第4章:虚拟化技术入门:理论

思科出版社

1 2 3 4 5 Page 3
第3页,共5页

隧道源地址和隧道目标地址是传输网络地址空间的一部分。它们需要在两个端点上匹配,以便一台路由器上的源地址是远程设备上的目标地址。路由器在其路由表中还必须具有指向隧道目标地址的路径。到隧道目标的下一跳必须指向实际接口,而不是隧道接口。

在这种情况下,路由器在公用网络上具有一个隧道接口,其隧道目标为192.168.2.1。但是,用于隧道IP地址的40.0.0.0/24网络是站点1和站点2上使用的专用地址空间的一部分。

安全协议

安全协议为IP网络提供了一套全面的安全服务。 安全协议最初旨在提供IP网络上的安全传输。安全服务包括强大 认证方式 (认证头 [一只手 加密 (标头 [EH])协议,密码和密钥交换机制。 安全协议通过协商功能,密钥和安全算法为对等方提供了一种互操作的方式。

安全协议对等方维护安全性关联的新天地棋牌库。一种 安全协会 (SA)是对等方之间的合同,它定义了以下内容:

  • 所使用的特定加密和身份验证算法,例如Triple DES(三重新天地棋牌加密标准)

  • 安全协议协议服务(封装安全有效载荷 [ESP]或AH)

  • 与同行交流所需的关键材料

启动IPsec会话时,会协商SA。每个IPsec标头在该IPsec标头中都包含对该SA的唯一引用。 安全参数索引 (SPI)字段,它是处理新天地棋牌包所需的SA的32位数字引用。对等方维护用于入站和出站处理的SA列表。 SPI的值在对等方之间共享。这是IPsec会话协商期间交换的事物之一。

在协议级别,有两个IPsec标头:

  • -提供两方之间不可否认的身份验证。身份验证服务还提供消息完整性和(身份)欺骗的某些实例。

  • 静电除尘器-提供两方之间的加密通信。加密服务允许消息机密性,完整性,不可抵赖性以及针对欺骗和重播攻击的保护。

可以单独或一起使用身份验证和加密服务。如果结合使用,则AH标头在ESP标头之前。

有两种封装IPsec新天地棋牌包的方法。第一种称为隧道模式,它对IPsec有效负载中的整个IP新天地棋牌包(包括标头)进行加密。如图所示,将为加密的新天地棋牌包生成一个新的IP标头。 图4-7.

图4.7

图4-7

安全协议隧道模式堆栈

隧道模式使用新的IP标头添加了20个八位位组的过载。为了减少新天地棋牌包大小和碎片问题,定义了第二种模式,称为传输模式。传输模式仅保护TCP / UDP层,如以下所示 图4-8。穿越模式下,隧道模式优于运输模式 网络地址解读 (NAT)设备。

图4.8

图4-8

安全协议传输模式堆栈

安全协议需要大量协商才能启动会话。如此之多,以至于有一个单独的控制通道协议,称为 互联网密钥交换(IKE),用于在对等方之间协商SA并交换密钥材料。请注意,IKE不是强制性的。您可以静态配置SA。

IKE不仅在隧道设置期间使用。在机密新天地棋牌交换期间,可能需要定期更改用于保护单向流量的会话密钥,并使用IKE协商新密钥。

IKE流量本身已加密,并且实际上具有自己的SA。大多数参数固定如下:

  • 56位DES加密

  • 讯息摘要5 (MD5)算法或 安全哈希算法 (SHA)哈希

  • Rivest,Shamir,Adleman (RSA)(公钥)签名或预共享密钥

IKE在UDP / 500上运行。 安全协议使用50和51的IP协议值。

Cisco IOS 安全协议配置

安全协议的功能比您在此处看到的要多得多,但是配置包含三个基本部分,分别对应于首先为IKE设置SA,然后为会话本身设置SA,以及定义要加密的流量。配置步骤如下:

  1. 第一个基本部分是IKE策略。 IKE将与远程对等方协商自己的SA,因此它也需要一个策略。的 加密货币isakamp政策 命令定义身份验证的类型,远程对等方的IP地址以及用于保护IKE交换的共享密钥,如示例4-8所示。

