吳剛

摘 要： IPSec VPN技術(shù)體系解決了局域網(wǎng)在Internet的穿越問題和安全問題，集成了多種加解密和驗(yàn)證算法。華為的VRP和銳捷的RGOS都能高效實(shí)現(xiàn)IPSec VPN的完整技術(shù)，各有特色。在華為的VRP和銳捷的RGOS分別配置實(shí)現(xiàn)IKE SA和IPSec SA并進(jìn)行比較研究，有助于掌握市場(chǎng)主流網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)技術(shù)。

關(guān)鍵詞： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2018）11-24-03

Abstract： IPSec VPN technology system， which integrates a variety of encryption and decryption and verification algorithms， solves the problems of LAN accesses securely across the Internet. Huawei's VRP and Ruijie's RGOS can efficiently realize the complete technology of IPSec VPN， each of them has own characteristics. This paper configures and implements IKE SA and IPSec SA in Huawei VRP and RGOS respectively to make a comparative study， which is helpful to grasp the dominant network device implementation technology in the market.

Key words： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

0 引言

IPSec VPN技術(shù)體系復(fù)雜，為了解決局域網(wǎng)在Internet的穿越問題和安全問題，集成了IKE、IPSec、AH、ESP、DES/3DES/AES、MD5/SHA1/SHA2、DH、PKI、RSA/DSA等多種結(jié)構(gòu)和算法。市場(chǎng)主要使用的華為陣營網(wǎng)絡(luò)系統(tǒng)VRP（Versatile Routing Platform）平臺(tái)和思科陣營的銳捷RGOS平臺(tái)都能高效實(shí)現(xiàn)IPSec VPN的完整技術(shù)，各有特色。對(duì)比市場(chǎng)上應(yīng)用廣泛的技術(shù)，有助于掌握主流技術(shù)發(fā)展進(jìn)程。

1 IPSec VPN技術(shù)體系和流程

IPSec VPN一般而言，在支持IKE（Internet Key Exchange密鑰交換協(xié)議）的功能體系中，包括兩大部分，即IKE SA部分和IPSec SA部分。本文暫不討論P(yáng)KI公鑰證書體系。實(shí)施也分為兩個(gè)階段，即IKE SA建立階段和IPSec SA建立階段。在這兩個(gè)建立階段之后，業(yè)務(wù)IP報(bào)文加密封裝的過程是在IPSec SA的保護(hù)之下完成的[2]。如圖1所示。

1.1 IKE SA階段

IKE協(xié)議層次：應(yīng)用層，傳輸層協(xié)議和端口：UDP/500。這個(gè)階段有IKE v1主模式（main）、IKE v1野蠻模式（aggressive）和IKE v2三種協(xié)商模式。

IKE v1主模式通過6條消息交互建立一條IKE SA，1-2條消息協(xié)商加密算法、驗(yàn)證算法、完整性算法、偽隨機(jī)數(shù)PRF算法、DH組密鑰交換算法，3-4條消息交換密鑰材料（用來生成后續(xù)加密和IPSec SA加密所需的密鑰），5-6條消息交換身份和認(rèn)證信息（被加密）。

IKE v1野蠻模式通過3條消息交互建立一條IKE SA，1-2條消息協(xié)商加密算法、驗(yàn)證算法、完整性算法、偽隨機(jī)數(shù)PRF算法、DH組密鑰交換算法，交換密鑰材料，第3條消息響應(yīng)請(qǐng)求端。全部未加密。

IKE v2對(duì)v1做改進(jìn)，通過兩次交換共4條消息，同時(shí)建立IKE SA和IPSec SA。第1-2條消息協(xié)商加密算法、驗(yàn)證算法、完整性算法、偽隨機(jī)數(shù)PRF算法、DH組密鑰交換算法以及DH密鑰材料。第3-4條消息完成前面的消息驗(yàn)證、身份認(rèn)證和IPSec SA的協(xié)商建立（被加密）。創(chuàng)建了IKE SA和IPSec SA后，如果需要?jiǎng)?chuàng)建更多的IPSec SA只需要2條消息就可以了，因?yàn)檫@些IPSec SA是在同一個(gè)IKE SA保護(hù)之下，所以就是子SA了。

