吳剛

摘 要： IPSec VPN技術(shù)體系解決了局域網(wǎng)在Internet的穿越問題和安全問題，集成了多種加解密和驗證算法。華為的VRP和銳捷的RGOS都能高效實現(xiàn)IPSec VPN的完整技術(shù)，各有特色。在華為的VRP和銳捷的RGOS分別配置實現(xiàn)IKE SA和IPSec SA并進行比較研究，有助于掌握市場主流網(wǎng)絡(luò)設(shè)備實現(xiàn)技術(shù)。

關(guān)鍵詞： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

中圖分類號：TP393.1 文獻標(biāo)志碼：A 文章編號：1006-8228（2018）11-24-03

Abstract： IPSec VPN technology system， which integrates a variety of encryption and decryption and verification algorithms， solves the problems of LAN accesses securely across the Internet. Huawei's VRP and Ruijie's RGOS can efficiently realize the complete technology of IPSec VPN， each of them has own characteristics. This paper configures and implements IKE SA and IPSec SA in Huawei VRP and RGOS respectively to make a comparative study， which is helpful to grasp the dominant network device implementation technology in the market.

Key words： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

0 引言

IPSec VPN技術(shù)體系復(fù)雜，為了解決局域網(wǎng)在Internet的穿越問題和安全問題，集成了IKE、IPSec、AH、ESP、DES/3DES/AES、MD5/SHA1/SHA2、DH、PKI、RSA/DSA等多種結(jié)構(gòu)和算法。市場主要使用的華為陣營網(wǎng)絡(luò)系統(tǒng)VRP（Versatile Routing Platform）平臺和思科陣營的銳捷RGOS平臺都能高效實現(xiàn)IPSec VPN的完整技術(shù)，各有特色。對比市場上應(yīng)用廣泛的技術(shù)，有助于掌握主流技術(shù)發(fā)展進程。

1 IPSec VPN技術(shù)體系和流程

IPSec VPN一般而言，在支持IKE（Internet Key Exchange密鑰交換協(xié)議）的功能體系中，包括兩大部分，即IKE SA部分和IPSec SA部分。本文暫不討論PKI公鑰證書體系。實施也分為兩個階段，即IKE SA建立階段和IPSec SA建立階段。在這兩個建立階段之后，業(yè)務(wù)IP報文加密封裝的過程是在IPSec SA的保護之下完成的[2]。如圖1所示。

1.1 IKE SA階段

IKE協(xié)議層次：應(yīng)用層，傳輸層協(xié)議和端口：UDP/500。這個階段有IKE v1主模式（main）、IKE v1野蠻模式（aggressive）和IKE v2三種協(xié)商模式。

IKE v1主模式通過6條消息交互建立一條IKE SA，1-2條消息協(xié)商加密算法、驗證算法、完整性算法、偽隨機數(shù)PRF算法、DH組密鑰交換算法，3-4條消息交換密鑰材料（用來生成后續(xù)加密和IPSec SA加密所需的密鑰），5-6條消息交換身份和認證信息（被加密）。

IKE v1野蠻模式通過3條消息交互建立一條IKE SA，1-2條消息協(xié)商加密算法、驗證算法、完整性算法、偽隨機數(shù)PRF算法、DH組密鑰交換算法，交換密鑰材料，第3條消息響應(yīng)請求端。全部未加密。

IKE v2對v1做改進，通過兩次交換共4條消息，同時建立IKE SA和IPSec SA。第1-2條消息協(xié)商加密算法、驗證算法、完整性算法、偽隨機數(shù)PRF算法、DH組密鑰交換算法以及DH密鑰材料。第3-4條消息完成前面的消息驗證、身份認證和IPSec SA的協(xié)商建立（被加密）。創(chuàng)建了IKE SA和IPSec SA后，如果需要創(chuàng)建更多的IPSec SA只需要2條消息就可以了，因為這些IPSec SA是在同一個IKE SA保護之下，所以就是子SA了。