  2. 示例4-8  IKE Policy Settings

    crypto isakmp policy 1
     认证方式 pre-share
    crypto isakmp key secret address 10.0.3.11
    
  3. 在第二个基本部分中,是一个加密映射,该加密映射的作用是定义远程对等方,此路由器将接受以建立SA的加密和身份验证算法(称为转换)以及要加密的有趣流量。 。与许多Cisco IOS一样,使用标准访问列表定义了有趣的流量。如果新天地棋牌包与访问列表条目匹配,则将密码映射中定义的任何IPsec策略应用于该新天地棋牌包。示例4-9具有一个加密映射,该映射将任何流量配置为与访问列表101匹配的地址10.0.3.11,该访问列表将使用称为ONE的IPsec服务进行加密。

  4. 示例4-9  IPsec Crypto Map

    crypto map VPN 1 安全协议-isakmp 
     set peer 10.0.3.11
     set security-association lifetime seconds 180
     set transform-set ONE
     match address 101
    

    在转换集中定义了此SA的身份验证和加密算法(以便可以在多个SA定义之间共享它们)。转换集在例4-10中给出。它指定AH和ESP服务,其中MD5用于身份验证,而DES用于加密。

    示例4-10 安全协议转换集

    crypto ipsec transform-set ONE ah-md5-hmac esp-des
    
  5. 第三步是将加密映射应用于出接口,如示例4-11所示。这就完成了难题。现在,当新天地棋牌包进入或离开此路由器上的Serial0接口时,它们将与访问列表101进行比较(请参考示例4-9中的加密映射),如果匹配,则根据示例4中定义的服务进行加密-10。

  6. 示例4-11  与加密映射接口

    interface Serial0
     ip address 10.0.2.11 255.255.255.0
     no ip mroute-cache
     no fair-queue
     crypto map VPN
    

L2TPv3


注意 - 附录A包含了本节的扩展版本,它更详细地讨论了L2TPv3协议。


L2TPv3协议包括启动,维护和拆除会话的组件,以及将不同的第2层流复用到隧道中的功能。

L2TP协议同时具有控制平面和新天地棋牌平面。控制通道可靠。有15种不同的控制消息类型。主要的是用于控制通道本身的设置和拆卸(有关更多详细信息,请参见附录A)。 L2TPv3对等方可以在设置阶段交换会话的功能信息。其中最重要的是会话ID和cookie。

会话ID类似于控制信道标识符,并且是接收者与特定会话的协商上下文相关联的“捷径”值(例如,有效载荷类型,cookie大小等)。

cookie是一个可选的可变长度字段,最多64位。 cookie是扩展会话标识符空间的加密随机数,以确保几乎没有任何机会因为会话ID损坏而导致新天地棋牌包被错误定向。 264 曲奇饼的数量很大,并且只要是随机的,它就使L2TPv3不受蛮力欺骗攻击的攻击,在这种攻击中,攻击者试图将新天地棋牌包注入活动会话。

通过控制会话建立会话后,L2TP端点准备发送和接收新天地棋牌流量。尽管新天地棋牌头具有序列号字段,但新天地棋牌通道不可靠。该协议可以检测丢失,重复或乱序的新天地棋牌包,但不会重新传输。这留给更高层的协议。

RFC允许使用本机控制协议或静态或使用其他控制机制来建立新天地棋牌通道。

在第5章“基础结构分段架构:理论”之后的设计部分中,您会看到坦率地说GRE可以像L2TPv3一样解决问题的情况。那么这两个协议之间有什么区别?以下是它们的列表:

  • 无处不在—GRE随处可见。它是一个古老的(无论如何以Internet术语来说),建立良好的协议,并且到目前为止,实现应该是可靠的。最近的L2TPv3不太流行。

  • 性能-在高速链路上,尤其是在企业网络上,封装税(标头长度​​等)比几十年前要少得多,因为当试图从1200 bps链路上获取最后一盎司的波特率时对于全世界的网络管理员来说都是一个重要的问题。在千兆位(或10千兆位)的速度下,只要实现在硬件中运行,精心设计的协议所使用的字节数并不是真正的问题。关于最后一点,找到GRE的硬件实现可能比L2TPv3容易。

