《信息安全技术 IPSec VPN安全接入基本要求与实施指南.docx》由会员分享,可在线阅读,更多相关《信息安全技术 IPSec VPN安全接入基本要求与实施指南.docx(28页珍藏版)》请在课桌文档上搜索。
1、ICS350401.80OB中华人民共和家标准GB/TXXXXX-XXXX代替GB/T信息安全技术IPSeCVPN安全接入基本要求与实施指南Informationsecuritytechno1.ogyBase1.ineandimp1.ementationguideofIPSecVPNsecuringaccess点击此处添加与国际标准一致性程度的标识(征求意见稿)(本稿完成日期:2014/1/21)XXXX-XX-XX实施XXXX-XX-XX发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会1楚国本标准明确了采用IPSeCYP技术实现安全接入的场景,提出了IPSeCYPN安全接入
2、应用过程中有关网美、客户端以及安全管理等方面的要求,同时给出了IPSeCYK安全接入的实施过程,本标准适用于采用IPSeCVPE技术开展安全接入应用的机构,指导其进行基于IPSeCVpN技术的安全接入平台或系统的规划设计、设备选型、建设实施、运行维护和管理,也适用于设备厂商参考其进行产品的设计和开发.2规楚性引用文件下列文件时于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注H期的引用文件,其最新版本(包括所有的修改单)适用于木文件。GB/TGM/TGM/TGM/TGM/TGM/TGM/T25069-2010000220120003-20120004-201
3、20016-201200172012aaaa-2()xx信息安全技术术语Sm分组密眄算法SM2酰明曲线公钥密码制法SM3密码杂凑算法智能IC卡及智能密码钥匙修玛应用接口规范智能密码钥型密码应用接I1数据格式规范IPSecVPN技术规范注:(IPACNPX技术规花%的GM1.标布与即将发布,将在本标玳发布前对GM/Taaaa-20xJ进行皆换.GM/Tbbbb-20xxIPSccVPN网关产品规范注;1.PcVPNM关产从爆苑的GM/T惊准号即将发布,将在木标准发布就对“GTbbbt20xxh3术语和定义GB/T250692(HO中界定的以及下列术语和定义适用于本文件.二层隧道协议1.ayer2
4、tunne1.ingprotoco1.1.2TP一种支持YPN的隧道协议,本身不提供加密功能.3.2IP安全协议IPsecurityIPSec一套用于保护IP通信的安全协议,是IPv4的一个可选议系列,也是IPv6的组成部分之一.3.3虑拟专用网络VirtUa1.privatenetworkVPN一种在公共通信基础网络上通过龙轮方式隔离出来的网络安全联盟securityassociationSA两个通信实体经协而建立起来的种协定,描述实体如何利用安全服务来进行安全的通信。3.5互联网密钥交换协议internetkeyexchangeIKEIPSeC体系结构中的一种主要协议,由互联网安全联盟和密
5、钥管理协议、密钥交换协议祖成。3.6失效对端检测deadpeerdetectionDPD一种基于数据流的、用于检测IPSCC连接状态的方法。3.7数字证书可别名DistinguishedNameDN又称为数字证书实体特征名,用来识别公物的实体名称,通常包括实体的通用名、组织单位、组织和国家信息.4缩略语下列缩略语适用于本文件.CA数字证曲认证中心(CerIifiCa1.eAuthority)CE用户端边缘设备(CUStonIerEdge)DN数字证书可辨识名(DistinguishedName)DPD失效对端检测(DeadPeerDetection)IKE因特网密钥交换出议(In1.erne1
6、.KeyEXChanKe)IPSecIP安全协议(InternetProtoco1.Security)1 .DAI,轻麻汲目录访问协议(1.ightDirectoryAccessProtoco1.)MP1.S多协议标签交换(VU1.1.i-protoco1.1.a1.e1.Switching)NAT网络地址转换(NetworkAddressTrans1.ation)PE运营商边缘设备(ProviderEdePPP点对点协议(PointtoPointProtoco1.)PPTP点对点健道协议(PointtoPointTunne1.ingProtoco1.)SA安全联需(SecurityAssoc
