IPSec虚拟Tunnel接口是一种三层逻辑接口,包括GRE、m GRE和IPSec三种方式。它是通过路由,而不是ACL来确定对哪些数据流进行IPSec保护,即所有路由到IPSec虚拟Tunnel接口的报文都将进行IPSec保护。简化了IPSec隧道参数的配置,而且支持范围更广,如支持动态路由协议和组播流量。
基于虚拟Tunnel接口来定义需要保护的数据流,首先在两端的IPSec设备创建一个虚拟的Tunnel接口,然后通过配置以该Tunnel接口为出接口的静态路由(也可是动态路由),以限定到达哪个目的子网的数据流可以通过IPSec隧道进行传输。但在采用虚拟Tunnel接口方式建立IPSec隧道之前,也需要先完成以下任务:
实现实际的隧道源/目的物理接口之间的公网路由可达;
确定需要IPSec保护的数据流,并将数据流引到虚拟Tunnel接口;
确定数据流被保护的强度,即确定使用的IPSec安全提议的参数。
采用虚拟Tunnel接口方式建立IPSec隧道方案的配置任务其实与基于ACL的IKE动态协商方式建立IPSec隧道的配置任务大同小异,因为它们都要依靠IKE协议在两端协商建立IKE SA和IPSec SA。主要不同体现在两方面:一是需要保护数据的定义方面,采用虚拟Tunnel接口方式建立IPSec隧道方案是通过配置以Tunnel接口作为出接口的路由来指定,而不是通过ACL来过滤;二是这里配置的是安全框架,而不是安全策略,尽管两者在许多方面是相同或相似的。
以下是采用虚拟Tunnel接口方式建立IPSec隧道方案所涉及的配置任务。
1. 创建IPSec安全提议。
IPSec安全提议指定了IPSec使用的安全协议(AH或ESP)、认证/加密算法以及数据的封装模式。但在采用虚拟Tunnel接口方式建立IPSec隧道方案中仅支持隧道模式,其他参数的配置方法与基于ACL方式的配置方法完全一样。
2. 配置安全框架。
其实“安全框架”总体上可以看成是安全策略,与安全策略相比有以下不同。
(1)标识不同
安全框架仅由名称唯一标识,一个安全框架对应一组安全参数,仅能唯一匹配安全策略是由名称和序号共同标识的,可以形成一个同名称、不同序号的多组安全策略,即安全策略组,可以按优先级大小依次匹配。
(2)配置方式不同
安全框架只能通过IKE协商方式配置,不支持手工方式,而安全策略同时支持手工方式和IKE协商方式配置。
(3)数据流定义方式不同
安全框架不支持通过ACL来定义需要保护的数据流,仅支持通过Tunnel接口转发来定义需要保护的数据流。
(4)可建立的隧道数不一样
在一个IPSec虚拟Tunnel接口下应用安全框架后只会建立一条IPSec隧道,并对所有路由进入该Tunnel接口的数据流进行IPSec保护。虽然简化了安全策略管理的复杂度,但也使得这种方案缺乏灵活性,不能针对特定类型(如不同源/目的IP地址、不同上层协议类型等)的数据流采用不同的保护方案。如果要连接多个对等体的话,需要创建新的虚拟Tunnel接口重新配置。而将安全策略组应用到公网物理接口时,可在该接口下建立多条IPSec隧道,当有用户流量经该接口转发时,IPSec会根据各安全策略来为每一条隧道中传输的数据进行筛选。
在安全框架配置中也可配置一些可选扩展功能,如报文信息预提取功能、对IPSec解封装报文进行ACL检查功能、报文分片功能、安全联盟生存周期、抗重放功能等,这些可选扩展功能要在安全框架视图下配置,而不是在安全策略视图下配置。
3.(可选)定义IKE安全提议
这是一项可选配置任务,其配置方法与基于ACL方式IKE协商建立IPSec隧道情形下的IKE安全提议的配置方法是一样的。通常可直接采用缺省参数配置,甚至连IKE安全提议也不用新建,因为系统有一个缺省的IKE安全提议。
4. 配置IKE对等体
这项配置任务的配置方法与基于ACL方式IKE协商建立IPSec隧道情形下的IKE对等体的配置方法基本一样的,但是安全框架引用的IKE对等体不需要指定本端地址(localaddress)和对端地址(remote-address),因为安全框架进行IKE协商时,选用的本端地址和对端地址分别是通过IPSec虚拟Tunnel接口的源IP地址和目的IP地址指定的。
5. 配置IPSec虚拟Tunnel接口
IPSec虚拟Tunnel接口就是采用IPSec对报文进行封装的Tunnel接口,需要配置它自身的IP地址,以启用它的三层特性,封装模式、源IP地址和目的IP地址。源IP地址是通过虚拟Tunnel接口转发数据包时作为IP报头中的源IP地址,是真正用于数据包转发的物理接口的公网IP地址;目的IP地址是通过虚拟Tunnel接口转发数据包时作为IP报头中的目的IP地址,是隧道对端设备的公网IP地址。
6. 基于虚拟Tunnel接口转发的路由,以定义需要IPSec保护的数据流
基于虚拟Tunnel接口方式建立IPSec隧道的方案中是不需要通过ACL来定义需要保护的数据流,但是仅创建了一个虚拟Tunnel接口那如何确定哪些数据流要进入IPSec隧道转发呢?所以我们还得通过其他方法来把需要进入IPSec隧道的数据引到通过虚拟Tunnel接口来转发,即以虚拟Tunnel接口作为指定目的IP网段数据流转发的出接口来配置路由。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2059.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~