相對來說，IKE v2更簡潔和優(yōu)秀，效率和安全性都得以保證。

需要說明的是，IKE v1主模式只支持對等體的IP地址、數(shù)字證書做標(biāo)識，而IKE v1野蠻模式和IKE v2支持對等體的IP地址、數(shù)字證書、name、FQDN做標(biāo)識。

1.2 IPSec SA階段

這個階段采用快速模式通過3條消息交互建立IPSec SA連接，因為IPSec SA連接是單向的，所以是兩條。3條消息發(fā)送和確認隧道模式、封裝加密協(xié)議（AH/ESP）、加密算法、驗證算法、身份認證信息（密鑰和密鑰材料），如果選擇PFS功能則通過額外的DH交換計算新的密鑰參與生成密鑰材料。

IPSec SA選擇了PFS完美向前保密功能后，每隔一段時間會重新交換DH密鑰材料，利用這個一次性的短暫密鑰系統(tǒng)保證之后的IPSec SA加密通信安全獨立于之前的IPSec SA加密通信。

封裝加密協(xié)議：AH協(xié)議層次：傳輸層，協(xié)議號：50，ESP協(xié)議層次：傳輸層，協(xié)議號：51。在NAT穿越（NAT Traversal）功能中封裝在UDP/4500報文。AH協(xié)議只提供驗證功能，不能加密數(shù)據(jù)，而且不支持NAT的穿越功能。而ESP支持驗證、加密及NAT穿越[1]。

2 華為VRP平臺實現(xiàn)IPSec VPN配置方案

為了簡化問題論述，在此只討論Site to Site情景的IPSec VPN配置方案。

如圖2所示，RA為企業(yè)總部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器，RB為企業(yè)分部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器。RA路由器配置如下：

模塊1 配置ACL，ipsec policy保護流

acl number 3100

rule 5 permit ip source 10.10.10.0 0.0.0.255

destination 10.10.20.0 0.0.0.255

模塊2 配置IPSec安全提議

ipsec proposal ipsec_pro_1

esp authentication-algorithm sha2-256

模塊3 配置IPSec IKE提議

ike proposal 10

encryption-algorithm aes-cbc-128

authentication-algorithm sha2-256

模塊4 IKE協(xié)商的ID名稱

ike local-name beijing01

模塊5 配置IKE Peer對等體

ike peer shanghai v1

exchange-mode aggressive //IKE V1野蠻模式

pre-shared-key cipher huawei

ike-proposal 10 //引用模塊3：配置IPSec IKE提議

local-id-type name //配置IKE協(xié)商時本端的ID類型

remote-name shanghai01

//配置對端IKE peer的ID名稱，對端模塊4

local-address 200.200.200.1 //本端隧道口地址

remote-address 200.200.201.1 //遠端隧道口地址

模塊6 配置IPSec策略

ipsec policy ipsec_map1 10 isakmp

security acl 3100 //引用模塊1， IPSec policy保護流

ike-peer shanghai //引用模塊5，IKE Peer對等體

proposal ipsec_pro_1 //引用模塊2，IPSec安全提議

#

ip route-static 10.10.20.0 255.255.255.0 200.200.200.2

ip route-static 200.200.201.0 255.255.255.0 200.200.200.2

#

interface Ethernet1/0/0 //配置外網(wǎng)接口

ip address 200.200.200.1 255.255.255.0

ipsec policy ipsec_map1 //引用模塊6：IPSec策略

#

interface Ethernet2/0/0 //配置私網(wǎng)接口

ip address 10.10.10.254 255.255.255.0

#

RB路由器配置和RA路由器互為鏡像配置，不贅述[3-4]。

3 銳捷RGOS平臺實現(xiàn)IPSec VPN配置方案

為簡化問題，仍以圖2的site to site場景的IPSec VPN組網(wǎng)配置。RA為企業(yè)總部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器，RB為企業(yè)分部網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的路由器。

