CCIE之安全组加密VPN(GETVPN)知识概括

会计考友

GET VPN是一个为大型企业网准备的VPN解决方案，做GET VPN的首要前提是全网互通，可以对任意到任意的通讯进行加密。而不是像L2L VPN一样只能对指定源目的通讯进行加密。这个也是解决MPLS VPN无法加密的一个解决方案。     相对于传统的L2L VPN，GET VPN有它的三个明显优势存在：
    1. 任意到任意的连通性
    2. 扩展性
9 t2 |4 f  i  `( f: a9 a- W, r    3. 实时性
    特别包括：
    1、基于现有的路由架构的透传解决方案
    2、IP Header Preservation 技术实现头部的保留
. i/ n: b( w" N9 H! K" ]    3、不影响QoS，不增加网络开销和复杂度
    4、基于Trusted Group Memerbers的概念，在Groups内的Router使用相同的安全策略，比L2L VPN管理更简单
    5、Group内成员预先协商安全参数，实现any to any连接
    6、即时连接，减少类似语音流量的延时
+ M0 N# ]& p0 q4 x; Z# n% b    7、支持对单播和组播的加密
    8、是一个WAN 的解决方案，需要全局可路由。
$ P. {% G) H& Z8 h3 `    在GET VPN中有三个角色：key server、Routing member和Group member。
( [/ a' N! N1 n. {    key server：认证组成员；
    管理安全策略；
( T( b" W$ s! i4 D# W9 D) P    创建group keys；
. S! c8 X' J5 x: G, A    分发policy/keys
    Routing Members:    Forwarding;     Replication ;       Routing
    GET VPN的三个组件：
    1. GDOI： GDOI协议用于在组成员和组控器、密钥服务器（GCKS）之间建立安全关联，实现安全的Group内通讯，GDOI协议适用于   UDP/848
    2. GCKS:    GCKS是一个Wie组维护策略，创建和维护密钥的路由器。当一个组成员注册时，密钥腐恶uwifasong策略和密钥到这个组成员。密钥服务器也会在密钥超时更新密钥。服务器会发送两种类型的密钥，加密流量的密钥（TEK）和加密密钥的密钥（KEK）。TEK会成为IPSEC SA。这个SA用于相同的组内成员之间的通讯。TEK是一个本质的组密钥，它共享给所有的组成员，并且加密组成员之间的流量。KEK用于加密更新密钥的信息，每一个组成员也用它来解密从密钥服务器发送过来的更新密钥信息。

% z, ]& V" s5 }* a7 v5 Y" {" o    3. GM:        组成员是一台路由器，他在密钥服务器上注册，并且从密钥服务器获取IPSEC SA。使用这个SA与属于这个组的其他设备通讯，组成员在密钥服务器上注册并且提供一个组ID，并从服务器获取用于这个组的安全策略和密钥。

会计考友

</p>    GET VPN还有他的一个优势是他采用单一的SA，他通过Key Server来分发SA给GM，而不是像L2L VPN那样通过两者协商出3个SA。
    GET VPN注册过程：
* E- R8 u: }, K. r    1。 GM会发送注册请求给KS（触发注册的条件是：GM启动或在GM的进出流量的接口上调用crypto map）。通过GDOI协议，KS对组成员认证和授权，并且发送策略和用于加解密IP单播和组播的密钥。
. y) w3 _# t  c" \( T    2。 当组成员注册成功获取IPSEC SA后，就会获取相应的密钥，组成员之间能够直接加密IP组播和单播，旁路掉KEY Server直接建立安全的通讯。
- d2 W9 v* g9 S1 C    3。 如果需要，KEY Server发送的密钥更新信息（Rekey Message）到组内的所有成员。这个密钥更新信息包含新的IPSEC策略和当前IPSEC SA超时以后使用的更新的密钥。密钥更新信息会在SA超时之前发送，保障组密钥一直可用。
+ V" r/ I; D) `1 o% `/ z0 ^3 N    Cooperative Key Server
$ M% C6 ^9 C& d6 `& W& a5 Q    Primary：        接受GM注册，产生密钥，分发密钥，通知Secondary KS （密钥是同步的），发送Rekey。
    Secondary：   接受GM注册，检测Primary KS是否存在，通知Primary KS新的GM，不发送Rekey。
    注意：Primary和Secondary之间只有GM数据库和密钥是会自动同步的。但是policy是不会同步的，建议要把两者的policy配置成相同的。
+ A5 d# r5 \* d+ x7 L    两种Anti-Replay 技术：
    1。 Counter-Based Anti-Replay   ： 只适用于连个GM的环境（点对点）
, u/ K  X) O2 O& }/ Z) a- {    2。 Time-Based Anti-Replay        ： 适用于多个GM环境（点对多点）
    GET VPN感兴趣流ACL：
    1。建议适用可归纳的网段（如10.1.1.0，10.1.2.0，10.1.3.0等），只需要配置一条ACL：
    如：access-list 101 permit ip 10.1.0.0 0.0.255.255 10.1.0.0 0.0.255.255
7 O# X/ D% g/ s) \9 F7 E    2。 如果网络不能归纳（如10.1.1.0，172.16.1.0）需要配置两条ACL，每个方向一条：
    如：access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
    3。 GM上可以配置GM ACL，只能配置deny条目，优先于从key Server上下载的感兴趣流
    如； access-list 106 deny ip 10.1.1.0 0.0.0.255 10.1.3.0 0.0.0.255
    GET VPN配置步骤回顾：
3 c8 `  T  U) k# C9 ], e    1。全网可路由
8 D3 N4 H+ Q/ l& v% B6 g+ _    2。在KS上产生和导出密钥（KS1）
1 m$ J; u% ~  [" ]' J    3。配置ISAKMP Policy （KS1,KS2,GM）
    4。配置IPSec Profile （KS1,KS2）
    5。KS基本配置（KS1,KS2）
. M4 p; l* _0 |& L# ]& ?    6。Rekey参数设置（KS1）
    7。配置IPSEC SA策略（KS1,KS2）
" T& i: F5 ]# f- u6 @9 q: E    8。GM配置crypto map
    9。配置coop key Server（KS1,KS2）