窃听PEs或P路由器之间的线路—特别是,如果MPLS核心是在不受信任的区域(如公共Internet)上路由的话。
P路由器的不当行为,这可能导致数据包被改变或路由到错误的出口PE。
但是,它不提供VPN安全性。
有一些与安全相关的特殊情况PE-PE IPsec是适用的和可用的。
在美国,ILE2020欧洲杯夺冠热门C市场国有运营商在他们的PE路由器上保持本地VPN连接。要连接到另一个州的另一个VPN站点,运营商需要通过一个公共网络。PE-PE IPsec是一种足够的技术来确保这种传输的安全。然而,在这种情况下,不能将MPLS核心视为一个封闭的受信任区域。使用IPsec可以提供这种安全性,而且它对VPN客户是透明的,因为他们认为他们连接到了一个整体可信的MPLS VPN核心。
在一个欧洲国家,政府正在将各部与一个国家政府骨干联系起来。当时没有MPLS服务,因此政府建立了一个租用线路的网络,并将路由器连接到这些线路上。因为政府想为政府部门提供vpn,它建立了自己的MPLS核心,通过这些租用的线路连接起来。PEs都位于安全的政府大楼内,但线路并不安全,因此在这种特殊情况下也选择了PE-PE IPsec加密。请注意,此部署与正常的服务提供商MPLS VPN部署不可比,因为在这种情况下,“提供商边缘”路由器实际上是客户边缘设备,因此,从逻辑角度来看,IPsec是从客户站点应用到客户站点的。这种部署模型确实提供了客户安全性。
另一种选择是在ce之间运行IPsec,但这种情况会更复杂,因为ce的数量通常明显高于pe的数量。
除特殊情况外,出于安全考虑,目前PE-PE-IPsec并没有被大量使用。它显然不是VPN安全的通用解决方案。在这些情况下,应使用CE-CE IPsec。
除了在CE-CE和pe之间使用IPsec之外,还有第三种使用IPsec的形式:作为远程访问VPN的方式。
远程访问IPsec到MPLS VPN
在企业网络中,远程工作者通过VPN连接到他们的家庭网络:这曾经是拨号;然而,现在大多数出差的员工使用IPsec从无线热点、酒店和会议大楼连接到他们的办公室。在传统的设置中,企业在自己的网络中配置一个VPN集中器。如果企业已经是MPLS VPN服务的客户,那么很容易将IPsec远程访问外包给服务提供者。图6 - 8显示了这个设置。
IPsec远程访问到MPLS VPN
来自远程用户的IPsec隧道在PE路由器上终止,根据用户的身份,将其映射到VPN中。因此,PE路由器完成两个任务:IPsec远程访问终止和MPLS PE。
在这个应用程序中,IPsec主要作为进入用户VPN的安全访问方法。IPsec的保护保护了在任何不受信任的基础设施(如公共无线热点或Internet)上传输的数据。
使用IPsec的所有选项都有其特殊的应用程序和优缺点。表6-1总结了应用IPsec的各种方法。
表6-1在MPLS上的IPsec应用摘要
| 防止 | 分位点 | PE-PE | 远程访问 |
| 偷听的核心 | 是的 | 是的 | - - - - - - |
| 窃听接入线路 | 是的 | 不 | - - - - - - |
| 从VPN外部接收流量 | 是的 | 不 | - - - - - - |
| 在VPN外部发送VPN流量 | 是的 | 不 | - - - - - - |
| 假CE入侵 | 是的 | 不 | - - - - - - |
| 访问安全 | - - - - - - | - - - - - - | 是的 |
| 反对VPN的DoS | 不 | 不 | - - - - - - |
表6-1说明了所有三种IPsec模型具有完全不同的适用性,因此不能相互替换:ce IPsec保护VPN免受外部威胁;PE-PE IPsec具有非常特殊和有限的应用,如前一节所述;IPsec远程访问是IPsec的一种非常特殊的用法,而不是一种通用的安全解决方案,因为它只保护对VPN的访问,而不保护一般的VPN流量。
现在应该很清楚在哪里实现IPsec端点。接下来要考虑的是如何建立IPsec隧道。有多种部署IPsec隧道的方法,下一节将讨论这些选项。
在MPLS上部署IPsec
上一节讨论的模型描述了在何处建立IPsec隧道(例如PE-PE),但没有描述如何建立隧道,这是部署IPsec网络时的第二个设计考虑因素。建立IPsec隧道的主要选择是
