隧道源和隧道目的地地址是传输网络地址空间的一部分。它们需要匹配两个端点,以便一个路由器上的源地址是远程设备上的目标地址。路由器还必须在其路由表中具有路径到隧道目标地址。下一跳到隧道目的地必须指向真实接口而不是隧道接口。
在这种情况下,路由器在公共网络上具有192.168.2.1隧道目的地的隧道接口。然而,用于隧道IP地址的40.0.0.0/24网络是站点1和2上使用的私有地址空间的一部分。
IPsec
IPsec为IP网络提供了全面的安全服务套件。IPSec最初是构思的,以提供对IP网络的安全运输。安全服务包括强大身份验证(身份验证标题[一只手加密(标题协议、密码和密钥交换机制。IPsec通过协商功能、密钥和安全算法为对等点提供了一种互操作方式。
IPSec对等体维护安全关联的数据库。一种安全协会(SA)是对等体之间的合同,它定义了以下内容:
使用的特定加密和认证算法,例如Triple des(三重数据加密标准)
IPSec协议服务(封装安全载荷[esp]或啊)
与对等体沟通所需的关键材料
启动IPSec会话时,SA是协商的。每个IPsec标头都包含对此数据包的唯一引用安全参数索引字段,它是对处理包所需的SA的32位数值引用。对等点维护入站和出站处理的sa列表。SPI的值在对等点之间共享。它是IPsec会话协商期间交换的内容之一。
在协议级别,有两个IPsec标题:
啊- 在双方之间进行非专定认证。身份验证服务还提供消息完整性和某些情况(Identity)欺骗。
ESP- 处理两方之间的加密通信。加密服务允许对欺骗和重放攻击进行消息机密性,完整性,非分析和保护。
可以单独使用认证和加密服务。如果组合使用,AH标题在ESP标题之前。
封装IPsec包有两种方法。第一种模式称为隧道模式,它对IPsec有效负载中的整个IP包进行加密,包括报头。为加密的数据包生成一个新的IP报头,如图4-7。
IPSec隧道模式堆栈
隧道模式为新的IP报头增加了20- 8字节的过载。为了减少与数据包大小和碎片有关的问题,定义了第二种模式,称为传输模式。传输模式只是保护TCP/UDP层,并显示在图4-8。隧道模式优于遍历时的运输模式网络地址解读(NAT)设备。
IPSec传输模式堆栈
IPsec需要大量的谈判来提出会话。这么多,因此有一个单独的控制信道协议,调用互联网键交换(ike),用于在对等体和交换键材料之间进行协商SA。请注意,IKE不是强制性的;您可以静态配置SAS。
IKE不仅在隧道设置期间使用。在机密数据交换期间,可能需要定期更改用于保护单向流量的会话密钥,并且IKE用于协商新密钥。
IKE交通本身是加密的,事实上它有自己的SA。大多数参数都如下所示:
56位加密
消息摘要5(MD5)算法或安全散列算法(SHA)散列
Rivest,Shamir,Adleman(RSA)(公钥)签名或预共享密钥
IKE在UDP / 500上运行。IPSec使用IP协议值为50和51。
Cisco IOS IPsec配置
IPsec的内容要比您在这里看到的多得多,但是配置有三个基本部分,分别对应于首先为IKE设置SAs,然后为会话本身设置SAs,以及定义要加密的通信流。配置步骤如下:
第一个基本部分是IKE策略。IKE将与远程对等方协商自己的SA,因此它也需要策略。该加密isakamp政策命令定义身份验证的类型,以及用于保护IKE交换的遥控器和共享密钥的IP地址,如图4-8所示。
例4-8IKE策略设置
crypto isakmp策略1验证预共享crypto isakmp密钥秘密地址10.0.3.11
在第二个基本部分是一个加密地图中,加密地图的角色是定义该路由器将接受设置SA的遥控器,加密和验证算法(称为变换),以及要加密的有趣流量。与Cisco IOS一样,使用标准访问列表定义有趣的流量。如果数据包匹配访问列表条目,则在加密地图中定义了IPSec策略,应用于数据包。示例4-9具有一个Crypto Map,它将任何流量配置为地址10.0.3.11与访问列表101匹配要使用称为一个的IPsec服务加密。
例4-9IPsec Crypto地图
Crypto Map VPN 1 IPSec-ISAKMP Set Peer 10.0.3.11设置安全关联寿命秒数180设置变换设置一个匹配地址101
该SA的认证和加密算法在变换集中定义(因此它们可以在多个SA定义之间共享)。变换集在实施例4-10中给出。它指定AH和ESP服务,MD5用于身份验证和用于加密。
例子4到10IPSec变换集
Crypto IPsec Transform-Set一个AH-MD5-HMAC ESP-DES
第三步是在输出接口上应用加密地图,如实施例4-11。这完成了拼图。现在,当数据包输入或离开此路由器上的Serial0接口时,将它们与访问列表101进行比较(请参阅示例4-9中的加密映射),如果存在匹配,根据示例4中定义的服务加密。-10。
例4 -与加密地图接口
接口Serial0 IP地址10.0.2.11 255.255.255.0无IP MRRUTE-Cache没有公平队列加密地图VPN
l2tpv3.
