窃听PE或P路由器之间的线条 - 特别是如果MPLS核心被路由在不受信任的区域,例如公共互联网上。
P路由器的不端行为,可以导致数据包更改或路由到错误的出口PE。
但是,它没有提供VPN安全性。
有一些与安全相关的特殊情况,PE-PE IPSec适用和可用。
在美国,ILE雷竞技比分C市场国家运营商在其PE路由器上举办本地VPN连接。要在另一个状态连接到另一个VPN站点,载体需要遍历公共网络。PE-PE IPSEC是一种用于保护此运输的适当技术。然而,在这种情况下,MPLS核心因此不能被认为是封闭的可信区域。使用IPSec提供此安全性,它对VPN客户来说很透明,因为他们认为它们已连接到整体可信MPLS VPN核心。
在一个欧洲国家,政府将各个部门与国家政府的骨干联系起来。当时还没有可用的MPLS服务,所以政府建立了一个租用线路的网络,并将路由器连接到这些线路上。因为政府希望为政府部门提供vpn,它建立了自己的MPLS核心,由这些租用的线路连接。这些pe都位于安全的政府大楼,但是线路不安全,所以在这种特殊情况下也选择了PE-PE IPsec加密。需要注意的是,这种部署与一般的服务提供商MPLS VPN部署不同,因为在这种情况下,“提供商边缘”路由器实际上是客户边缘设备,因此从逻辑上讲,IPsec是从客户站点应用到客户站点。这种部署模型确实提供了客户安全性。
另一种方法是在ce之间运行IPsec,但这种情况会更复杂,因为通常ce的数量明显高于pe的数量。
除特殊情况外,由于安全原因,目前PE-PE之间的IPsec应用并不多。它显然不是VPN安全的通用解决方案。这种情况下需要使用CE-CE IPsec。
除了在CE-CE和PE-PE之间使用IPSec,还有三种形式的使用IPsec:作为远程访问VPN的方式。
远程接入IPsec到MPLS VPN
在企业网络中,远程工作人员通过VPN连接到家庭网络:这曾经是拨号;然而,今天大多数出差员工使用IPsec从无线热点、酒店和会议大楼连接到他们的办公室。在传统的设置中,企业在自己的网络中提供VPN集中器。如果企业已经是MPLS VPN业务的客户,可以将IPsec远程接入外包给服务提供商。图6-8显示此设置。
IPsec远程接入MPLS VPN
在PE路由器上终止对端用户的IPsec隧道,根据对端用户的身份将其映射到VPN中。因此PE路由器需要完成两个任务:IPsec远程访问终止和MPLS PE。
在这种应用中,IPsec主要是作为一种安全的接入方式进入用户的VPN。IPsec的保护保护了在任何不可信的基础设施(如公共无线热点或Internet)上传输的数据。
使用IPSec的所有选项都有其特殊应用,优点和缺点。应用IPEC的各种方式总结在表6-1中。
表6-1 IPsec在MPLS中的应用概况
| 保护 | 分位点 | PE-PE | 远程访问 |
| 窃听核心 | 是的 | 是的 | - |
| 窃听接入线 | 是的 | 没有 | - |
| 从VPN外部接收流量 | 是的 | 没有 | - |
| 发送VPN以外的VPN流量 | 是的 | 没有 | - |
| 通过假冒CE入侵 | 是的 | 没有 | - |
| 访问安全性 | - | - | 是的 |
| 针对VPN的DoS | 没有 | 没有 | - |
从表6-1可以看出,三种IPsec模型的适用性完全不同,不能相互替换:CE-CE IPsec保护VPN免受外部威胁;PE-PE IPsec有非常特殊和有限的应用,如前一节所述;而IPsec远程访问是IPsec的一种非常特殊的用途,而不是通用的安全解决方案,因为它只保护进入VPN的访问,而不是通用VPN流量。
现在它应该清楚地实现IPsec端点的位置。下一个考虑是如何建立IPSec隧道。有各种方法可以部署IPSec隧道,下一节讨论了这些选项。
在MPLS上部署IPSec
上一节中讨论的模型描述了建立了IPSec隧道(例如,PE-PE),但不是如何建立隧道,这是部署IPsec网络时的第二种设计考虑因素。IPSec隧道建立的主要选择是
静态IPsec在这种模式下,每个IPsec节点都静态地配置其所有IPsec对等体、认证信息和安全策略。这是最古老的IPsec配置方式。它很难配置,因为每个IPsec节点都需要大量配置;但是因为这是最古老的配置IPsec的方式,所以现在大多数平台都支持它。静态IPsec在RFC 2401-2412中有描述。可应用于CE-CE和PE-PE。
