CCIE安全-组加密VPN(GETVPN)知识总结

会计考友

GET VPN是一个为大型企业网准备的VPN解决方案，做GET VPN的首要前提是全网互通，可以对任意到任意的通讯进行加密。而不是像L2L VPN一样只能对指定源目的通讯进行加密。这个也是解决MPLS VPN无法加密的一个解决方案。
, h! A( d0 a8 ]/ F       相对于传统的L2L VPN，GET VPN有它的三个明显优势存在：
             1. 任意到任意的连通性
! U" }3 {, o4 _0 z+ K% ^             2. 扩展性
7 V  t  T9 \; {8 i' W            3. 实时性
! n6 ~; d: e1 s( }$ Y+ E       特别包括：
            1、基于现有的路由架构的透传解决方案
            2、IP Header Preservation 技术实现头部的保留
            3、不影响QoS，不增加网络开销和复杂度
- b6 ^9 u, a5 y' R: H) p            4、基于Trusted Group Memerbers的概念，在Groups内的Router使用相同的安全策略，比L2L VPN管理更简单
            5、Group内成员预先协商安全参数，实现any to any连接
, i2 v; \% y: h' N            6、即时连接，减少类似语音流量的延时
' ~) a! J+ Q9 Q7 \! V& v            7、支持对单播和组播的加密
            8、是一个WAN 的解决方案，需要全局可路由。
      在GET VPN中有三个角色：key server、Routing member和Group member。
             key server：认证组成员；
: y  _6 F( _! j. F) O                                  管理安全策略；
3 B2 }1 E( W/ n! h                                 创建group keys；
                                 分发policy/keys
  X3 E- ]' K+ k0 o/ [7 h              Routing Members:    Forwarding;     Replication ;       Routing
GET VPN的三个组件：
4 N; {* f* Q( ~! G1. GDOI： GDOI协议用于在组成员和组控器、密钥服务器（GCKS）之间建立安全关联，实现安全的Group内通讯，GDOI协议适用于   UDP/848
/ |: V  O- {; J1 s6 E$ i) Z' \- s2. GCKS:    GCKS是一个Wie组维护策略，创建和维护密钥的路由器。当一个组成员注册时，密钥腐恶uwifasong策略和密钥到这个组成员。密钥服务器也会在密钥超时更新密钥。服务器会发送两种类型的密钥，加密流量的密钥（TEK）和加密密钥的密钥（KEK）。TEK会成为IPSEC SA。这个SA用于相同的组内成员之间的通讯。TEK是一个本质的组密钥，它共享给所有的组成员，并且加密组成员之间的流量。KEK用于加密更新密钥的信息，每一个组成员也用它来解密从密钥服务器发送过来的更新密钥信息。
6 C- o7 x/ u. R, C3. GM:        组成员是一台路由器，他在密钥服务器上注册，并且从密钥服务器获取IPSEC SA。使用这个SA与属于这个组的其他设备通讯，组成员在密钥服务器上注册并且提供一个组ID，并从服务器获取用于这个组的安全策略和密钥。
5 \. h( C& h# r9 O. {8 `- EGET VPN还有他的一个优势是他采用单一的SA，他通过Key Server来分发SA给GM，而不是像L2L VPN那样通过两者协商出3个SA。
GET VPN注册过程：
1。 GM会发送注册请求给KS（触发注册的条件是：GM启动或在GM的进出流量的接口上调用crypto map）。通过GDOI协议，KS对组成员认证和授权，并且发送策略和用于加解密IP单播和组播的密钥。
* k8 q3 t8 d. a2。 当组成员注册成功获取IPSEC SA后，就会获取相应的密钥，组成员之间能够直接加密IP组播和单播，旁路掉KEY Server直接建立安全的通讯。

3。 如果需要，KEY Server发送的密钥更新信息（Rekey Message）到组内的所有成员。这个密钥更新信息包含新的IPSEC策略和当前IPSEC SA超时以后使用的更新的密钥。密钥更新信息会在SA超时之前发送，保障组密钥一直可用。

会计考友

</p>Cooperative Key Server
1 U1 a6 w( h) x! m' tPrimary：        接受GM注册，产生密钥，分发密钥，通知Secondary KS （密钥是同步的），发送Rekey。
Secondary：   接受GM注册，检测Primary KS是否存在，通知Primary KS新的GM，不发送Rekey。
' S; K; j5 D' c6 d注意：Primary和Secondary之间只有GM数据库和密钥是会自动同步的。但是policy是不会同步的，建议要把两者的policy配置成相同的。
两种Anti-Replay 技术：
1。 Counter-Based Anti-Replay   ： 只适用于连个GM的环境（点对点）
( m( t2 n+ b# r2。 Time-Based Anti-Replay        ： 适用于多个GM环境（点对多点）
GET VPN感兴趣流ACL：
1。建议适用可归纳的网段（如10.1.1.0，10.1.2.0，10.1.3.0等），只需要配置一条ACL：
, Z5 k* j9 M& x# o" r3 |9 B       如：access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255
2。 如果网络不能归纳（如10.1.1.0，172.16.1.0）需要配置两条ACL，每个方向一条：
       如：access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
! Q& b1 q/ r2 x. Y8 {              access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
, ~  t6 f. |- Z3。 GM上可以配置GM ACL，只能配置deny条目，优先于从key Server上下载的感兴趣流
$ t: U0 k5 {- Q$ F3 A5 U1 \' e        如; access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255
GET VPN配置步骤回顾：
- L& j' P  T  X1。全网可路由
, ^2 V$ m( {3 p/ C, a. {# m2。在KS上产生和导出密钥（KS1）
3。配置ISAKMP Policy （KS1,KS2,GM）
) l% `0 E! Z; \7 d4。配置IPSec Profile （KS1,KS2）
' [: v2 N; R' m) ]+ V5。KS基本配置（KS1,KS2）中华考试网
6。Rekey参数设置（KS1）
7。配置IPSEC SA策略（KS1,KS2）
8。GM配置crypto map
0 O" O+ p$ z; u8 C& {) q9。配置coop key Server（KS1,KS2）