章

热门文章