7、iation)S1.1.A安全杂演算法(SeCUreHash1gorithm)SSH安全外克协议(SeCUreShe1.I)SS1.安全套接层(SeCUreSocket1.ayerVPDN虚拟专用拨号网(Virtua1.PrivateDia1.-upNetworks)VPN虚拟专用网(Virtua1.PrivateNetwork)VRFOCSPYPN路由转发(VPNRoutingForwarding)在线证书状态怖议(On1.ineCcr1.icifateStatusProtoco1.)5 IPSeCVPN安全接入场景5.1 网关到网关的安全接入场景IPSeCVPN网关到网关的对接适用于分支机
8、构安全接入到总部惬络或者机构之间的安全接入.如图1所示.典型应用案例参见附录A.图1网关到网关的安全接入场景图网络1和刈络2分别部署IPSeCVPN网关,通过IPSeCVPN网关建立网络之间的安全传检通道.物理链路包括互联网集路、运营商提供的无线接入链路或数据专规等.5.2 终端到网关的安全接入场景终端到IPSeCVPM关的安全接入适用于移动办公用户或者公众用户接入机构内部网络,如图2所示典型应用案例参见附录A.接入刈络物现链路接入终端图2终端到网关的安全接入场景图接入网络部署IPSeCVPN网关,接入终端通过IPSeCYPN客户端和IPSeCYPN网关建立安全传输通道,接入终端可以是计算机,
9、也可以是移动终端等智能终端设得,物理琏路包括互联网链路、运营商提供的无线於路等.6 IPSecVPN安全接入题本要求6.1 IPSeCVPN网关技术要求6.1.1 功篮要求IPSccVPN网关功能要求如下:7 )支持YPN类型:应支持1.2TPoverIPSec、IPSecoverGRE以及IPSeCover1.2TP等.b)产丛可靠性:1)应支持双机热卷方式,支持隧道状态同步功能。双机热备示例参见附录C;2)应支持DPD功能,应雅控IPSetVPN隧遒中的通信情况,并在隧道不可用时可重新建立IPSecVPN隧道:3)应具备单机双电源冗余.C)安全性:1)应基于标准IPScc协议开发,并符合G
10、M/Taaaa-20xx要求.注;(IPSecVPN技术址碑的GWr标准号即将发布,将在本标准发布前对“GM/T20XX斑行昔揆.2)应支持国家密码管理局规定的对称算法:应支持SM2或2048bitRSA非对称密码算法:应支持SM3或SHA1.杂凑算法:3)应支持隧道模式和传输模式:4)应采用自动密钥协商机制:5)网关到网关之间、名户端到网关之间的身份鉴别应支持数字证书方式.d)互通兼容性:1)应支持与MP1.SVPN多业务域环境的对接.对接方式参见附录B;2)支持NAT穿越,能好双向穿透NAT设备.3)异构网关对接时应符合如下要求: 应选择国密密钥协商1.议或国际密钥协商协议其中一种; 枭用
11、国密密钊协商协议时,应遵循GM/Taaaa-20xx,在协商时对接网关应选择一致的孙商属性.具体包括加密算法、杂援算法、认证方式等: 乘用国际密的协商协议时,应遵循RFC2409,在协商时对接网关应选择一致的协商M性,具体包括如加密算法、杂决算法、认证方式、DH级信息等; 对接网关在密钥协商时是否支持NAT穿越应保持一致; 应支持ESP或RH安全传输协议,对接阿关魔选祥一致的传输协议. )IPv6赧容性:应支持IPv6基本协议,支持双极、隧道NAT64期详、双校精简技术等IPv6过渡技术。IPv6过渡技术参见附录D。f)统一管理:1)应支持对IPSeCVpN设备的集中监控和管理:2)应支持Sy
12、s1.og等格式日志输出,提供采集与归就管理接11:3)应支持对外部认证用户分的授权。)性能管理:D应支持对CP1.1.利用率等关犍运行指标的监测:2)应支持时隧逆状态、在线用户状态等业务指标的监测:3)应支持对性能察数设定阈依,并提供告警功能。h)数字证书认证:D应支持受信任的C机构颁发的数字证书认证:2)应支持H)AP、OCSP等在践认证方式;3)应支持自动下载CR1.:4)应支持在线或黑线脸证证书有效性:5)应支持X.509v3证书格式.6.1.2性转要求根据IPSeCvpN网关的性他不同,从高到低分成A类(K)万用户数)、B类(2万用户数)、C类加斛击时延一分在64字节以太依K和112
13、8字节以太低长时.IPSeCVPN网关在丢包率为。的条件下,一个明文数据流经加变变为变文,再由密丈斛变还原为明攵所消耗的平均时间c)加解密丢包率一分别在必字节以太像长和M2S字节以太帧性时,在IpSMVPN网关内网口处于找速情况下.通位时间内错i5?或工失的效撩包占效发数掂包数St的百分比.d)用秒新建隧道我一网关在杪钟的单位时间内能够建立IpSeCV眩陡道牧日的最大值.e)1火并发隧道散一河关同时并存的IPSeCVpN隧道数H的H大值.D一陡电一大并发煌按数一网关数条IPSrCV僧防mi大能速并发建立的TCP室接力目.6.2IPSeCVpN客户端技术要求6.2.1IPSecVPN客户端软件要