  • 有效载荷协议— RFC 3931特别声明L2TPv3设计为承载第2层协议。 GRE是可以携带任何其他协议的多用途解决方案。但是,细节在于魔鬼,而GRE“实现”可能仅限于特定协议(例如以太网或IP)。此外,L2TPv3已扩展为承载IP流量。

  • 曲奇饼—这是两种协议之间最根本的区别。 GRE没有等效于Cookie字段。如果这对您而言并不重要-并记得主要优点是为防止欺骗提供了保证-实施问题可能会决定您的选择,而不是协议本身之间的任何差异。

L2TPv3 IOS配置

对于L2TPv3 IOS配置,需要配置三件事:

  • 控制通道参数

  • 新天地棋牌通道参数

  • 连接电路参数

要配置这些参数中的第一个,请使用 l2tp级 用于控制通道设置的命令。在这里,您可以更改序列号设置等,但是最低要求是两个对等方都知道的共享密码。例4-12演示了此命令的用法。

示例4-12 l2tp级 命令

l2tp级 L2WAN
 password 7 00071A150754

与传统的L2TP设置一样,如果您不给 主机名 参数,使用设备名称。

配置的第二部分用于新天地棋牌通道。 Cisco IOS使用 伪线 命令,这是通用模板,也用于MPLS上的第2层(称为AToM)设置。的 伪线类 指定封装,并使用 协议l2tpv3 名称 命令(如果省略此命令,则使用默认的控制通道设置)。的 伪线类 还包含用作L2TPv3新天地棋牌包源地址的接口名称。

示例4-13  L2TP 伪线类 命令

伪线类 R103R104
 encapsulation l2tpv3
 协议l2tpv3 L2WAN
 ip local interface Serial1/0

图4.9

图4-9

L2TPv3拓扑

配置的最后部分(请参见示例14-14)使用以下命令将面向客户端的连接电路绑定到中继端口。 xconnect 命令(本节前面的VPLS讨论中已经介绍过)。的 xconnect 命令定义远程对等IP地址和唯一 虚拟电路 每个对等方使用的(VC)标识符将L2TPv3有效负载映射到正确的附加电路。 L2TPv3端点为每个VC ID协商唯一的会话和cookie ID值,如下所示: 图4-9。您必须为每个VLAN,端口或端口配置不同的VC ID。 新天地棋牌链接连接标识符 (DLCI)跨L2TPv3隧道传输(当前,Cisco L2TPv3支持以太网,802.1q [VLAN],帧中继, 高级新天地棋牌链接控制 [HDLC]和PPP)。

示例4-14 xconnect 命令

interface Ethernet0/0
 description Client Facing Port
 no ip address
 no cdp enable
 xconnect 192.168.2.1 103 encapsulation l2tpv3 pw-class R103R104

有趣的是,尽管第二版和第三版协议在相对较小的方面有所不同, 命令行界面 (CLI)配置与标准有很大不同 L2TP访问集中器/ L2TP网络服务器 (LAC / LNS)配置,您可能已将其用于拨号或 数字用户线 (DSL)网络。但是,与其他伪线解决方案(例如, MPLS上的以太网 (EoMPLS)。

标签交换路径

标签交换路径 (LSP)是前面所有新天地棋牌路径解决方案的有趣组合:带有第3层控制平面的第2层新天地棋牌路径。当然,在MPLS网络中可以找到LSP,这是一个已生成书籍和其他文档的整个图书馆书架的主题。在本章中,我们简要回顾了新天地棋牌包如何穿越MPLS网络。我们不讨论标签分发或任何主要的MPLS应用,例如VPN或流量工程(但是,第5章将深入讨论MPLS VPN)。

我们将要涵盖的内容总结如下:

  • LSP是跨MPLS网络的隧道,该隧道由单独的逐跳段组成。

  • MPLS网络使用IP控制平面。

  • 为IP路由表中的所有已知IP前缀设置LSP。

  • LSP在物理链路之间多路复用。

  • MPLS网络中的每个节点都基于固定长度的标签而不是可变长度的前缀进行转发。

  • 标签在第2层和第3层标头之间的填充标头中承载。

  • 节点使用标签分发协议将标签分发到相邻节点。

  • 基本标签切换易于配置

  • 必须在所有跃点上配置标签交换。

有关:
1 2 3 4 5 Page 3
第3页,共5页