动态IPsec-in hub-and-spoke环境,可以在没有每个辐条的特定信息的情况下配置集线器;只有辐条知道如何到达集线器,只有当辐条可以验证自己时,才建立IPSec隧道。远程访问IPSec使用类似的想法,但通常在AAA服务器上进行身份验证。Cynamic IPSec也受到支持,也可以用于CE-CE以及PE-PE。
动态多点VPN(DMVPN)-这个模型的工作原理是下跳解析协议(NHRP):每个IPsec节点都保存着如何到达下一跳服务器的信息,下一跳服务器将向发起节点返回目标IPsec节点的地址。这是一种非常可伸缩的按需动态建立IPsec隧道的方式。DMVPN适用于CE-CE和PE-PE。
群体解释领域(GDOI)-所有以前的模型维护每个对等体的IPsec安全关联,即使对等体是动态发现的。这将限制一个IPsec域内的节点数量,因为每个节点必须为每个活跃的对等体保持状态。GDOI仅为整个IPsec节点组维护单一的安全关联,例如为VPN内的所有节点。这意味着一个组中的所有IPsec节点必须共享相同的加密/认证密钥。密钥由安全密钥服务器管理。每个节点与密钥服务器建立一个静态IPsec连接;组的其余部分是动态的,不需要状态。RFC 3547描述了GDOI。GDOI在写这本书的时候还没有出现。
这些不同的IPsec设计可能相当复杂,每个模型都有许多子选项。这本书只能作一个概述。有关IPsec技术的更多信息,请参阅http://www.cisco.com/go/ipsec/。
如第1章“MPLS VPN安全性:概述”解决方案的整体安全性取决于三部分:正确的架构,操作和实现。本节讨论架构及其功能。要使整体网络安全,也必须正确实现和操作IPSec服务。
使用其他加密技术
IPsec并不是确保传输数据安全的唯一方法。在IPsec广泛使用之前,链路加密设备就已用于此目的。此外,SSL最近得到了更广泛的应用。
链路加密已经使用多年,市场上针对特定的链路层协议存在各种解决方案。问题是,链路加密仅保护单个链路,而不能从VPN的角度提供端到端安全性。因此,链路加密设备在MPLS VPN环境中不常用。
这安全套接字层(SSL)在过去几年中受到了很多关注。IPSec和SSL都提供安全的传输,但堆栈中的不同点:IPSec在网络层上行为,这意味着它就像IP一样,独立于传输介质和在顶部运行的应用程序。这意味着可以在端点上使用IPSec而不对应用程序或堆栈中的下层进行任何改变。然而,SSL基于传输层安全性并位于堆栈中的第4层。这对于超文本传输协议(HTTP)之类的应用程序非常适合,其位于TCP层顶部。但是,必须映射到SSL上的其他协议。图6-9描绘了堆栈中的协议及其位置。
IPsec和SSL
SSL在VPN网关中得到了广泛的应用,如VPN访问仅用于访问网页等。这些场景的优点是SSL不需要PC上的客户端。
在MPLS VPN环境中,SSL不用于CE-CE或PE-PE安全性,但它可以用作远程访问技术。无论需要VPN级安全性,IPSec都是当今的关键技术,所有部署选项都是如此。
有些情况下,加密箱位于CE后面的客户网络中。它们通常实现混合防火墙/加密功能,有时基于SSL。在这种情况下,包括CEs在内的MPLS网络并不参与加密:它只传输碰巧经过加密的IP数据包。
总结
IPSec和MPLS VPN是互补技术:MPLS VPN帮助服务提供商缩放其VPN网络。这一优势将作为较低价格标签传递给客户。MPLS提供完整的VPN分离,但没有加密安全性。如果需要,IPSec帮助VPN客户进一步保护VPN。这两种技术都很好地工作。
在考虑特定的MPLS IPsec解决方案之前,应该明确定义目标:哪些是威胁,哪些必须被保护?有了清晰的威胁模型,通常很容易找到IPsec部署模型。例如,如果目标是保护VPN流量不受入侵、窃听和服务提供商的错误配置的影响,那么解决方案必须位于VPN的受信任区域内。不包括在pe上部署IPsec。因此,典型的部署是CE-CE。
为每个部署方案建立IPSec隧道有各种选项。有关详细信息,请参阅特定的IPsec文献;例子在附录B中列出。
版权所有©2007培生教育。保留所有权利。