RA路由器配置如下：

模塊1 配置ACL，ipsec policy保護流

access-list 101 permit ip 10.10.10.0 0.0.0.255

10.10.20.0 0.0.0.255

# 開放 IKE

crypto isakmp enable

模塊2 配置IPSec IKE策略

crypto isakmp policy 1

authentication pre-share

encrytion 3des

模塊3 配置IKE的預(yù)共享密鑰

crypto isakmp key 0 ruijie address 200.200.201.1

//對端隧道口地址

模塊4 配置IPSec SA的變換集合

crypto ipsec transform-set ipsec_set esp-des

esp-md5-hmac

模塊5 定義一個加密映射集合（類似IPSec策略）

crypto map ipsec_map 5 ipsec-isakmp //使用IKE SA

方式（模塊2和模塊3的配置會關(guān)聯(lián)進來）

set peer 200.200.201.1

set transform-set ipsec_set

//引用模塊4： IPSec SA的變換集合

match address 101

//引用模塊1： ACL，ipsec policy保護流

！

interface FastEthernet0

ip address 10.10.10.254 255.255.255.0

# 將加密映射集合應(yīng)用到接口

interface Serial0

ip address 200.200.200.1 255.255.255.0

encapsulation ppp

crypto map ipsec_map

//引用模塊5：加密映射集合（類似IPSec策略）

！

ip route 0.0.0.0 0.0.0.0 Serial0

RB路由器配置和RA路由器互為鏡像配置，不贅述[5-6]。

4 總結(jié)

銳捷的RGOS和華為的VRP都能很好實現(xiàn)IKE及IPSec VPN功能。從工程應(yīng)用配置來看，有如下區(qū)別。

⑴ 從配置關(guān)鍵字表述上，對IKE SA配置，華為VRP用ike proposal（提議），銳捷RGOS用isakmp policy（策略）。

⑵ 華為VRP用了ike peer對等體的配置來集成ike的提議和對端的其他配置，銳捷RGOS省掉了對等體的這個模塊，利用在map里指定ipsec-isakmp來內(nèi)置調(diào)用IKE SA的配置即isakmp policy配置和認證密鑰（預(yù)共享密鑰）。華為VRP的IKE配置方式的模塊調(diào)用和邏輯性更強一些。

⑶ 華為VRP用ipsec proposal （提議）來配置ipsec SA的封裝方式和加密驗證協(xié)議，銳捷RGOS用ipsec transform-set（變換集合）來配置ipsec SA的封裝方式和加密驗證協(xié)議

⑷ 華為VRP的ipsec policy集成了IKE SA配置和ipsec SA配置，銳捷RGOS用加密映射map集成ipsec SA配置，用關(guān)鍵字ipsec-isakmp來內(nèi)置調(diào)用IKE SA的配置。

華為VRP的關(guān)鍵字和模塊調(diào)用更適合我們的理解和使用習(xí)慣，更容易學(xué)習(xí)和掌握。

參考文獻（References）：

[1] 徐慧洋，白杰，盧宏旺.華為防火墻技術(shù)漫談[M].人民郵電出版社，2015.

[2] 王鳳領(lǐng).基于IPSec的VPN技術(shù)的應(yīng)用研究[J].計算機技術(shù)與發(fā)展，2012.9：250-253

[3] 0sunjie0.華為USG防火墻IPsec ***配置[EB/OL].http：//blog.51cto.com/sunjie123/1742580，2016-02-16.

[4] xjzhujunjie.華為IPSEC-***-典型配置舉例2-采用IKE 方式自動協(xié)商建立IPsec 安全隧道[EB/OL].http：//blog.51cto.com/xjzhujunjie/817931，2012-03-26.

[5] Alan Zhuang.銳捷交換機IPsec VPN 的實現(xiàn)[EB/OL].https：//blog.csdn.net/shuaigexiaobo/article/details/80492100，2018-06-01.

[6] [巴西]Alexandre M.S.P. Moraes.Cisco防火墻[M].人民郵電出版社，2014.