14、求IPSecVPN客户箍软件要求如下:a)客户端密钥交换协议和安全报文协议应符合GM/Taaaa-20xx要求:注:(IPSeCVPN技术规范的G1.T标巾可即将发布,将在本标加发布前对“GM/Taaaa-20x*进行背换.b)应支持从智能IC卡、智能密码初匙电子文件证并中获取证书并利用证书实现与IpSeCVPN网关的连接:O应支持国内外主流操作系统:d)应支持IPv4、IPv6等网络协议:e)应支持IPSCCVPN穿越NAT的技术.f)客户端接入IPSeCVPN网关时应符合如下要求:D应选择国密密钥协商协议或国际密物协商协议其,I,一种:2)枭用国曲密钥协商1.议时,应遵循GM/Taaaa-
15、20xx,在协商时客户端应与IPSeCVPN网关选择一致的协商属性,具体包括加密算法、杂凑算法、认证方式等:3)采用国际密钥协商协议时,应遵循RFC2409.在协商时客户端应与IPSeCYPN网关选择一致的协商M性,具体包括如加密算法、朵凌算法、认证方式、I)H组信息等:4)客户端在密钥协商时是否支持NAT穿越应与IPSeCVPN网关保持一致:5)应支持扩展认证:6)应支持采用DHCPoverIPSec孙议获取IP地址:7)应支持ESP或A1.1.安全传怆协议,客户端应与IPSecVPN网关选择一致的传输协议:6.2.2IPSecVPN客户端硬件要求IPSccVPN客户端所使用的智能IC卡、智
16、能密码钥匙等坡件应支持国家密码管理局规定的算法,并符合GRTOO1.e-2012和闾“0017-2012的相关要求.63安全管理要求6.3.1系统管理要求系统管理要求按照不同安全性要求,分为基本要求和增强要求,具体如下:a)基本要求1)IPS。CVPN设备的业务处理能力应具备冗氽空间,满足业务高峥期及后期业务扩展需要:2)应支持对IpSeCVPN设备运行状况、网络流取、用户行为、管理员行为等进行日志记录:3)应支持对网络设f的管理员登录地址进行限制;4)身份答别信也应具有不易被口用的特点,口令应有更杂度要求并定期更换:5)应启用IpSeCYPN登录失败处理功能.设置采取结束会话、限制非法登录次
17、数和当网络登录连接超时自动退出等措施:6)当时IPSeCVPN设备iS行远程管理时,应采用SSIkSS1.等安全方式:b)墙强要求对于安全性要求较高的情况,如安全等级保护第三级及以上的信息系统应用IPSeCYPN时,除满足基本要求外.还应符合以下要求:1)应按照对业务服务的求要性来指定带宽分配优先级别:2)应能弊根据设的记录数据进行分析,并由第三方审计系统生成审计报表:3)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全无设与安全策略的一致性、安全管理制度的执行情况等.4) IPSecVPN客户端应采用通过国家认证的CA中心触发的证书实现IKE协商,加密算
18、法应使用国家密码管理局规定的对称算法。5) IPSecYPN客户端的证书应采用硬证书(介质证书,比如智能密码例匙等).6.3.2数字证书管理要求63.21设备数字证书管理设招证书应遵循PKI相关标准,将单位信息和区域信息在证书DN中体现.网关的设备证书的有效期宜大于网关的生命周期,6322客户端数字证书管理IPSccVPN客户端证书宜采用硬件智能密眄钥匙等承载的证书.客户端证书应遵循PK1.相为标准,将单位信息.和区域信息在证书DN中体现.客户玷证书丢失或损坏时,应当及时到证书颁发部门办理挂失、吊销、重新注册等手续.6. 3.3地址管理要求7. 3.3.1地址规划应对IPsVCYPN网关及客户
19、端地址进行统一规划,迸结唯一性、连续性和可扩展性原则。8. 3.3.2地址分配客户端可从网关的M1.CP地址池中获取地址,网关外网口地址宜采用公网地址或Xj外服务地址,网关内网口地址宣采用私有地址或内部互联地址.9. 3.4其他要求密初管理、数据管理、人员笆理和设备管理应符合GM,Taaaa20NX中6.3的相关要求。注:(1.1.cN技术规苑的GMZT标准号即将发布,将在本标准发布的对“(;小I;,皿,2Dx”J1.h书换.7实施指南9.1 概述基于IPSeCVpN技术建谀安全接入平台或系统的实施过程可划分为需求分析、方案设计、毛置实施、测试与备案、运行管理等五个阶段。9.2 需求分析7.
