当第一次讨论的MPLS VPN的想法,有MPLS的VPN和IPSec VPN之间竞争的一个强有力的概念。很多人表示担忧MPLS VPN技术都的IPSec VPN添加显著的优势,而事实上,这是在某些方面逊色:在默认情况下,MPLS VPN没有在网络上提供机密性,例如。
如今,至少有一种强烈的市场观念认为MPLS vpn是有用的。实际上,MPLS vpn和IPsec vpn都有重要的部署,这表明这两种类型都有各自的优点,尽管在不同的场景中。MPLS VPN的优势主要体现在服务提供商方面,该技术支持高度可扩展的VPN架构,并支持集成的QoS。VPN客户通过更低的价格间接受益,因为服务提供商可以提供更便宜的VPN服务。IPsec vpn在客户网络安全方面有其主要优点:传输中的数据经过加密、认证,并保持完整性。
我们将不参加在这里的参数有关的VPN技术是针对特定的网络更好或更合适。相反,我们将提供关于如何在两个VPN技术可以一起使用的技术参数。两者有不同的目标群体,在VPN客户和服务供应商的优势。两者的结合可以导致一个非常引人注目的整体VPN架构。
本章的第一部分给出了与MPLS的IPsec在一起的多种部署方案的概述。随后的章节给他们每个人的更多细节。最后,一些实际的决策准则就如何决定哪些IPsec的映射到MPLS的方式是最好的一个给定的情况下。
IPsec概述
IPsec是一种技术,通过IP网络提供安全服务:
通过使用加密保密
通过使用对等和消息身份验证的真实性
通过使用消息完整性检查的完整性
抗重播,通过身份验证的序列号,以消息的保证新鲜度
IPsec的一个主要优点是它的安全服务都应用于第三层,即网络层,就像IP一样。通过这种方式,安全服务仍然独立于底层传输机制以及栈顶使用的协议和应用程序。
注意 -IPsec解决了最典型的安全需求,如刚才讨论的机密性。然而,IPsec没有提供答案的一个重要要求是可用性。IPsec的使用通常不会使网络不易受到DoS攻击。
的IPsec可以在原则上,被施加端对端,例如,客户端和服务器之间。IPsec的运输方式可以用来做这个。然而,IPsec目前最广泛的应用是在公司网络中的特定IPsec网关之间。在这种情况下,办公室(受信任区域)内的流量通常是透明的,IPsec网关保护公共网络上的流量。在这种情况下,隧道模式用于隧道数据包从一个办公室安全其他。图6-1显示了传输模式和隧道模式及其典型应用。
注意 -在口语,IPsec的“加密”的数据包。这里我们使用术语“安全”的,而不是因为加密只是IPsec的几个特点之一。
IPsec传输模式和隧道模式
有了这两种连接模式,有两种方法可以明文IP数据包映射到一个IPsec数据包。在隧道模式下,整个明文IP分组被固定,并且一个新的IP头部被换成,接着在IPsec报头标识的IPsec网关之间的逻辑连接。在传输模式中,在原始IP头被保留,并且在IPSEC报头担保IP分组之前插入。图6-2显示这两种数据包格式。
IPsec的报文格式
一个单一的IPsec隧道连接两个站点。通过增加更多的隧道中,VPN可以在IPsec的网关之间构建。这可以在全网状拓扑,轮毂和辐条拓扑结构,或两者的任何混合物来完成。图6-3显示了可以使用IPsec来构建基本的VPN拓扑。
的IPsec VPN拓扑
例如,当保护一个网络时,假设一个有两个中心办公室和100个分支机构的银行网络,关键的设计标准是在哪里放置IPsec网关。在大多数设计中,银行的每个办公室都被视为一个受信任的区域,从VPN客户的角度来看,它们之间的通信基础设施是不可信的。在这样的设计中,IPsec网关必须位于受信任区域内,以使整个VPN保持受IPsec服务的保护。
设计IPsec覆盖网络时,必须讨论两个主要主题:
应该在哪里IPsec隧道应用?
应该如何隧道建立?
