https://support.huawei.com/enterprise/zh/doc/EDOC1100320893/82437b09
IPSec增强原理
L2TP over IPSec
L2TP over IPSec,即先用L2TP封装报文再用IPSec封装,这样可以综合两种VPN的优势,通过L2TP实现用户验证和地址分配,并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入总部,也可以用于出差员工接入总部。
分支接入总部网络的L2TP over IPSec的工作原理如图5-13所示。
图5-13 L2TP over IPSec报文封装和隧道协商过程
报文在隧道中传输时先进行L2TP封装再进行IPSec封装。IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口IP地址,目的地址即IPSec对等体中应用IPSec安全策略的接口IP地址。
IPSec需要保护的是从L2TP的起点到L2TP的终点数据流。L2TP封装过程中增加的IP头即源IP地址为L2TP起点地址,目的IP地址为L2TP终点的地址。分支接入总部组网中L2TP起点地址为NAS出接口的IP地址,L2TP终点的地址为LNS入接口的IP地址。
由于L2TP封装时已经增加了一个公网IP头,而隧道模式跟传输模式相比又多增加了一个公网IP头,导致报文长度更长,更容易导致分片。所以推荐采用传输模式L2TP over IPSec。
出差用户远程接入总部网络的组网中L2TP over IPSec的协商顺序和报文封装顺序跟分支接入总部网络的组网中的协商顺序和报文封装顺序是一样的。所不同的是出差用户远程接入总部网络的组网中,用户侧的L2TP和IPSec封装是在客户端上完成的。L2TP起点的地址为客户端将要获取的内网地址,此地址可以是LNS上配置的IP地址池中的任意地址。L2TP终点地址为LNS入接口的地址。
GRE over IPSec
GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如视频会议或动态路由协议消息等。
当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装。GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPSec头,导致报文长度更长,更容易导致分片,所以推荐采用传输模式GRE over IPSec。
图5-14 GRE over IPSec报文封装和隧道协商过程
IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址,目的地址即IPSec对等体中应用IPSec安全策略的接口地址。
IPSec需要保护的数据流为从GRE起点到GRE终点的数据流。GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址,目的地址为GRE隧道的目的端地址。
IPSec多实例
IPSec多实例主要用于向小企业提供防火墙租赁业务和实现企业内部网络隔离。
如图5-15所示,三个小企业的总部共用一台VPN网关。三个企业之间需要保持网络独立,互相之间不会产生影响。三个企业的总部内部网络IP地址是各自规划的,可能出现IP地址重叠(即不同私网出现使用相同IP地址的情况),此时需要在网关上应用IPSec多实例功能,将三个企业的IPSec隧道与三个IPSec多实例绑定,保证相同IP地址的报文能够正确转发。
Efficient VPN
IPSec VPN技术以其高度的安全性、可靠性以及灵活性成为企业构建其VPN网络的首选。在包含大量分支的IPSec应用中,用户希望各个分支网关的配置能够尽量简单,而复杂的配置集中在总部网关上。Efficient VPN可以解决IPSec VPN分支配置复杂的问题。
Efficient VPN采用Client/Server结构。它将IPSec及其它相应配置集中在Server端(总部网关),当Remote端(分支网关)配置好基本参数时,Remote端发起协商并与Server端建立起IPSec隧道,然后Server端将IPSec的其它相关属性及其他网络资源推送给Remote端,简化了分支网关的IPSec和其他网络资源的配置和维护。另外,Efficient VPN还支持远程站点设备的自动升级。
运行模式
Client模式
Client模式一般用于出差员工或小的分支机构通过私网接入总部网络,如图5-16所示。
Remote端向Server端申请IP地址,同时Remote端自动创建一个LoopBack接口,将从Server端获取的IP地址应用到该LoopBack接口上。
LoopBack接口满规格时,设备无法自动创建一个LoopBack接口。
Remote端自动启用NAT转换功能,将原有IP地址转换为向总部申请的IP地址。Remote端用该IP地址与总部建立IPSec隧道。
Network模式
Network模式中Remote端不会向Server端申请IP地址,不自动启用NAT转换功能。Network模式如图5-17所示。
Network模式一般用于分支和总部IP地址已统一规划的场景,需要考虑IP地址的规划,各个区域的IP地址不能重叠。
Network-plus模式
与Network模式相比,Network-plus模式中Remote端还会向Server端申请IP地址。这时分支和总部IP地址已统一规划,但Remote端仍会向Server端申请IP地址,获取的IP地址只用于总部对分支进行Ping、STelnet等管理维护,Remote端不自动启用NAT转换功能。
Network-auto-cfg模式
与Network-plus模式相比,Network-auto-cfg模式中Remote端还会向Server端申请IP地址池,IP地址池用于给用户分配地址。
Server端除了推送IPSec隧道建立的参数,还可以实现以下资源的推送:
DNS域名、DNS服务器地址、WINS服务器地址等网络资源
Server端通过对以上资源的推送,实现分支访问总部的服务器资源。
ACL推送
Server端将使用ACL定义的总部网络信息推送给Remote端,限定了允许分支子网访问的总部子网范围,目的地不在ACL定义的网络信息范围内的分支子网流量将不会经过IPSec隧道,正常访问Internet。
Network-auto-cfg模式不支持ACL推送。
Efficient VPN远程站点设备自动升级
Server端统一定义Remote端的升级URL,分支设备根据URL配置文件,自动进行版本文件、补丁文件和配置文件的下载和升级,提升网络部署和维护能力,如图5-18所示。
Remote端通过IPSec Efficient VPN配置接入总部
Remote端向Server端申请URL配置文件的地址和版本号
Remote端根据获取的URL配置文件的地址和版本号,到对应的服务器下载URL配置文件
Remote端根据URL配置文件定义的设备版本、补丁版本和配置文件下载对应的版本文件、补丁文件和配置文件
Remote端根据版本文件、补丁文件和配置文件进行设备升级
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4685.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