20、2.1IPSecVPN设备的功能与性能需求根据业务系统数品、业务流业等现状,提出湎足业务需求的IpSeCVPN设侪的功能、性能指标要求。10. 2.2管理需求从设备管理、密钥管理、证书管理、权限管理、配以管理、口忐管理等方面提困相应的管理衢求。10.1 案设计10.1.1 述方案设计是在需求分析的基础上,对建设实族方案进行设计,并完成方案设计文档。10.1.2 3.2接入方案设计通过分析业务系统需求,结合机构当前网络拓扑.给出IPSeCY用安全接入的实现方式,包括网关、客户然的部署位置、链路拓扑、连接方式等。10.1.3 理方案设计根据得求分析结果和6.3的要求进行管理方案设计.10.2 置实
21、施在部署实俺前,需要做好如下准备:a)设备选型根据需求分析结果,按6KWPSecVPN网关进行选型,并要求网关设备厂商按6.2要求提供IPScCVPN客户端软件:IPSecVPN设备应选用国家主管部门认证许可的产品:b)数字证书申请申请IPSeCVPN设招证书、管理员证书和客户端证书:C)IP地址申请1谢IPSecVPMw关地址池及设备管理IP地址;d)备份疑路申请可根据业务系统重要性,向不同的运营商申请备份琏路:e)稳定保障在实施前,应制定网络割接方案,应急回退方案等,以保障接入业务系统运行的稳定性、连货性。7.4.2IPSeCVPN设备部署根据73.2完成网关和客户端等设备的部潜.网美部署
22、:IPSeCVPN网美一般部署在互联网出口,外网口连接互岷网,内网口连接内部网络。客户端部署:在终端上安装IPSeCYPN客户端软件,如果用数字证H,可配备智能ICR、智能密码钥匙密码等硬件介质.7.4.3IPSecVPN设各配置IPSecVPN设符部署完隼后.应完成设备地址配置、证书导入、V”隧道配置、YPN策略配置、集中管理闻置、接入用户和认证服务器配置等具体配置工作.7.4.4系统联调IPSeCVPN设符应根据需要与统一身价签别、授权访问控制、设需集中管理等相关的系统、应用进行联潮测试.7.5测试与备案设需部署配置后,应制定测试方案,对各项功能、性能、业务等进行联调测试。测试完成后.应对
23、详细测试结果、测试报告进行备案.采用国家商用密码产品时,应按照主管部门要求进行备案.7.6运行管理7.6.1系统维护管理系统正式投入运行后,应消除系统中各种彼时数据,不得加意更改各种安全策略和系统鼠汉.应建立针对系统11常维护的安全管理制度和审批手续,应定期检变IPsVCYPN设备的度.置信息、异常日志信息。7.6.2运行监测对IPSCCVPN设备进行实时监测,发现运行过程中的阿鹿和故障。主鬟监测内容如Ma)惮络状况:网络链路状况、IP地址情况:b)设茶状况:YPN潴道状况、CPU与内存等可用资源、皱略有效性;c)系统状况:业务系统有效性、证书使用状况,当监测到告警信息时.应记录告警发生时间、
24、告警类型、告绛信息.铃警发现人等信息,并组织处理和跟踪.7.6.3费源管理对系统能胜、技术方案、网络拓扑结构、网络【P地址规划和使用情况、设备型号、证书信息、所承我的业务系统情况等资源进行记录和登记.7.6.4备份与恢复制定备份方案,对IPSeCVPN网关设备配置、安全策略如置等重要数据信息进行定期备份.定期进行应急演练,应急情况下可以及时恢史数据.7.6.5变更与撤销建立有关IPSeCYPN网关配置修改、客户端增减、接入链路调整等变更事项的业务流程.在不需要IPSeCYPN安全接入业务时,应执行业务撤销流程,清除接入设备的收运信息,并ISI收为用户分配的IP地址等,附录A(资料性附录)典型应