对于这两个问题,有多种选择。所以,我们首先讨论的IPsec终止点的位置;后来,我们将讨论这些网站之间建立隧道的方式。
IPSec的终端点的位置
在MPLS VPN环境中,IPsec可应用于网络的各个点:
在VPN站点内- 例如,端至端IPsec安全。(这种情况将不会被进一步讨论,因为这里的安全是完全独立的MPLS的。)
该VPN的CE路由器之间- 在这种情况下,MPLS核心也没有参与保安服务。该解决方案的信任取决于谁管理CE党是否可信与否。
MPLS VPN核心内的PE路由器之间-在这里,服务提供商正在管理IPsec服务,而VPN客户无法看到它。
在VPN和PE点之间- 这是一个特殊情况,并且通常用于成MPLS VPN PC客户端(例如,远程工作人员)的远程访问。
图6-4显示IPsec在MPLS VPN环境中的应用位置。
mplsvpn环境中的IPsec终端点
不同的终端点提供不同的安全属性。一个基本原则是IPsec网关必须在一个受信任的区域内并由受信任方操作。
在下面的部分中,各种选项,以提供上的MPLS VPN基础设施进行了详细讨论的IPsec。这是其次的选项的概述,用在不同的场景都适用的讨论。
CE-CE的IPsec
如果在CE之间使用IPsec,CE之间的整个路径将受到访问线(CE和PE之间)以及由PEs、Ps和线路组成的整个MPLS核心的保护。该模型的假设条件是CE位于可信区域,即具有访问控制和物理安全性的办公大楼。网关的操作员必须是可信的:要么是VPN客户的员工,要么是外包伙伴受信任。外包合作伙伴可以是服务提供商。图6-5概述了CE-CE的IPsec模型。
从IPsec的CE到CE
CE-CE IPsec是一个适当的解决方案,用于在不受信任的基础设施上保护VPN客户的流量。使用CE-CE IPsec的原因通常有两个关键要求:
当流量在受信任区域(办公室)之外时,必须确保其安全。这包括接入线、核心线,但也可能直接在核心设备上进行嗅探。这一要求可能来自公司的安全政策,但也可能是一项法律要求,例如在公共网络上传输个人数据时。
MPLS VPN服务提供程序不受信任。如第3章“MPLS安全性分析”所述,在标准MPLS VPN网络中,客户必须信任服务提供商。例如,服务提供商可以通过错误配置PE路由器使任何VPN不安全。但是,如果VPN客户使用IPsec CE-CE保护传输中的所有数据,则这种信任可能非常有限。甚至错误配置都不是问题,因为所有数据包都经过验证来自可信来源。
建议 -如果需要加密或服务提供者不被信任(错误及相关问题),那么VPN用户的操作控制下CE之间IPsec是确保VPN的推荐方式。
IPsec CE-CE可防止以下威胁(请注意括号中提供该功能的服务):
窃听CE之间的任何地方。需要注意的是最关键的部分,以保护通常是接入线路:通常是比核更容易发现和记录的流量接入线路上。(保密)
在网络中插入伪造的数据包。(真实性)
包在传输过程中的变化。(完整性)
重播合法的,记录的数据包(抗重播)的
通过防止这些基本威胁,IPsec CE-CE还为以下情况提供了隐式保护:
一个假的CE到VPN的插入:这不可能发生,因为假的CE将无法对抗一个合法的CE认证。
其他VPN的流量泄漏到安全的VPN:如果通过从其他VPN配置错误的流量重定向到一个CE,该流量将被丢弃,因为数据包无法通过身份验证。
从安全VPN到另一个不受信任的VPN的流量泄漏:来自安全VPN的传输流量将被加密,而不受信任的VPN将无法看到明文通信量。
IPsec的CE-CE不能预防以下威胁:
拒绝服务(DOS)禁区外的受信任的VPN到VPN-IPsec无法改善服务的可用性。事实上,它已被认为IPSec网关本身可能成为DoS攻击的目标。虽然这在理论上是如此,可用性为任何类型的服务的一个棘手的问题,而IPsec不能破例在这里。
受信任区域内的威胁- 一个例子是,将在IPsec隧道进行,就像合法流量的VPN内的蠕虫爆发。
总体而言,CE-CE IPsec提供保护的MPLS VPN超出MPLS网络的标准安全的理想手段。它是选择用于提供额外的安全性,例如业务加密到MPLS VPN技术。
对手MPLS会,在这一点上,认为,由于IPsec提供了所有必要的VPN功能,确实比标准的MPLS(加密,例如)以上,MPLS是不是真的需要。在考虑这样的说法,两个主题都将分开讨论:安全和数据包传输。即使IPsec的就足够了,在IPsec数据包必须被运送从一个CE到另一个。在大多数情况下,MPLS VPN服务是这种类型的服务比一般的IPSec服务为所有办公地点更便宜。还应当指出的是,在写这篇文章最MPLS VPN业务时,并未额外使用IPsec保护,这意味着大多数MPLS VPN客户不信任他们的服务供应商,不需要通过广域网加密。
为什么CE-CE的IPsec不说,今天广泛实施的原因是直到最近,在很大程度上,由于实施的IPsec覆盖网络的复杂性:有迹象表明国产大IPsec部署复杂的可扩展性问题。新的部署模型,如DMVPN和GD01显著提高可伸缩性。在本章的后面,我们讨论了各种类型的IPsec部署和他们的可扩展性。
要解决基于CE-的IPSec VPN的可扩展性问题,一些顾问提出的基于PE的IPsec服务的使用。这将使IPsec的网络服务;但是,也有这种模式潜在的安全问题。
PE-PE的IPsec
很多时候,PE-PE的IPsec被看作是一种方式,以避免设置基于CE的IPsec VPN的客户。一些顾问这个定位在安全类似,但更容易实现的架构,尤其是为客户着想。图6-6显示器PE-基于IPsec的服务。
IPsec的PE到PE的
的看法是,对于VPN安全的主要威胁,在MPLS核心窃听。在实践中,这是不正确的:它是攻击者找到一个本地环路靠近办公楼和嗅交通在这条线比它做同样的MPLS核心要容易得多。
建议 -如果IPsec部署的目的是VPN的安全性,然后基于PE的IPsec不能满足所有的要求:具体而言,本地环路(CE-PE)是不安全的。
互联网草案“使用PE-PE的IPsec的VPN的RFC2547”(草案IETF标准的L3VPN支持IPSec的2547-03.txt)描述的IPsec如何被用于PE之间的加密数据。这份文件是明确了上述问题:“IPsec安全关联,与出口PE路由器副入口PE路由没有保证隐私VPN数据。”
在这种模式下,在MPLS核心的LSP被替换为IPsec隧道。因此,对于在运行的替代RFC 2547网络通过非MPLS基础设施。图6-7显示使用的封装:
VPN标签被预设于VPN分组作为正常MPLS;然而,IPsec的只能确保IP数据包,不标记的数据包。
因此,标记的数据包在被首先封装通用路由封装(GRE)。
GRE报文然后可以使用IPsec保护。因为GRE隧道的端点是一样的IPsec隧道,传输模式可以被使用,并且该重新使用GRE头。
IPSec封装,对于PE-PE安全
IPsec PE-PE为以下威胁提供了足够的保护: