比较Cisco 虚拟专用网技术–基于策略的VPN与基于路由的VPN
虚拟专用网 构成网络中的热门话题,因为它们提供低成本且 安全通讯 网站之间(站点到站点VPN),同时通过将公司网络扩展到远程用户来提高生产力(远程访问VPN)。
思科必须为此感到自豪 虚拟专用网解决方案。它是支持如此广泛的VPN技术并具有众多功能和灵活性的少数供应商之一。思科路由器和思科ASA防火墙是最常用于构建思科虚拟专用网络的两种设备。
在本文中,我们将讨论和比较网络工程师用来在当今企业环境中构建大多数VPN网络的两个常规Cisco 虚拟专用网类别。这些类别是“基于策略的VPN” (要么 IPSEC 虚拟专用网)和“基于路由的VPN”。当然,思科支持其他VPN技术,例如 SSL 虚拟专用网 (Anyconnect SSL 虚拟专用网,无客户端SSL 虚拟专用网), 动态多点VPN(DMVPN),Easy 虚拟专用网,组加密传输(GET)VPN等。其中许多VPN技术已在 防火墙 超出了本文的范围。
以下是感兴趣的用户可以参考的一系列Cisco 虚拟专用网文章:
- 了解思科动态多点VPN(DMVPN)
- 动态多点VPN(DMVPN)部署模型& Architectures
- 配置思科动态多点VPN(DMVPN)
- 在Cisco路由器之间配置站点到站点IPSec 虚拟专用网隧道
- 使用动态IP端点思科路由器配置思科站点到站点IPSec 虚拟专用网
- 在Cisco路由器上配置点对点GRE 虚拟专用网隧道
- 思科公司 GRE和IPSec-IPSec上的GRE-选择和配置GRE IPSec隧道或传输模式
- 在Cisco IOS路由器上配置Cisco SSL 虚拟专用网 AnyConnect(WebVPN)
基于策略和基于路由的Cisco 虚拟专用网概述
下图快速概述了我们将要讨论的两个VPN类别及其在实际网络中的实际应用:
对于网络工程师或设计人员而言,了解这两种VPN类别及其实际应用之间的主要区别非常重要。了解这些将帮助专业人员为他们的公司和客户选择正确的VPN类型。
如上图所示,基于策略的VPN用于构建站点到站点和中心辐射型VPN,以及使用IPSEC客户端的远程访问VPN。另一方面,基于路由的VPN仅用于构建站点到站点或中心辐射型VPN拓扑。
现在,让我们看一下每种VPN类型的简要说明。
基于策略的IPSEC 虚拟专用网
这是传统的IPSEC 虚拟专用网类型,今天仍然广泛使用。 思科公司 ASA防火墙和Cisco IOS路由器均支持此VPN类别。使用此VPN类型,设备将根据已定义的策略(使用访问控制列表)加密并封装流经接口的流量子集。的 IPSEC协议 用于隧道和确保通信流。由于传统的IPSEC 虚拟专用网是由IETF标准化的,因此它得到所有网络供应商的支持,因此您也可以使用它在不同供应商的设备之间构建VPN。
思科公司 ASA防火墙上的示例配置
为了说明这种VPN类型被称为的原因 基于政策 虚拟专用网,我们将根据下图在Cisco ASA防火墙上看到示例配置代码。
完整的分步配置说明 基于政策 虚拟专用网 上 IOS路由器 可以在我们的网站上找到 在Cisco路由器之间配置站点到站点IPSec 虚拟专用网隧道 文章。
ASA-1:
ASA-1(配置)# 访问列表VPN-ACL扩展许可ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA-1(配置)# 加密ipsec ikev1转换集TS esp-aes esp-md5-hmac
ASA-1(配置)# 加密映射VPNMAP 10匹配地址VPN-ACL
ASA-1(配置)# 加密映射VPNMAP 10设置对等200.200.200.1
ASA-1(配置)# 加密映射VPNMAP 10集ikev1转换集TS
ASA-1(配置)# 外部加密映射VPNMAP接口
ASA-2:
ASA-2(配置)# 访问列表VPN-ACL扩展许可ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-2(配置)# 加密ipsec ikev1转换集TS esp-aes esp-md5-hmac
ASA-2(配置)# 加密映射VPNMAP 10匹配地址VPN-ACL
ASA-2(配置)# 加密映射VPNMAP 10设置对等体100.100.100.1
ASA-2(配置)# 加密映射VPNMAP 10集ikev1转换集TS
ASA-2(配置)# 外部加密映射VPNMAP接口
ASA-2(配置)# 加密ipsec ikev1转换集TS esp-aes esp-md5-hmac
ASA-2(配置)# 加密映射VPNMAP 10匹配地址VPN-ACL