25、用案例电子政务外网应用案例描述了电子政务外网基于IPSeCVPN的典型应用案例.其它行业可以参照实循.通过部署IpSeCYPN安全接入系统,为政务外网用户提供从互联网等公众网络可信接入政务外网的安全隧道,满足不具备专找接入条件的部门接入政务外网和政芬用户出差或移动办公的接入施求,延伸政务外网的四位莅困,一般各级政务外网划分了公用网络区、专用网络区和互.联网接入区.在政务外网互联网接入区集中部署IPSeCVPN服务网关或网关集群.通过政务外网互联刈出口,提供统一】PSeCyPN接入服务.政务外同使用IPSoCVPN的典型应用,如图A.1所示。SIA.1政务外网IPSecVPN典型应用示意图IPS
26、ecVPN网关具有外联接口和内联接口。IPSecVPX网关的部詈要点有以卜.几个方面:a)部署位巴:IPSecVPNIM务网关的外联接口一股连接到防火墙等与互联网边辑陶禹的安全设备.内联接11连接到政务外网城域网.外部接入的IPSeCY”接入网关一般部署在局域网或城域网互联网的出入门处.b)IP地址:IPSCCVPN服务网关外联接口IP地址使用互联网地址,IPSOCypN服务网关内联接口后的IP地址采用政务外网统一分理的地址.远端接入的IPSeCYPN接入网关外联口IP地址为互联网地址,内联口后的IP地址直接全部采用地址池内的地址或者经过NAT转换后的地址池的地址,IPseCYPN客户端的IP
27、地址-般由IPSSVPN服务网关分配。c)接入方式:IPSCCYPN服务网关一般要求支持网关和客户端两种接入方式。d)性能考虑:IPseCVPN服务网关的性能需要满足实际的带宽及同时接入IpSeCVPN网关和客户地数ht要求.根据需求,IPSeCVPN服务网关可以集群部署,按照政务外网中部署IPSeCYPN设缶的几类实际需求情况,划分了四种场景,分别描述部署要点。不具番专线条件的政务部门接入到政务外网不具备专线条件接入政务外网的政务部门或其它单位使用IpSeCVPM关,通过互联网跋路接入政务外网。如图A.2所示。IPSecYPN网关按照就近接入原则,通过4联网接入到本级政务外网的IPSCCYP
28、N眼务网关,如本级政务外网无IPS。CYPN1.M务网关可申请接入上一级政务外网的IpSeCVPN服务网关.EA.2具体实施要点参见表A1.政务外网IPSecVPN网关典型应用场景一表A.1典型应用场景一的实施要点排入位置IP地址性能其他IPSeeVpN服务网关(集群)在政务外网互联网接入区内,一般弟先在初火墙之后政务外网运遭单位统一分配(不包括外段接口的n.我网地址)根揖接入的IPSeVPN网关和客户端的效.带宽,录用眼机慢集肝方式部黑1.支持双机挑备I2.内联PE接口.采用V1.ANFtta或乘用VRF区分不同应用,实现IPSccVPNMP1.SVPN安全对接:IPSccVPN接入网关】、
29、部号任外部接入电位局域Iq的互联网出入口处2,按照扰近接入比如,通过互联明接入“本级政务外网的IPSeVPN服务网关或本级无条件时中请接入上级IPSCCVPNiR务网关U内部局域网的地址枭用政务外网统一分配的地址池内地址2、内部忖域网的坳址可以根抠需?5经过NAT转换为地城池内的地址满足用户业务需求、带宽需姿移动办公用户接入政务外网移动办公用户以IPSeCYPN客户端方式接入IPSeCVPN服务网关,按照属地化原则接入到政务外网.如图A.3所示,其他许要以IpSeCYPN在户端方式接入IPSeCV”服务网关的用户,参照此场景.图A3政务外网IPSecVPN网关应用场景二a)移动办公用户分别采用
30、用户名、11令方式或采用证书方式连接到IpseCVPN服务网关.一般所访问的应用系统安全保护等级为第二级的,可以使用用户名、口令的方式连接IPSeCYPN服务网关:应用系统安全保护等级为第三级的,要采用证书方式连接到IpSeCVPN服务网关.b)证书一般应采用政务外网CA顽发的证书.C)对于只连接政务外网特定业务系统,不接入政务外网的移动办公用户,可采用SS1.VPN方式连接到IPSeCYpN服务网关,此时,IPSeCVP服务网关5启用SS1.VPN功能,d)在VPDN拨号、3G网络等其他公众网络连接情况移动办公用户需要光连通YPDN或以其他形式连通网络,然后再连接到IPSeCVPN服务网关.