相對(duì)來說，IKE v2更簡潔和優(yōu)秀，效率和安全性都得以保證。

需要說明的是，IKE v1主模式只支持對(duì)等體的IP地址、數(shù)字證書做標(biāo)識(shí)，而IKE v1野蠻模式和IKE v2支持對(duì)等體的IP地址、數(shù)字證書、name、FQDN做標(biāo)識(shí)。

1.2 IPSec SA階段

這個(gè)階段采用快速模式通過3條消息交互建立IPSec SA連接，因?yàn)镮PSec SA連接是單向的，所以是兩條。3條消息發(fā)送和確認(rèn)隧道模式、封裝加密協(xié)議（AH/ESP）、加密算法、驗(yàn)證算法、身份認(rèn)證信息（密鑰和密鑰材料），如果選擇PFS功能則通過額外的DH交換計(jì)算新的密鑰參與生成密鑰材料。

IPSec SA選擇了PFS完美向前保密功能后，每隔一段時(shí)間會(huì)重新交換DH密鑰材料，利用這個(gè)一次性的短暫密鑰系統(tǒng)保證之后的IPSec SA加密通信安全獨(dú)立于之前的IPSec SA加密通信。

封裝加密協(xié)議：AH協(xié)議層次：傳輸層，協(xié)議號(hào)：50，ESP協(xié)議層次：傳輸層，協(xié)議號(hào)：51。在NAT穿越（NAT Traversal）功能中封裝在UDP/4500報(bào)文。AH協(xié)議只提供驗(yàn)證功能，不能加密數(shù)據(jù)，而且不支持NAT的穿越功能。而ESP支持驗(yàn)證、加密及NAT穿越[1]。

2 華為VRP平臺(tái)實(shí)現(xiàn)IPSec VPN配置方案

為了簡化問題論述，在此只討論Site to Site情景的IPSec VPN配置方案。

如圖2所示，RA為企業(yè)總部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器，RB為企業(yè)分部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器。RA路由器配置如下：

模塊1 配置ACL，ipsec policy保護(hù)流

acl number 3100

rule 5 permit ip source 10.10.10.0 0.0.0.255

destination 10.10.20.0 0.0.0.255

模塊2 配置IPSec安全提議

ipsec proposal ipsec_pro_1

esp authentication-algorithm sha2-256

模塊3 配置IPSec IKE提議

ike proposal 10

encryption-algorithm aes-cbc-128

authentication-algorithm sha2-256

模塊4 IKE協(xié)商的ID名稱

ike local-name beijing01

模塊5 配置IKE Peer對(duì)等體

ike peer shanghai v1

exchange-mode aggressive //IKE V1野蠻模式

pre-shared-key cipher huawei

ike-proposal 10 //引用模塊3：配置IPSec IKE提議

local-id-type name //配置IKE協(xié)商時(shí)本端的ID類型

remote-name shanghai01

//配置對(duì)端IKE peer的ID名稱，對(duì)端模塊4

local-address 200.200.200.1 //本端隧道口地址

remote-address 200.200.201.1 //遠(yuǎn)端隧道口地址

模塊6 配置IPSec策略

ipsec policy ipsec_map1 10 isakmp

security acl 3100 //引用模塊1， IPSec policy保護(hù)流

ike-peer shanghai //引用模塊5，IKE Peer對(duì)等體

proposal ipsec_pro_1 //引用模塊2，IPSec安全提議

#

ip route-static 10.10.20.0 255.255.255.0 200.200.200.2

ip route-static 200.200.201.0 255.255.255.0 200.200.200.2

#

interface Ethernet1/0/0 //配置外網(wǎng)接口

ip address 200.200.200.1 255.255.255.0

ipsec policy ipsec_map1 //引用模塊6：IPSec策略

#

interface Ethernet2/0/0 //配置私網(wǎng)接口

ip address 10.10.10.254 255.255.255.0

#

RB路由器配置和RA路由器互為鏡像配置，不贅述[3-4]。

3 銳捷RGOS平臺(tái)實(shí)現(xiàn)IPSec VPN配置方案

為簡化問題，仍以圖2的site to site場(chǎng)景的IPSec VPN組網(wǎng)配置。RA為企業(yè)總部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器，RB為企業(yè)分部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器。

