VRP平臺和RGOS平臺IPSec VPN技術對比

吳剛

摘 要： IPSec VPN技術體系解決了局域網在Internet的穿越問題和安全問題，集成了多種加解密和驗證算法。華為的VRP和銳捷的RGOS都能高效實現IPSec VPN的完整技術，各有特色。在華為的VRP和銳捷的RGOS分別配置實現IKE SA和IPSec SA并進行比較研究，有助于掌握市場主流網絡設備實現技術。

關鍵詞： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

中圖分類號：TP393.1 文獻標志碼：A 文章編號：1006-8228（2018）11-24-03

Abstract： IPSec VPN technology system， which integrates a variety of encryption and decryption and verification algorithms， solves the problems of LAN accesses securely across the Internet. Huawei's VRP and Ruijie's RGOS can efficiently realize the complete technology of IPSec VPN， each of them has own characteristics. This paper configures and implements IKE SA and IPSec SA in Huawei VRP and RGOS respectively to make a comparative study， which is helpful to grasp the dominant network device implementation technology in the market.

Key words： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

0 引言

IPSec VPN技術體系復雜，為了解決局域網在Internet的穿越問題和安全問題，集成了IKE、IPSec、AH、ESP、DES/3DES/AES、MD5/SHA1/SHA2、DH、PKI、RSA/DSA等多種結構和算法。市場主要使用的華為陣營網絡系統VRP（Versatile Routing Platform）平臺和思科陣營的銳捷RGOS平臺都能高效實現IPSec VPN的完整技術，各有特色。對比市場上應用廣泛的技術，有助于掌握主流技術發展進程。

1 IPSec VPN技術體系和流程

IPSec VPN一般而言，在支持IKE（Internet Key Exchange密鑰交換協議）的功能體系中，包括兩大部分，即IKE SA部分和IPSec SA部分。本文暫不討論PKI公鑰證書體系。實施也分為兩個階段，即IKE SA建立階段和IPSec SA建立階段。在這兩個建立階段之后，業務IP報文加密封裝的過程是在IPSec SA的保護之下完成的[2]。如圖1所示。

1.1 IKE SA階段

IKE協議層次：應用層，傳輸層協議和端口：UDP/500。這個階段有IKE v1主模式（main）、IKE v1野蠻模式（aggressive）和IKE v2三種協商模式。

IKE v1主模式通過6條消息交互建立一條IKE SA，1-2條消息協商加密算法、驗證算法、完整性算法、偽隨機數PRF算法、DH組密鑰交換算法，3-4條消息交換密鑰材料（用來生成后續加密和IPSec SA加密所需的密鑰），5-6條消息交換身份和認證信息（被加密）。

IKE v1野蠻模式通過3條消息交互建立一條IKE SA，1-2條消息協商加密算法、驗證算法、完整性算法、偽隨機數PRF算法、DH組密鑰交換算法，交換密鑰材料，第3條消息響應請求端。全部未加密。

IKE v2對v1做改進，通過兩次交換共4條消息，同時建立IKE SA和IPSec SA。第1-2條消息協商加密算法、驗證算法、完整性算法、偽隨機數PRF算法、DH組密鑰交換算法以及DH密鑰材料。第3-4條消息完成前面的消息驗證、身份認證和IPSec SA的協商建立（被加密）。創建了IKE SA和IPSec SA后，如果需要創建更多的IPSec SA只需要2條消息就可以了，因為這些IPSec SA是在同一個IKE SA保護之下，所以就是子SA了。

相對來說，IKE v2更簡潔和優秀，效率和安全性都得以保證。

需要說明的是，IKE v1主模式只支持對等體的IP地址、數字證書做標識，而IKE v1野蠻模式和IKE v2支持對等體的IP地址、數字證書、name、FQDN做標識。

1.2 IPSec SA階段

這個階段采用快速模式通過3條消息交互建立IPSec SA連接，因為IPSec SA連接是單向的，所以是兩條。3條消息發送和確認隧道模式、封裝加密協議（AH/ESP）、加密算法、驗證算法、身份認證信息（密鑰和密鑰材料），如果選擇PFS功能則通過額外的DH交換計算新的密鑰參與生成密鑰材料。

IPSec SA選擇了PFS完美向前保密功能后，每隔一段時間會重新交換DH密鑰材料，利用這個一次性的短暫密鑰系統保證之后的IPSec SA加密通信安全獨立于之前的IPSec SA加密通信。

封裝加密協議：AH協議層次：傳輸層，協議號：50，ESP協議層次：傳輸層，協議號：51。在NAT穿越（NAT Traversal）功能中封裝在UDP/4500報文。AH協議只提供驗證功能，不能加密數據，而且不支持NAT的穿越功能。而ESP支持驗證、加密及NAT穿越[1]。

