部署單位動態(tài)IPSec VPN

■ 江蘇 張韜

編者按：如今很多單位總部與分部之間都還使用VPN通訊，并且提高了單位的溝通效率，但VPN的安全建設也是不應忽視的，本文探討在單位中部署動態(tài)IPSec VPN。

在site to site類型VPN中，在進行isakmp第一階段認證時，需要為每一個VPN peer指定一個密碼，而且在定義Crypto Map時，同樣需要指定peer地址來為每個VPN對等體定義一組相應配置。

隨著VPN鄰居數(shù)量不斷增加，配置工作量就會相應的成倍增加。如果有100家甚至更多的分公司需要和總部之間通過VPN通信，總部網(wǎng)絡VPN設備上就要有100組VPN配置甚至更多，這顯然工作量太大。

此外，有時VPN設備的IP地址通過DHCP服務分配，并不固定，在有多個分支機構(gòu)場景下使用site to site類型的VPN顯然是不現(xiàn)實的。

如果要和多個分支機構(gòu)同時建立VPN，實際中我們通常使用通配符認證的配置方法?？梢酝ㄟ^定義peer的地址范圍來配置密碼，就可以實現(xiàn)密碼通用的功能，VPN對等體數(shù)量越多，總部VPN配置的工作量減少的越明顯。即使peer的IP地址是通過自動分配方式獲取，不知道具體IP地址也沒有關系，可以使用通配符0.0.0.0 0.0.0.0來表示所有peer地址。無論和多少個peer建立VPN，只需要使用一條命令來定義密碼，總部即可接受任何分公司地址的VPN連接，總部定義的VPN第一階段認證密碼對任何一個遠端VPN對等體都生效。

此外，總部不僅需要為每個peer定義認證密碼，還需要為每個peer定義Crypto Map，但工作量仍然太大，所以我們使用稱為Dynamic Map（動態(tài)Map）的方式來解決。只要配置一個Crypto Map就能夠讓所有遠端peer使用，而不再需要單獨定義每個peer的地址，也是采用0.0.0.0表示任意地址，這樣無論有多少個peer，無論peer是誰，都可以使用動態(tài) Map，且總部也不需配置ACL定義相應感興趣數(shù)據(jù)流。

通過使用上述通配符認證配置方法與動態(tài)Map技術，我們只需配置一次認證密碼和一個動態(tài)Map就能同時實現(xiàn)總部和許多分部之間VPN peer通信，可以接受任何一個分部發(fā)起的VPN連接，配置和管理工作量得到減少，這種VPN連接方式被稱為IPsec Dynamic site to site VPN（DyVPN），現(xiàn) 在 許多企業(yè)級的路由器和防火墻都支持此種類型的VPN技術。

在IPSec Dynamic site to site VPN中，把能夠接受所有對等體發(fā)起VPN連接的設備稱為Hub端，通常是企業(yè)總部VPN設備；遠端稱為Spoke端，通常為分部VPN設備。只需在Hub端應用通配符認證方法和動態(tài)Map技術，而Spoke端的配置與site to site VPN配置方法一樣。雖然Spoke端IP地址可以是任意地址，但Hub端必須是固定的IP地址，因為Spoke端配置時必須要指定peer地址。

IPSec Dynamic site to site VPN的工作原理和普通IPsec VPN一樣，無論是Hub端還是Spoke端，SA信息必須建立和明確。對于Spoke端而言，很容易定義感興趣數(shù)據(jù)流，但對于Hub端，因為它能夠與任何路由器建立VPN，Hub端不知道具體網(wǎng)絡流量該發(fā)往哪個peer，所以Hub端是無法靠自己發(fā)送流量給對方來完成SA建立，只能在Spoke端去初始化完成，需要先由Spoke端向Hub端發(fā)送流量來形成相應SA信息，否則通信雙方之間無法建立起SA。

所有Spoke端設備連接到Hub端時，它們的VPN配置幾乎都一樣，唯一不同就在于每一個Spoke端定義的到達Hub端感興趣流量ACL不同而已。

下面就在GNS3模擬器上以路由器之間配置Dynamic Site to site VPN來驗證效果。

圖1 IPSec Dynamic site-to-site VPN拓撲結(jié)構(gòu)

如圖1所示，總部需要同時和兩個分公司之間實現(xiàn)VPN通信，總部出口路由器R1的公網(wǎng)IP地址是12.1.1.1，分公司1出口路由器R3的公網(wǎng)IP地址是23.1.1.3，分公司2出口路由器R4的公網(wǎng)IP地址是通過DHCP方式從ISP動態(tài)獲取。中間R2路由器模擬Internet，R5路由器模擬總部內(nèi)部局域網(wǎng)主機，R3和R4路由器的lo0口分別模擬各自分公司內(nèi)部局域網(wǎng)主機。

這里各路由器IP地址配置部分省略。分別在R1和R3路由器上配置到達R2的默認路由，模擬實現(xiàn)Internet部分之間的互聯(lián)。此外，在R2上配置DHCP服務，為R4分配公網(wǎng)接口IP地址和默認路由。