ASA-2(配置)# 加密映射VPNMAP 10设置对等体100.100.100.1
ASA-2(配置)# 加密映射VPNMAP 10集ikev1转换集TS
ASA-2(配置)# 外部加密映射VPNMAP接口
在上面的配置示例中,访问控制列表 虚拟专用网 定义将通过VPN隧道的流量。尽管有其他流量通过外部ASA接口流动,但根据LAN规定的流量策略,仅LAN1和LAN2之间的流量将通过VPN隧道。 虚拟专用网。这就是为什么这种VPN类型被称为的原因 基于政策 虚拟专用网。
了解基于路由的VPN
基于路由的VPN配置使用第3层路由的隧道接口作为VPN的端点。无需使用访问列表选择要通过VPN隧道的流量的子集,而是将通过特殊的Layer3隧道接口的所有流量放入VPN。因此,您需要相应地配置路由。必须配置动态路由协议(例如EIGRP或OSPF)或静态路由,以通过特殊的Layer3隧道接口转移VPN流量。
此VPN类型仅在Cisco路由器上受支持,并且基于 GRE 要么 VTI 隧道接口。为了进行安全通信,基于路由的VPN还使用GRE或VTI隧道顶部的IPSEC协议对所有内容进行加密。
思科路由器上的样本配置
根据下面的网络图,我们来看看具有IPSEC保护功能的基于GRE路由的VPN。
完整的分步配置说明 基于路线 虚拟专用网 上 IOS路由器 可以在我们的网站上找到 配置点对点GRE 虚拟专用网隧道-未受保护的GRE&受保护的GRE over IPSec隧道 文章。
路由器1:
!
加密ipsec转换集TS esp-3des esp-md5-hmac
加密ipsec转换集TS esp-3des esp-md5-hmac
加密ipsec配置文件GRE-PROTECTION
设置变换集TS
!
接口Tunnel0
接口Tunnel0
IP地址10.0.0.1 255.255.255.0
隧道源20.20.20.2
隧道目的地30.30.30.2
隧道保护ipsec Profile GRE-PROTECTION
!
IP路由192.168.2.0 255.255.255.0 10.0.0.2
!!
IP路由192.168.2.0 255.255.255.0 10.0.0.2
根据以上配置,将创建GRE Layer3隧道接口(隧道0),这将是VPN隧道的端点之一。 IPSEC保护也适用于安全性。 虚拟专用网隧道的另一端是 隧道0 另一个站点(IP 10.0.0.2),从而形成点对点VPN链接。上面显示的静态路由将通过隧道接口转移发往LAN2的VPN流量。
以下是我们第二个路由器的VPN相关配置命令:
路由器2:
!
加密ipsec转换集TS esp-3des esp-md5-hmac
加密ipsec转换集TS esp-3des esp-md5-hmac
加密ipsec配置文件GRE-PROTECTION
设置变换集TS
!
接口Tunnel0
接口Tunnel0
IP地址10.0.0.2 255.255.255.0
隧道源30.30.30.2
隧道目的地20.20.20.2
隧道保护ipsec Profile GRE-PROTECTION
!
IP路由192.168.1.0 255.255.255.0 10.0.0.1
!!
IP路由192.168.1.0 255.255.255.0 10.0.0.1
基于策略的VPN和基于路由的VPN之间的比较
总而言之,我们来看看一个比较表,其中主要区别在于 基于政策 和 基于路线 虚拟专用网。
|
基于策略的IPSEC 虚拟专用网 (传统IPSEC) |
基于路由的VPN (GRE和VTI) |
|
在大多数网络设备(Cisco路由器,Cisco ASA,其他供应商等)上受支持 |
仅在Cisco IOS路由器上受支持。与其他供应商的互操作性非常有限 |
|
不支持多播或非IP协议 |
支持多播(GRE和VTI)和非IP协议(GRE) |
|
路由协议(例如OSPF,EIGRP)无法通过VPN隧道 |
路由协议(例如OSPF,EIGRP)可以通过VPN隧道 |
|
使用访问列表选择要加密的流量并将其放置在VPN隧道中。 |
通过特殊隧道接口的所有流量都将被封装并放置在VPN中 |
|
本机强大的安全性 |
仅GRE或VTI不能提供安全性。您必须将它们与IPSEC结合使用以保护VPN。 |
|
复杂的配置 |
简化配置 |
|
有限的QoS |
完全支持QoS |
关于作家
Harris Andrea是一位网络安全工程师,在欧洲的一家大型ISP工作。 Harry拥有超过15年的Cisco网络和安全经验,是一位公认的Cisco工程师,并拥有Cisco的CCNA,CCNP和CCSP认证。哈里维护着自己的博客,专门介绍思科网络- 网络sTraining.com 并且还编写了许多流行的逐步配置教程。
