VRP平台和RGOS平台IPSec VPN技术对比

吴刚

摘 要： IPSec VPN技术体系解决了局域网在Internet的穿越问题和安全问题，集成了多种加解密和验证算法。华为的VRP和锐捷的RGOS都能高效实现IPSec VPN的完整技术，各有特色。在华为的VRP和锐捷的RGOS分别配置实现IKE SA和IPSec SA并进行比较研究，有助于掌握市场主流网络设备实现技术。

关键词： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

中图分类号：TP393.1 文献标志码：A 文章编号：1006-8228（2018）11-24-03

Abstract： IPSec VPN technology system， which integrates a variety of encryption and decryption and verification algorithms， solves the problems of LAN accesses securely across the Internet. Huawei's VRP and Ruijie's RGOS can efficiently realize the complete technology of IPSec VPN， each of them has own characteristics. This paper configures and implements IKE SA and IPSec SA in Huawei VRP and RGOS respectively to make a comparative study， which is helpful to grasp the dominant network device implementation technology in the market.

Key words： IPSec VPN； IKE SA； IPSec SA； VRP； RGOS

0 引言

IPSec VPN技术体系复杂，为了解决局域网在Internet的穿越问题和安全问题，集成了IKE、IPSec、AH、ESP、DES/3DES/AES、MD5/SHA1/SHA2、DH、PKI、RSA/DSA等多种结构和算法。市场主要使用的华为阵营网络系统VRP（Versatile Routing Platform）平臺和思科阵营的锐捷RGOS平台都能高效实现IPSec VPN的完整技术，各有特色。对比市场上应用广泛的技术，有助于掌握主流技术发展进程。

1 IPSec VPN技术体系和流程

IPSec VPN一般而言，在支持IKE（Internet Key Exchange密钥交换协议）的功能体系中，包括两大部分，即IKE SA部分和IPSec SA部分。本文暂不讨论PKI公钥证书体系。实施也分为两个阶段，即IKE SA建立阶段和IPSec SA建立阶段。在这两个建立阶段之后，业务IP报文加密封装的过程是在IPSec SA的保护之下完成的[2]。如图1所示。

1.1 IKE SA阶段

IKE协议层次：应用层，传输层协议和端口：UDP/500。这个阶段有IKE v1主模式（main）、IKE v1野蛮模式（aggressive）和IKE v2三种协商模式。

IKE v1主模式通过6条消息交互建立一条IKE SA，1-2条消息协商加密算法、验证算法、完整性算法、伪随机数PRF算法、DH组密钥交换算法，3-4条消息交换密钥材料（用来生成后续加密和IPSec SA加密所需的密钥），5-6条消息交换身份和认证信息（被加密）。

IKE v1野蛮模式通过3条消息交互建立一条IKE SA，1-2条消息协商加密算法、验证算法、完整性算法、伪随机数PRF算法、DH组密钥交换算法，交换密钥材料，第3条消息响应请求端。全部未加密。

IKE v2对v1做改进，通过两次交换共4条消息，同时建立IKE SA和IPSec SA。第1-2条消息协商加密算法、验证算法、完整性算法、伪随机数PRF算法、DH组密钥交换算法以及DH密钥材料。第3-4条消息完成前面的消息验证、身份认证和IPSec SA的协商建立（被加密）。创建了IKE SA和IPSec SA后，如果需要创建更多的IPSec SA只需要2条消息就可以了，因为这些IPSec SA是在同一个IKE SA保护之下，所以就是子SA了。

相对来说，IKE v2更简洁和优秀，效率和安全性都得以保证。

需要说明的是，IKE v1主模式只支持对等体的IP地址、数字证书做标识，而IKE v1野蛮模式和IKE v2支持对等体的IP地址、数字证书、name、FQDN做标识。

1.2 IPSec SA阶段

这个阶段采用快速模式通过3条消息交互建立IPSec SA连接，因为IPSec SA连接是单向的，所以是两条。3条消息发送和确认隧道模式、封装加密协议（AH/ESP）、加密算法、验证算法、身份认证信息（密钥和密钥材料），如果选择PFS功能则通过额外的DH交换计算新的密钥参与生成密钥材料。

IPSec SA选择了PFS完美向前保密功能后，每隔一段时间会重新交换DH密钥材料，利用这个一次性的短暂密钥系统保证之后的IPSec SA加密通信安全独立于之前的IPSec SA加密通信。

封装加密协议：AH协议层次：传输层，协议号：50，ESP协议层次：传输层，协议号：51。在NAT穿越（NAT Traversal）功能中封装在UDP/4500报文。AH协议只提供验证功能，不能加密数据，而且不支持NAT的穿越功能。而ESP支持验证、加密及NAT穿越[1]。