静态IPsec在这个模型中,每个IPsec节点都被静态地配置为它的所有IPsec对等点、身份验证信息和安全策略。这是配置IPsec最古老的方法。很难配置,因为每个IPsec节点都需要重要的配置;但是因为这是配置IPsec最古老的方法,所以现在大多数平台都支持它。静态IPsec在RFC 2401-2412中有描述。适用于CE-CE和PE-PE。
动态IPsec在中心辐射型环境中,可以在没有每个辐射型的特定信息的情况下配置集线器;只有辐条知道如何到达中心,IPsec隧道是建立,只有辐条可以验证自己。远程访问IPsec使用类似的思想,但是身份验证通常在AAA服务器上完成。现在还支持动态IPsec,可以用于ce和pe。
动态多点VPN (DMVPN)-这个模型符合的原理下一跳分辨率协议(NHRP):每个IPsec节点保存如何到达下一跳服务器的信息,下一跳服务器将目标IPsec节点的地址返回给原始节点。这是一种非常可伸缩的按需动态建立IPsec隧道的方法。DMVPN可以在CE-CE和PE-PE上工作。
群域解释(GDOI)-所有以前的模型都为每个对等点维护一个IPsec安全关联,即使对等点是动态发现的。这将限制在一个IPsec域中的节点数,因为每个节点都必须为每个活动对等方保持状态。GDOI只为整个IPsec节点组(例如VPN中的所有节点)维护一个安全关联。这意味着组中的所有IPsec节点必须共享相同的加密/身份验证密钥。密钥由安全密钥服务器管理。每个节点都建立到密钥服务器的静态IPsec连接;组的其余部分是动态的,不需要状态。GDOI在rfc3547中描述。在写这本书的时候,GDOI还不可用。
这些不同的IPsec设计可能相当复杂,每个模型都有许多子选项。这本书只能概述一下。有关IPsec技术的详细信息,请参阅http://www.cisco.com/go/ipsec/。
正如在第1章“MPLS VPN安全:概述”中解释的那样,解决方案的整体安全性取决于三个部分:正确的架构、操作和实现。本节讨论体系结构及其特性。为了保证整个网络的安全,IPsec服务也必须得到正确的实现和操作。
使用其他加密技术
IPsec并不是保护传输中的数据的唯一方法。早在IPsec被广泛使用之前,链接加密设备就已用于此目的。此外,SSL最近得到了更广泛的使用。
链路加密已经使用多年,市场上存在各种针对特定链路层协议的解决方案。问题是,链接加密只保护单个链接,从VPN的角度来看,并没有提供端到端安全性。因此,链接加密设备在MPLS VPN环境中并不常用。
的安全套接字层(SSL)在过去的几年里受到了很多关注。IPsec和SSL都提供安全传输,但在栈中的不同位置:IPsec在网络层工作,这意味着它与IP一样,独立于传输介质和运行在其上的应用程序。这意味着IPsec可以在端点上使用,而无需对应用程序或堆栈中的较低层进行任何更改。然而,SSL基于传输层安全性,位于堆栈的第4层。这对于位于TCP层之上的超文本传输协议(Hypertext Transport Protocol, HTTP)等应用程序非常理想。但是,必须将其他协议映射到SSL上。图6-9描述了协议和它们在堆栈中的位置。
IPsec和SSL
SSL已经在需要有限应用程序支持的VPN网关中找到了应用,比如当VPN访问仅用于访问web页面时。在这些场景中的优势是SSL不需要PC上的客户机。
在MPLS VPN环境中,SSL不用于ce或pe安全,但可以用作远程访问技术。无论何时需要vpn级别的安全,IPsec都是当今的关键技术,具有所有的部署选项。
有些情况下,加密盒位于CE后面的客户网络中。它们通常实现防火墙/加密的混合功能,有时基于SSL。在本例中,MPLS网络(包括CEs)不涉及加密:它只是传输碰巧被加密的IP包。
摘要
IPsec和MPLS VPN是互补的技术:MPLS VPN帮助服务提供商扩大他们的VPN网络。这种优势通过更低的价格标签传递给客户。MPLS提供了完全的VPN分离,但没有加密安全性。IPsec帮助VPN客户在需要时进一步保护他们的VPN。这两种技术配合得很好。
在考虑MPLS上的特定IPsec解决方案之前,应该清楚地定义目标:威胁是什么,必须保护哪些?有了明确的威胁模型,通常很容易找到IPsec部署模型。例如,如果目标是保护VPN通信免受服务提供者的入侵、窃听和错误配置,那么解决方案必须位于VPN的可信区域内。这就不包括在PEs上部署IPsec。因此,典型的部署是CE-CE。
为每个部署场景建立IPsec隧道有各种选项。详见IPsec相关文献;例子列在附录B中。
版权所有©2007培生教育。版权所有。