IPSec方案部署.docVIP

技术点详解---IPSec方案部署 通过前面几期的介绍可以发现IPSec所涉及的参数很多，在具体方案部署过程中有许多灵活选择的地方，本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。 一、????????????? 常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景： 1.?????? 响应方无论在何种环境都是固定的公网地址； 2.?????? 发起方也是固定的公网地址； 3.?????? 双方都是用IKE主模式进行协商； 4.?????? 双方都互相指定对端IP地址，即双方都可以发起协商，没有固定的发起方、响应方； 5.?????? 双方只能使用隧道模式，因为兴趣流192.168.1.0/24??192.168.0.0/24和IPSec隧道端点不一致。 由于只有大型企业才有可能为所有分支机构申请一个固定IP地址，商务领航客户通常是中小型企业，固定地址的情况并不多见，所以该场景更多出现在实验室环境中，在该方案中，如果有多个发起方，那么响应方需要对每个发起方制定IPSec策略。 二、????????????? 发起方公网地址不固定情况下的IPSec部署 上面这个场景比较常见： 1.?????? 响应方地址固定，如6.16.5.6； 2.?????? 多个发起方使用动态接入互联网方式，如PPPoE拨号，这种方式中，发起方每次拨号地址有可能不一致，所以在响应方中无法使用指定对端IP地址方式限制对端身份； 3.?????? 发起方则必须要指定响应方IP，否则无法发起协商； 4.?????? 双方可以使用预共享密钥方式对身份进行确认及保护； 5.?????? 双方依然只能使用隧道模式； 6.?????? 兴趣流的指定是比较有意思的事情，发起方是必须要配置兴趣流的，图中只举了一个发起方配置兴趣流的示例，那么响应方呢？响应方没有配置，而是采用由发起方指定的方式，即在协商过程中，响应方得知发起方的兴趣流是192.168.1.0/24?192.168.0.0./24，会自动为该响应方生成反向兴趣流192.168.1.0/24?192.168.0.0./24，那么为什么要这么使用呢？ a)?????? 发起方地址是动态的； b)?????? 响应方无法及时提前获知发起方地址，因此没有指定发起方的IP地址； c)?????? 由于响应方的兴趣流爷是与发起方相关的，而响应方中发起方的身份标识是IP地址，故响应方无法提前为???起方指定兴趣流； d)?????? 替代方法就是响应方在协商过程中，动态地识别发起方，并接受发起方的兴趣流； e)?????? 这种方式还能在响应方配置工作带来简化，不需要为每个发起方制定IPSec策略。 三、????????????? 部分发起方通过NAT网关连接到互联网 在上图中，有部分发起方躲在NAT网关后面连接互联网，如发起方Spartacus，在这种情况下，我们的IPSec方案该如何制定呢？ 1.?????? 大体上和方案二类似； 2.?????? IKE协商模式要修改成野蛮模式（Aggressive Mode）； 3.?????? 需要在IKE协商模式中打开NAT穿越，目前大部分厂家实现中，NAT穿越都变成默认选项。 针对这种发起方地址动态变化的情况，还有一个相对来说更加安全的解决方案，即响应方需要指定发起方。 我们从方案的标题可以看出，有的方案是“响应方指定发起方”，有的是“不指定”，具体区别在于如下两点： 1.?????? 响应方指定对端IP地址或者指定对端名字，即指定响应方的固定身份标识，而不是动态身份； 2.?????? 响应方为特定的响应方指定兴趣流用于协商。 在上一期专栏中介绍在IPSec中最常用的身份标识是IP地址，而在发起方动态IP或者存在NAT网关的情况下，就无法为发起方指定IP地址了，因此方案中使用指定名字方式作为身份标识，而使用名字作为身份标识则必须使用IKE的野蛮模式： 1.?????? 响应方为每个发起方指定名字； 2.?????? 响应方为每个发起方指定兴趣流。 如果不指定发起方，那么只要与共享密钥泄露，任意发起方都能够与响应方建立IPSec会话，指定发起方后，除掌握预共享密钥外，还必须掌握发起方IP地址（仿冒IP地址只能作为攻击手段，而非通信手段）或者名字才可以发起协商，因此安全性要比不指定发起方要高。 四、????????????? 企业分支使用GRE Over IPSec进行网络互连 为什么要使用GRE Over IPSec来互连呢，有如下好处： 1.?????? 分支网络和总部网络都比较复杂，需要使用路由协议进行互联； 2.?????? IPSec隧道在承载路由协议上不如GRE隧道方便； 3.?????? GRE隧道不能提供加密保障，因此需要和IPSec进