31、具体实族要点参见表.2.表A.2典型应用场景二的实施要点接入位世IP地址性能其他IpSeCVPN服务网关在政务外网互岐网接入区内,一般都需在防火堆之后政务外网运维单位统一分配(不包括外联接口的死联M地址)根JK接入的IPSeVPN网美和客户端的数H和带宽,采用举机或集耕方式落署1、内联PE接口采用V1.AN干接口或枭用VRF区分不同应用数据:2.根据业务需要,启用SS1.vPN功能t3,支持双机热备.移动办公道如词堆化技入原则,从归属地IPSecVPN球务网关接入IPSwVPN41务网关分配满足用户业务需求、带货雷要1.移动办公.豹终瑞办公用户采用用户幺,口令方式或证书方式连接到IPSeCVP
32、NM关:2、VPDN.3G接入容儿他公众网络立接情况卜J移动办公用户需要先连通VPDN等网络.然石内HHtii1.1.PScCVPNM关.某f1.U务部门IPSetVPN网关锻联应用某级政务部门的IPXcVPN服务网关接受来自木级IP次CVPN接入网关或齐户堆的连接,同时又作为IPSecVPN接入网关远程联入上一级政务外网IPsCCYPN眼务网关.此IPSVCYPN网关的配置既要湎足接入需求作为眼务网关使用同时又要作为接入网关接入到上级服务网关.是一个复合配置.如图A4所示.根据实际情况,也可采用本徼政务部门部署一台上联IPSeCYP接入网关,同时部潜另外一台IPSeCVN服务网关.具体实能要
33、点参见表A3。EA.4政务外网IPSecVPN网关应用场景三表A.3典型应用场景三的实施要点接入位置性能共他本缎政务外网IPSccVPN故务网关在政务外网7工我M接入区内.-Kfif存在防火堵之后政务外网运堆第位统一分配(不包括外联报口的比联网地址)根累接入的IPSCCVPNM关和客户端的数曜和带宽,果用单机或集群方式部“接受率自(本级)IPSeeVPN接入网关或客户端的连接同时乂作为一个独可的IPSccVPN接入M美近程联入上一级政务外网互联网接入区的IPSccVPN版务网关上线政务外网IPSecVPN股务网关在政务外网互联网接入M内.般部署在防火墙之后政务外网运推小位统分配(不包括外联接口
34、的互联网地址)根据接入的IPSCCVPN网关和客户端的致附和带宽.枭用单机或集种方式部署内联PE接口,采用V1.AN子技口或采用VRF区分不F应用数据接入数据交换JK务区在有数据交换需求情况下,可以在IpSeCVPN服务网关后面总独建立一个与政务外网的干网逻辑隔离的数据交换区,方便单位、用户在此进行数据交换,通过与IPSVCVPN服务网关建立IPSCC丫川隧道,用户接入到数据交换IX,不直接接入政务外网什干M.完成数据交换.如图A.5所示.图A.5政务外网IPSccVPN网关应用场景四实施要点参见农A4.表A4典型应用场景四的实施要点接入仰置IPJtbtt性能其他IPSecVPN服务网关在政务
35、外网互联网接入区内,内邮接入政务外网城域网和数据交换区政务外冏运维单位统一分配(包括致据共享区的IP地址)根据接入的IPSeVPN网关和客户埼的tM和带窗,采用用机或集群方式欲曙内联PE接U.SJJIV1.AN子接口或乘用VRF区分不同应用,实现IPSeVPN,jMP1.SVPN安全对接谖入网美或格动用户掖入到对口部门妇“地的IPS(XVPN屐务网关政分外网达维用位统分配,或检入的IPSecVPN来务网关分配洪足用户业务;S求.带宽需要I1.附录B(资料性附录)IPSccVPN与MP1.SVPN对接方式不同政务部门不同业务的访问需遵循安全加密隔离原则,政务外网应与互联网设辑隔离.在政务外网的广