R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2

在R5上通過配置到達R1的默認路由實現(xiàn)和外部之間訪問。

R5(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

在R2上配置DHCP服務，向R4提供動態(tài)IP地址。

R2(config)#service dhcp

R2(config)#ip dhcp excluded-address 24.1.1.2

R(config)#ip dhcp pool net24

R2(dhcp-config)#network 24.1.1.0 255.255.255.0

R2(dhcp-config)#default-router 24.1.1.2

經(jīng)過測試，總部路由器R1已經(jīng)可以實現(xiàn)和分公司路由器R3和R4公網(wǎng)接口之間的互聯(lián)，但卻無法和R3、R4上lo0口代表的內(nèi)部局域網(wǎng)實現(xiàn)通信，需要進行Dynamic VPN配置來實現(xiàn)總部和分公司內(nèi)網(wǎng)之間的互通。

圖2 分公司路由器R3上VPN配置

1．總部路由器R1上VPN配置

（1）在配置ISAKMP策略

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash sha

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 2

定義ISAKMP policy 1，加密方式為3des，hash算法為SHA，認證方式為預共享密鑰方式，密鑰算法為group 2類型。

（2）配置通配符認證方法

R1(config)#crypto keyring zdxy

R1(conf-keyring)#preshared-key address 0.0.0.0 0.0.0.0 key 123

R1(config)#crypto isakmp profile test

R1(conf-isa-prof)#keyring zdxy

R1(conf-isa-prof)#match identity address 0.0.0.0

配置了名為test的IPSec profile，并定義任何Spoke端認證密碼都為123。

（3）配置IPSec轉(zhuǎn)換集

R1(config)#crypto ipsec transform-set tran esp-3des esp-sha-hmac

配置名為tran的轉(zhuǎn)換集，數(shù)據(jù)封裝使用esp加3des方式加密，使用esp加sha方式做hash計算，使用默認的tunnel模式。

（4）定義Dynamic Map

R1(config)#crypto dynamic-map dymap 10

R1(configcrypto-map)#set transform-set tran

R1(configcrypto-map)#set isakmpprofile test

定義了名為dymap的動態(tài)Map，并調(diào)用前面定義的名為test的IPSec profile和名為tran的transformset。

（5）創(chuàng)建crypto map

R1(config)#crypto map abc 10 ipsec-isakmp dynamic dymap

定義名為abc的Crypto Map，這里的 Crypto Map只需要與前面定義的動態(tài)Crypto Map關聯(lián)即可。此外，Hub端是不需要定義感興趣流量的。

（6）將Crypto Map應用于出接口

R1(config)#int f0/0

R1(config-if)#crypto map abc

2．分公司路由器R3上VPN配置

如圖2所示。

最后，測試VPN連通性。先從Hub端路由器R5中的內(nèi)容向Spoke端路由器R3中的lo0口測試，發(fā)現(xiàn)不通。

圖3 IKE SA已經(jīng)成功建立

圖4 Hub端路由器R1查看SA信息

R5#ping 200.1.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.1.1.3,timeout is 2 seconds:

……

Success rate is 0 percent (0/5)

而由Spoke端路由器R3向Hub端路由器R5進行測試，發(fā)現(xiàn)可以穿越VPN。

R3#ping 10.1.1.5 source 200.1.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.5,timeout is 2 seconds:

Packet sent with a source address of 200.1.1.3

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 92/122/176 ms

以上結(jié)果證明了在Dynamic Site to site VPN中，Hub端不能先向Spoke端發(fā)起流量來觸發(fā)SA建立，Hub端的SA只能由Spoke端發(fā)送流量來觸發(fā)建立。

當再次從Hub端向Spoke端發(fā)送流量時，則可以ping通，流量可以穿越VPN。

R5#ping 200.1.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.1.1.3,timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 88/105/120 ms

在R1上查看IKE SA的peer，可以看到R1已經(jīng)成功與R3建立了IKE peer，目標端口號為500。

R1#show crypto isakmp peers

Peer: 23.1.1.3 Port: 500 Local: 12.1.1.1

Phase1 id: 23.1.1.3

查 看R1上 的ISAKMP SA信息，可以看到IKE SA已經(jīng)成功建立，并且為激活狀態(tài)。如圖3所示。

同理，分公司2中的R4路由器上除了感興趣流量ACL不一樣外，其余VPN配置和R3路由器完全一樣，此處省略R4上配置。同時這里也必須先由Spoke端路由器R4向Hub端路由器R1發(fā)送流量，來觸發(fā)SA的建立。

當Hub端R1與多個Spoke端建立VPN后，也應有與多個Spoke對應的SA來保證通信，所以當前Hub端路由器R1可以同時看到發(fā)往分公司1和分公司2的SA信息。如圖4所示。

如果還有更多的分公司要和Hub端建立VPN連接，也是一樣的過程。但Hub端并沒有增加新的認證和配置，極大提升了可操作性和靈活性，這就是Dynamic Site to site VPN在網(wǎng)絡中部署的優(yōu)勢。