2 華為VRP平臺實現IPSec VPN配置方案

為了簡化問題論述，在此只討論Site to Site情景的IPSec VPN配置方案。

如圖2所示，RA為企業總部網絡連接互聯網的路由器，RB為企業分部網絡連接互聯網的路由器。RA路由器配置如下：

模塊1 配置ACL，ipsec policy保護流

acl number 3100

rule 5 permit ip source 10.10.10.0 0.0.0.255

destination 10.10.20.0 0.0.0.255

模塊2 配置IPSec安全提議

ipsec proposal ipsec_pro_1

esp authentication-algorithm sha2-256

模塊3 配置IPSec IKE提議

ike proposal 10

encryption-algorithm aes-cbc-128

authentication-algorithm sha2-256

模塊4 IKE協商的ID名稱

ike local-name beijing01

模塊5 配置IKE Peer對等體

ike peer shanghai v1

exchange-mode aggressive //IKE V1野蠻模式

pre-shared-key cipher huawei

ike-proposal 10 //引用模塊3：配置IPSec IKE提議

local-id-type name //配置IKE協商時本端的ID類型

remote-name shanghai01

//配置對端IKE peer的ID名稱，對端模塊4

local-address 200.200.200.1 //本端隧道口地址

remote-address 200.200.201.1 //遠端隧道口地址

模塊6 配置IPSec策略

ipsec policy ipsec_map1 10 isakmp

security acl 3100 //引用模塊1， IPSec policy保護流

ike-peer shanghai //引用模塊5，IKE Peer對等體

proposal ipsec_pro_1 //引用模塊2，IPSec安全提議

#

ip route-static 10.10.20.0 255.255.255.0 200.200.200.2

ip route-static 200.200.201.0 255.255.255.0 200.200.200.2

#

interface Ethernet1/0/0 //配置外網接口

ip address 200.200.200.1 255.255.255.0

ipsec policy ipsec_map1 //引用模塊6：IPSec策略

#

interface Ethernet2/0/0 //配置私網接口

ip address 10.10.10.254 255.255.255.0

#

RB路由器配置和RA路由器互為鏡像配置，不贅述[3-4]。

3 銳捷RGOS平臺實現IPSec VPN配置方案

為簡化問題，仍以圖2的site to site場景的IPSec VPN組網配置。RA為企業總部網絡連接互聯網的路由器，RB為企業分部網絡連接互聯網的路由器。

RA路由器配置如下：

模塊1 配置ACL，ipsec policy保護流

access-list 101 permit ip 10.10.10.0 0.0.0.255

10.10.20.0 0.0.0.255

# 開放 IKE

crypto isakmp enable

模塊2 配置IPSec IKE策略

crypto isakmp policy 1

authentication pre-share

encrytion 3des

模塊3 配置IKE的預共享密鑰

crypto isakmp key 0 ruijie address 200.200.201.1

//對端隧道口地址

模塊4 配置IPSec SA的變換集合

crypto ipsec transform-set ipsec_set esp-des

esp-md5-hmac

模塊5 定義一個加密映射集合（類似IPSec策略）

crypto map ipsec_map 5 ipsec-isakmp //使用IKE SA

方式（模塊2和模塊3的配置會關聯進來）

set peer 200.200.201.1

set transform-set ipsec_set

//引用模塊4： IPSec SA的變換集合

match address 101

//引用模塊1： ACL，ipsec policy保護流

！

interface FastEthernet0

ip address 10.10.10.254 255.255.255.0

# 將加密映射集合應用到接口

interface Serial0

ip address 200.200.200.1 255.255.255.0

encapsulation ppp

crypto map ipsec_map

//引用模塊5：加密映射集合（類似IPSec策略）

！

ip route 0.0.0.0 0.0.0.0 Serial0

RB路由器配置和RA路由器互為鏡像配置，不贅述[5-6]。

4 總結

銳捷的RGOS和華為的VRP都能很好實現IKE及IPSec VPN功能。從工程應用配置來看，有如下區別。

⑴ 從配置關鍵字表述上，對IKE SA配置，華為VRP用ike proposal（提議），銳捷RGOS用isakmp policy（策略）。

⑵ 華為VRP用了ike peer對等體的配置來集成ike的提議和對端的其他配置，銳捷RGOS省掉了對等體的這個模塊，利用在map里指定ipsec-isakmp來內置調用IKE SA的配置即isakmp policy配置和認證密鑰（預共享密鑰）。華為VRP的IKE配置方式的模塊調用和邏輯性更強一些。

⑶ 華為VRP用ipsec proposal （提議）來配置ipsec SA的封裝方式和加密驗證協議，銳捷RGOS用ipsec transform-set（變換集合）來配置ipsec SA的封裝方式和加密驗證協議

⑷ 華為VRP的ipsec policy集成了IKE SA配置和ipsec SA配置，銳捷RGOS用加密映射map集成ipsec SA配置，用關鍵字ipsec-isakmp來內置調用IKE SA的配置。

華為VRP的關鍵字和模塊調用更適合我們的理解和使用習慣，更容易學習和掌握。

參考文獻（References）：

[1] 徐慧洋，白杰，盧宏旺.華為防火墻技術漫談[M].人民郵電出版社，2015.

[2] 王鳳領.基于IPSec的VPN技術的應用研究[J].計算機技術與發展，2012.9：250-253

[3] 0sunjie0.華為USG防火墻IPsec ***配置[EB/OL].http：//blog.51cto.com/sunjie123/1742580，2016-02-16.

[4] xjzhujunjie.華為IPSEC-***-典型配置舉例2-采用IKE 方式自動協商建立IPsec 安全隧道[EB/OL].http：//blog.51cto.com/xjzhujunjie/817931，2012-03-26.

[5] Alan Zhuang.銳捷交換機IPsec VPN 的實現[EB/OL].https：//blog.csdn.net/shuaigexiaobo/article/details/80492100，2018-06-01.

[6] [巴西]Alexandre M.S.P. Moraes.Cisco防火墻[M].人民郵電出版社，2014.