36、域网.启用MP1.sVPN隔肉各部门及各业务.MP1.SYPN终结在PE上.在互联网通过IPSecWN磁道隔高,各部门业务通过独立的IPSeCY”隧道连接到政务外网.囱在IPSeCVPN网关和PE之间设徨相关的策略或启用相关的功能.达到各部门的访问流状端到端隔面的效果,不同政务部门业务泪及在通过IPXCVPN网美及PE设备之后,只能进入本部门所在政务外网骨干网上的YP1.SVPN通道之中,或者根据需要进入相应的信息扶*MP1.SVPN通道,而不会流向其它部门的私有XP1.SVP、通道中,以保证不同部门不同业务的安全聃围.如图B.1所示.IPSecVPMjMP1.SYPN可以通过YRF方式或子接
37、口方式实现对接.方案一,基于VRF方式IPSecYP卜设备与NP1.SVPN采用YRF方式实现对接,其具体实现有两种方式:一种是IPSccVPN股务网关作为MCE,IPSec数据解时装后导入到指定的VRF中,VRF接收到数据后根据IPSCCSR将数据加密封装发送到相连的PE设符的VRF中。IPSeCVpN网关用于MCE的方式卜,在网关与PE之间配置多个以太子接I,每个子接1.I均对应一个YRF.在IPSeCYPN网关VRF上配置基于VRF的游态路由或动态路由.1PSeCYPNN关接收到IPSeC数据解封装后根据SA获取到注入的VRF信息,符数据转发到对应的VRF中,再通过路由在找将数据转发给所
38、连接的PE设备,用封装MP1.SV”标签和其他头部信息后转发。另外一种是IPSeCYPN极务网关作为MP1.SYPN中的PE.IpSeC数据解封装后导入指定的VRF封奘VPN标签,再封袋MP1.S相关头能信息后,转发到MP1.SVP网络中.IPSecYPN网关若支持IPSeCVPN动态路由注入功能,结合VRF动态路由协议,可以很好的适应IPSeCVPw司MP1.SVPN的对接,在VPX网关备份货裁分担环境中能自动适应IPSeC隧道的变化,减少配置工作以及步骤工作fit不同的IPSeCYP用户接入到不同的专用网络区域,可以通过证书的DN信息来区别不同类型用户来实现。只有符合DN要求的才能建立对应
39、的IPSeC陡道,实现专用网络之间用户隔离。预共享方式下,可以通过配置枳板模式将IKEID设置不同类型来实现。方案二:基于子接口方式在IPSeCVPN网关上配置若干个地址池,根据接入用户所属的殂,分充到不同的地址范国。在IpSeCVP网关与MP1.SVPN相连的网口配置相应的子接口,过个子接口与PE设符的子接口一一对应,而且属于同一个V1.AN,每个子接口的IP地址不在同一网段.在IPSeCVPN网关上针对不同的源IP地址和目的IP地址配置相应的第略路由.外部加密数据到达IPSeCVPN网关后根据VP策珞匹配相应的隧道,数据解密完成后,再根据源、F1.的地址,风配对应的策略路由,然后通过某一个
40、子接口发送给PE设符。PE设符会根据接收的子接口将致据再封奘到对应的MP1.SVPN隧道中.同时在IPSeCVPN网关建立状态表.从PE设备发送到IPseCYPX网关的数据,首先会查询中已建立的状态发,根掘目的IP,送入相应的隙道做加密操作,然后发往陡道的对端设备,附录C(资料性附录)IPSecVPN网关双机热备示例双机篇备简介为了规避网关单点故障的风险,可以在网络节点处同时部署两台设备,形成双机热备组网.当其中一台设备出现故障时,业务流J让能平泞地切换到备用设备上,保证业芬不中断,使内外网用户交互的时帔感知不到即经出现过网络故障.工作原理IPSccVPN网关的双机热篝需要VRRP(Virtu