2 华为VRP平台实现IPSec VPN配置方案

为了简化问题论述，在此只讨论Site to Site情景的IPSec VPN配置方案。

如图2所示，RA为企业总部网络连接互联网的路由器，RB为企业分部网络连接互联网的路由器。RA路由器配置如下：

模块1 配置ACL，ipsec policy保护流

acl number 3100

rule 5 permit ip source 10.10.10.0 0.0.0.255

destination 10.10.20.0 0.0.0.255

模塊2 配置IPSec安全提议

ipsec proposal ipsec_pro_1

esp authentication-algorithm sha2-256

模块3 配置IPSec IKE提议

ike proposal 10

encryption-algorithm aes-cbc-128

authentication-algorithm sha2-256

模块4 IKE协商的ID名称

ike local-name beijing01

模块5 配置IKE Peer对等体

ike peer shanghai v1

exchange-mode aggressive //IKE V1野蛮模式

pre-shared-key cipher huawei

ike-proposal 10 //引用模块3：配置IPSec IKE提议

local-id-type name //配置IKE协商时本端的ID类型

remote-name shanghai01

//配置对端IKE peer的ID名称，对端模块4

local-address 200.200.200.1 //本端隧道口地址

remote-address 200.200.201.1 //远端隧道口地址

模块6 配置IPSec策略

ipsec policy ipsec_map1 10 isakmp

security acl 3100 //引用模块1， IPSec policy保护流

ike-peer shanghai //引用模块5，IKE Peer对等体

proposal ipsec_pro_1 //引用模块2，IPSec安全提议

#

ip route-static 10.10.20.0 255.255.255.0 200.200.200.2

ip route-static 200.200.201.0 255.255.255.0 200.200.200.2

#

interface Ethernet1/0/0 //配置外网接口

ip address 200.200.200.1 255.255.255.0

ipsec policy ipsec_map1 //引用模块6：IPSec策略

#

interface Ethernet2/0/0 //配置私网接口

ip address 10.10.10.254 255.255.255.0

#

RB路由器配置和RA路由器互为镜像配置，不赘述[3-4]。

3 锐捷RGOS平台实现IPSec VPN配置方案

为简化问题，仍以图2的site to site场景的IPSec VPN组网配置。RA为企业总部网络连接互联网的路由器，RB为企业分部网络连接互联网的路由器。

RA路由器配置如下：

模块1 配置ACL，ipsec policy保护流

access-list 101 permit ip 10.10.10.0 0.0.0.255

10.10.20.0 0.0.0.255

# 开放 IKE

crypto isakmp enable

模块2 配置IPSec IKE策略

crypto isakmp policy 1

authentication pre-share

encrytion 3des

模块3 配置IKE的预共享密钥

crypto isakmp key 0 ruijie address 200.200.201.1

//对端隧道口地址

模块4 配置IPSec SA的变换集合

crypto ipsec transform-set ipsec_set esp-des

esp-md5-hmac

模块5 定义一个加密映射集合（类似IPSec策略）

crypto map ipsec_map 5 ipsec-isakmp //使用IKE SA

方式（模块2和模块3的配置会关联进来）

set peer 200.200.201.1

set transform-set ipsec_set

//引用模块4： IPSec SA的变换集合

match address 101

//引用模块1： ACL，ipsec policy保护流

！

interface FastEthernet0

ip address 10.10.10.254 255.255.255.0

# 将加密映射集合应用到接口

interface Serial0

ip address 200.200.200.1 255.255.255.0

encapsulation ppp

crypto map ipsec_map

//引用模块5：加密映射集合（类似IPSec策略）

！

ip route 0.0.0.0 0.0.0.0 Serial0

RB路由器配置和RA路由器互为镜像配置，不赘述[5-6]。

4 总结

锐捷的RGOS和华为的VRP都能很好实现IKE及IPSec VPN功能。从工程应用配置来看，有如下区别。

⑴ 从配置关键字表述上，对IKE SA配置，华为VRP用ike proposal（提议），锐捷RGOS用isakmp policy（策略）。

⑵ 华为VRP用了ike peer对等体的配置来集成ike的提议和对端的其他配置，锐捷RGOS省掉了对等体的这个模块，利用在map里指定ipsec-isakmp来内置调用IKE SA的配置即isakmp policy配置和认证密钥（预共享密钥）。华为VRP的IKE配置方式的模块调用和逻辑性更强一些。

⑶ 华为VRP用ipsec proposal （提議）来配置ipsec SA的封装方式和加密验证协议，锐捷RGOS用ipsec transform-set（变换集合）来配置ipsec SA的封装方式和加密验证协议

⑷ 华为VRP的ipsec policy集成了IKE SA配置和ipsec SA配置，锐捷RGOS用加密映射map集成ipsec SA配置，用关键字ipsec-isakmp来内置调用IKE SA的配置。

华为VRP的关键字和模块调用更适合我们的理解和使用习惯，更容易学习和掌握。

参考文献（References）：

[1] 徐慧洋，白杰，卢宏旺.华为防火墙技术漫谈[M].人民邮电出版社，2015.

[2] 王凤领.基于IPSec的VPN技术的应用研究[J].计算机技术与发展，2012.9：250-253

[3] 0sunjie0.华为USG防火墙IPsec ***配置[EB/OL].http：//blog.51cto.com/sunjie123/1742580，2016-02-16.

[4] xjzhujunjie.华为IPSEC-***-典型配置举例2-采用IKE 方式自动协商建立IPsec 安全隧道[EB/OL].http：//blog.51cto.com/xjzhujunjie/817931，2012-03-26.

[5] Alan Zhuang.锐捷交换机IPsec VPN 的实现[EB/OL].https：//blog.csdn.net/shuaigexiaobo/article/details/80492100，2018-06-01.

[6] [巴西]Alexandre M.S.P. Moraes.Cisco防火墙[M].人民邮电出版社，2014.