登录站点

用户名

密码

GETVPN实验

2已有 4723 次阅读  2013-06-17 22:59   标签微软雅黑  服务器  style  技术  加密 
实验拓扑:
实验测试1:GM通过注册从KS获取SA策略和密钥KEY

实验测试2:KS服务器的作用只能是分发维护更新策略和密钥,但其本身没有安全关联,不能对通信流量进行加密,

可以通过GM ACL技术来旁路掉去往访问KS服务器下面(10.1.1.0/24)的网络流量,

能GM能正常与KS下属网络通信。一台路由器只能担任一个角色,要么作为密钥服务器,要么成为组成员

试验测试3:当Primary KS出现问题不能工作时,Secondary KS能正常接管主密钥服务器的所有功能。

测试:show crypto gdoi group mygetvpngroup 查看GDOI组状态

show crypto gdoi ks members 在KS上查看注册的GM

测试即时连接:show crypto engine connections active

ping测试

show crypto gdoi ks coop 查看协作密钥服务器

 

GM ACL特性:GM下属网络跟Primary KS下属网络之间访问失败,原因是KS本身没有安全关联,无法对通信流量进行加解密,故需旁路掉源自于GM和Primary KS之间访问流量,即10.1.2.0/24到10.1.1.0/24的网络流量,使用明文进行传输。

只需配置ACL deny条目,会被运用到从Primary KS获取的感兴趣流permit条目前来旁路特定网络之间的流量。

ip access-list extended GM-PKS

    deny ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255

crypto map MAP 10

 

    match address GM-PKS
然后可以进行ping测试观察是否访问成功。

 

配置步骤

1、预配

2、配置Primary KS和Secondary KS同步RSA密钥,所有KS都要预先手工同步RSA密钥,用来对密钥更新信息使用RSA私钥签名认证。

     在主密钥服务器生成和导出RSA密钥

     ip domain name xx.net //配置域名

     crypto key generate rsa modules n lable mygetvpn exportable //生成一个名字为mygetvpn,密钥长度为n,关键字exportable可导出的RSA密钥对

     crypto key export ras mygetvpn pem terminal 3des shoushenglan //导出名字为mygetvpn的RSA密钥对,使用3des来加密导出后的私钥,加密密码为shoushenglan


 在次密钥服务器导入RSA密钥对:

     crypto key import rsa mygetvpn terminal shoushenglan //导入名字为mygetvpn的RSA密钥对,解密密码为shoushenglan
分别拷贝一份主密钥服务器导出的RSA公钥和私钥到次密钥服务器


 

3、在Primary KS中配置GETVPN

步骤一:配置IKE第一阶段策略对组成员和其他密钥服务器进行认证

步骤二:配置感兴趣流,所有需要在VPN隧道中进行安全访问的子网,支持汇总

步骤三:配置IPsec转换集,定义加密感兴趣流策略并IPsec Profile中调用转换集


步骤四:配置主密钥服务器

     crypto gdoi group mygetvpngroup     //定义GETVPN组名为mygetvpngroup

         identity number xxxx                       //配置GETVPN组ID为xxxx,所有组内KS和GM使用相同的ID

         server local                                      //配置本地服务器为Primary KS

         address ipv4 202.100.1.1                //配置Primary KS地址


步骤五:配置密钥更新传输方式(默认为组播)

             ---单播更新---

         rekey transport unicast                                        //使用单播传输密钥更新信息

         rekey authentication myrekey rsa mygetvpn    //配置密钥更新信息RSA密钥对mygetvpn

         rekey algorithm aes n                                        //可选配置,密钥更新信息的加密算法为aes,长度为n

            ---组播更新---

         rekey authentication myrekey rsa mygetvpn

         rekey algorithm aes n

         rekey address ipv4 xx                       //定义组播密钥更新流量, xx表示调用访问控制列表,建议提前定义

    ip access-list extended xx

         permit udp host 202.100.1.1 eq 848 host 239.x.x.x eq 848    //密钥更新信息的组播地址为239.x.x.x,该组播地址可按需配置

 

步骤六:
         sa ipsec x                                                                  //定义第x个IPsec安全关联

        match address ipv4 感兴趣流ACL名称                       //匹配感兴趣流

        profile ipsecprofilegetvpn                                        //使用步骤三定义的IPsec Profile对感兴趣流加密保护

        replay time window-size y                                       //可选配置,启用基于时间的防重放IPsec攻击(推荐),窗口大小为y秒(默认使用跟所有IPsecVPN同类的基于计数器(序列号)技术的防重放攻击技术)

 

4、配置组成员GM的GETVPN

步骤一:配置IKE第一阶段策略,配置与主密钥服务器和次密钥服务器进行注册认证的预共享密钥

步骤二:配置GETVPN
      crypto gdoi group mygetvpngroup

           identity number xxxx                                   //配置GETVPN组ID,与KS使用相同的ID

           server address ipv4 202.100.1.1                  //配置主和次密钥服务器地址,GM先与地址为202.100.1.1的KS进行注册,

           server address ipv4 202.100.1.2                  //当与第一个地址注册失败时,GM会向第二个地址为202.100.1.2的KS发起注册

步骤三:配置crypto map

      crypto map MAP 10 gdoi                  //使用gdoi协议为crypto map提供密钥资源(TEK)

          set group mygetvpngroup          //设置map的组为mygetvpngroup
      interface xx                                     //注:GETVPN的crypto map调用位置最好放置在感兴趣流进出的方向
          crypto map MAP

 

5、HA配置:在Primary KS上配置 Secondary KS,启用冗余特性,并指定次密钥服务器的地址

      crypto gdoi group mygetvpngroup

          server local

          redundancy                                  //启用冗余特性并进入密钥服务器冗余配置模式
          local priority xxx                          //配置本地密钥服务器优先级为xxx,要是本地KS成为主密钥服务器,应将优先级值设置比其他KS高

          peer address ipv4 202.100.1.2    //指定次密钥服务器或其他KS的地址

  
在Secondary KS上配置步骤和方法类似

 

试验测试截图
组成员注册:

没有加解密数据包即没有触发感兴趣流也有IPsec SA,验证GETVPN支持即时连接

查看组成员GETVPN状态信息,包含安全关联和感兴趣流

在KS上查看GDOI组状态信息

查看协作KS信息

GM之间的ping测试

GM与KS之间的ping测试

GM ACL:旁路掉GM与KS下属网络之间的流量

然后进行ping测试,没有加解密数据包,GM与KS下属网络之间使用明文通信

 

 


 
分享 举报