注意 -附录A包含本节的扩展版本,它更详细地讨论了L2TPv3协议。
L2TPv3协议由组件组成,用于调出,维护和拆除会话,以及将不同层2流复用到隧道中的能力。
L2TP协议有一个控制平面和一个数据平面。控制通道可靠。有15种不同的控制消息类型。主要的是控制通道本身的设置和拆除(参见附录A了解更多细节)。L2TPv3对等点可以在设置阶段交换会话的能力信息。其中最重要的是会话ID和cookie。
会话ID类似于控制通道标识符,它是一个“快捷”值,接收方将其与特定会话的协商上下文相关联(例如,有效负载类型、cookie大小等等)。
cookie是最多64位最多可选的可变长度字段。cookie是一个加密随机数,扩展会话标识符空间,以确保由于损坏的会话ID而误导了数据包的机会很少。264.是一个大量的,只要它是随机的,cookie就会使L2TPv3不透过野蛮欺骗攻击,其中攻击者试图将数据包注入活动会话。
通过控制会话建立会话后,L2TP端点已准备好发送和接收数据流量。虽然数据标题具有序列号字段,但数据信道不可靠。协议可以检测丢失,重复或无序数据包,但不会重新发送。这留给了更高层次的协议。
RFC允许使用本机控制协议或静态或使用另一种控制机制设置数据通道。
在第5章之后的设计部分中,“基础设施分割架构:理论”,您将在坦率地看,GRE可以解决问题以及L2TPv3。那么这两个协议之间的差异是什么?以下是其中的列表:
无处不在-gre可以在任何地方找到。它是一个旧的(在互联网术语中,无论如何),建立的协议,而且实现应该是强大的。L2TPv3,更近期,不太普遍。
性能——高速链接,特别是在企业网络,encapsula-tion税(头长度等等)远不如二十年前的一个问题,当试图挤出每一盎司的波特率从1200个基点的链接是一个重要的问题对于全世界的网络管理员。在千兆速度下,一个设计良好的协议所使用的字节数并不是真正的问题,只要实现是在硬件上运行的。关于最后一点,找到GRE的硬件实现可能比找到L2TPv3更容易。
有效载荷协议-RFC 3931具体说明L2TPv3被设计为携带层2协议。GRE是一种可以携带任何其他协议的多功能解决方案。然而,魔鬼在细节中,GRE“实现”可以限于特定协议(例如以太网或IP)。此外,L2TPv3已扩展以携带IP流量。
曲奇饼- 这是两方案之间最基本的差异。GRE没有相当于饼干字段。如果这对您来说并不重要 - 并记得主要优点是提供针对欺骗的保证,可能会使您的选择更加符合协议本身之间的任何区别。
l2tpv3 iOS配置
对于L2TPv3的IOS配置,有三件事需要配置:
控制信道参数
数据通道参数
连接电路参数
要配置第一个参数,请使用l2tp-class控制通道设置命令。在这里,您可以更改序列号设置等,但所需的最低密码是两个对等体已知的共享密码。示例4-12演示了使用此命令。
例4 - 12l2tp-class命令
l2tp类L2WAN密码7 00071A150754
与经典L2TP设置一样,如果您不给出主机名参数,则使用设备名称。
配置的第二部分是数据通道。思科IOS使用pseudowire命令是一个通用模板,也用于MPLS(称为Atom)设置的第2层。该伪枢纽类指定封装,并指的是控制信道设置协议L2TPv3.名称命令(如果省略此问题,则使用默认控制通道设置)。该伪枢纽类还包含用作L2TPv3包源地址的接口的名称。
例42L2TP.伪枢纽类命令
封装l2tpv3协议l2tpv3 L2WAN ip本地接口串行1/0
L2TPv3拓扑
配置的最后一部分(参见示例14-14)将客户面面向客户端的附件电路绑定到中继端口Xconnect.命令(已经在本节早些时候讨论中介绍了VPLS)。该Xconnect.命令定义远程对等IP地址和唯一虚拟电路(VC)在每个对等体上使用的标识符,以将L2TPv3有效载荷映射到正确的附件电路。L2TPv3端点为每个VC ID协商唯一的会话和Cookie ID值,如图所示图4-9。您必须为每个VLAN,端口或配置不同的VC ID数据链路连接标识符(DLCI)通过L2TPv3隧道运输(目前,Cisco L2TPv3支持以太网,802.1Q [VLAN],帧中继,高级数据链路控件[HDLC]和PPP)。
学报》第4 - 14例Xconnect.命令
接口Ethernet0 / 0描述客户面向端口无IP地址否CDP启用XConnect 192.168.2.1 103封装L2TPv3 PW类R103R104
有趣的是,虽然第二和第三个版本的协议以相对较小的方式不同,但是命令行界面(CLI)配置与标准不同L2TP访问集中器/ L2TP网络服务器(LAC/LNS)配置,你可能已经用于拨号或数字用户线(DSL)网络。但是,有明显和刻意的,与其他伪控制解决方案相似,如以太网/ MPLS(Eompls)。
标签交换路径
标签交换路径LSPs是前面所有数据路径解决方案的有趣混合:带有第3层控制平面的第2层数据路径。当然,可以在MPLS网络中找到LSPs,这是一个生成了整个图书馆书架的书籍和其他文档的主题。在本章中,我们简要回顾了数据包是如何通过MPLS网络的。我们没有涉及标签分发或任何主要的MPLS应用,如VPN或流量工程(MPLS VPNs将在第5章中深入讨论)。
我们将要覆盖的内容总结如下:
LSP是跨越由单个跳跃段组成的MPLS网络的隧道。
MPLS网络使用IP控制平面。
LSP在IP路由表中为所有已知的IP前缀设置。
LSPs可以在物理链路上多路复用。
MPLS网络中的每个节点都基于固定长度的标签而不是可变长度的前缀进行转发。
标签在垫片标题中携带,位于第2层和第3层标题之间。
节点使用标签分发协议向相邻节点分发标签。
基本标签交换易于配置
必须在所有跳跃上配置标签切换。