RA路由器配置如下：

模塊1 配置ACL，ipsec policy保護(hù)流

access-list 101 permit ip 10.10.10.0 0.0.0.255

10.10.20.0 0.0.0.255

# 開放 IKE

crypto isakmp enable

模塊2 配置IPSec IKE策略

crypto isakmp policy 1

authentication pre-share

encrytion 3des

模塊3 配置IKE的預(yù)共享密鑰

crypto isakmp key 0 ruijie address 200.200.201.1

//對(duì)端隧道口地址

模塊4 配置IPSec SA的變換集合

crypto ipsec transform-set ipsec_set esp-des

esp-md5-hmac

模塊5 定義一個(gè)加密映射集合（類似IPSec策略）

crypto map ipsec_map 5 ipsec-isakmp //使用IKE SA

方式（模塊2和模塊3的配置會(huì)關(guān)聯(lián)進(jìn)來）

set peer 200.200.201.1

set transform-set ipsec_set

//引用模塊4： IPSec SA的變換集合

match address 101

//引用模塊1： ACL，ipsec policy保護(hù)流

！

interface FastEthernet0

ip address 10.10.10.254 255.255.255.0

# 將加密映射集合應(yīng)用到接口

interface Serial0

ip address 200.200.200.1 255.255.255.0

encapsulation ppp

crypto map ipsec_map

//引用模塊5：加密映射集合（類似IPSec策略）

！

ip route 0.0.0.0 0.0.0.0 Serial0

RB路由器配置和RA路由器互為鏡像配置，不贅述[5-6]。

4 總結(jié)

銳捷的RGOS和華為的VRP都能很好實(shí)現(xiàn)IKE及IPSec VPN功能。從工程應(yīng)用配置來看，有如下區(qū)別。

⑴ 從配置關(guān)鍵字表述上，對(duì)IKE SA配置，華為VRP用ike proposal（提議），銳捷RGOS用isakmp policy（策略）。

⑵ 華為VRP用了ike peer對(duì)等體的配置來集成ike的提議和對(duì)端的其他配置，銳捷RGOS省掉了對(duì)等體的這個(gè)模塊，利用在map里指定ipsec-isakmp來內(nèi)置調(diào)用IKE SA的配置即isakmp policy配置和認(rèn)證密鑰（預(yù)共享密鑰）。華為VRP的IKE配置方式的模塊調(diào)用和邏輯性更強(qiáng)一些。

⑶ 華為VRP用ipsec proposal （提議）來配置ipsec SA的封裝方式和加密驗(yàn)證協(xié)議，銳捷RGOS用ipsec transform-set（變換集合）來配置ipsec SA的封裝方式和加密驗(yàn)證協(xié)議

⑷ 華為VRP的ipsec policy集成了IKE SA配置和ipsec SA配置，銳捷RGOS用加密映射map集成ipsec SA配置，用關(guān)鍵字ipsec-isakmp來內(nèi)置調(diào)用IKE SA的配置。

華為VRP的關(guān)鍵字和模塊調(diào)用更適合我們的理解和使用習(xí)慣，更容易學(xué)習(xí)和掌握。

參考文獻(xiàn)（References）：

[1] 徐慧洋，白杰，盧宏旺.華為防火墻技術(shù)漫談[M].人民郵電出版社，2015.

[2] 王鳳領(lǐng).基于IPSec的VPN技術(shù)的應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012.9：250-253

[3] 0sunjie0.華為USG防火墻IPsec ***配置[EB/OL].http：//blog.51cto.com/sunjie123/1742580，2016-02-16.

[4] xjzhujunjie.華為IPSEC-***-典型配置舉例2-采用IKE 方式自動(dòng)協(xié)商建立IPsec 安全隧道[EB/OL].http：//blog.51cto.com/xjzhujunjie/817931，2012-03-26.

[5] Alan Zhuang.銳捷交換機(jī)IPsec VPN 的實(shí)現(xiàn)[EB/OL].https：//blog.csdn.net/shuaigexiaobo/article/details/80492100，2018-06-01.

[6] [巴西]Alexandre M.S.P. Moraes.Cisco防火墻[M].人民郵電出版社，2014.