41、a1.RouterRedundancyProtoco1.)协议的支持.VRRP参考RFC2338和RFC3768.VRRP是一种耗本的容错协议,它将同一个广播城的一殂路由器或网关组成一个虚拟路由器或同关,称之为一个;份纲.备份组中的所有跖由器或网关一起,对外共同提供一个虚拟】P地址,双机热莅特性中主要通过YRRP备份组实现接口、鞋路故障监测.在同一个备份组中,只有一台路由揖或网关处于工作状态,称为主用设备(状态为UaSter),其余掷处于备份状态,称为备用设备(状态为S1.ave).备份空中的所有路由器或网关一起对外提供一个虚拟IP地址,只有主用设备能转发以虚拟IP地址作为下一跳的报文。主用设
42、得和备用设法的优先圾不同。正常情况卜,主用设备的优先级高于备用设得,当主用设备发生故障时,优先级会降低,如果低于备用设备的优先级,则备用设备会变成主用设备.接称主用设备的工作继续转发业务报文.如图C.】所示,每个VRRPC份组都有一个虚拟IP地址,内网用户将网关地址设置为VRRP番份组的,拟IP地址。图CTVRRP主备状态切换当鞋路正常时,爆拟IP地址在FW1.的(1)接口(VRRp符份组状态为MaSICr)上生效,PC2请求网关地址(即VRRp备份组的虚拟IP地址)的地址解析(ARP)时,只有FII会应答ARP报文,反馈自己的MAC地址。因此业务流城被交换机引导到FW1.上进行转发.当碑1H
43、:现故障时,VRRP状态发生切换,流相从FW1.网换到FW2。具体过程如下:a) FI1.的接口、鞋路或整机放障导致接口(1)状态变为Down.触发接口VRRP备份组优先级降低.b) H2的接I上VKRP备份组优先级高于主用设备,VRRP备份组状态切换到Master,并发送免费ARP.c)交换机收到免费ARP后刷新MAC表,将出按口指向FI2。这样PC发出的业务流量被引导到FW2上进行转发.典型烟网场景在高可费性的场块下,用户应采用两台IPSeCVm网关通过双机热备路由模式部署到网络当中,提供冗余链路,支持隧道状态的同步,保证在份与切换不中断业务,无衙在从设备上IR建磁道,保障用户业务的稳定性
44、。部詈了双机热备情况下,两台IPSeCVPN网关之间形成主晶关系,正常情况下,主设备进行加解密和数据转发工作,一旦主设备出现故障,从设在就会接件主设备进行数据转发。主设品上面的会话会即时同步到备用设备。当安全网关设备使用双机热备的方式部署时,两台设备之间需要心跳口连接,心跳用于同步配置.(包括实时配置和批量配置),确认对方状态.IPSeCYPN网关的业务口连接交换机,两台网关连接到交换机的接I1.划分到同一个V1.N.图C2典型组网场景IH附录D(资料性附录)IPv6过渡技术实现IPv4与IPv6共存期的应用互访和平滑演进是实现IPM向IPv6成功过渡的荔础.在整个网络过渡时期.将会有多种不同
45、技术得到应用,以满足过渡时期的不同倦求.根据实现机制的不同,过渡技术主要包括双栈、琏道技术和翻译技术.在实际应用中,一般会综合考虑网络,用户,业务,升级成本等诸多因素将三种过渡技术结合使用,以制定合理的网络过渡解决方案.IPSeC琏道在穿越不同种的网络时有以下场景.传式IpSeC6over4Iit道:传输模式IP%c6oVeE磁道是在IPv6OVer1.PE隧道茶础上帙套IPSeC陡道,以此增强传输陡道的安全性。在IPv4网络向IPv6网络过渡的初期.IPM网络已被大量部署,而IPv6网络只是散布在世界各地的一些孤岛.利用隧道技术可以在IPv4网络上创建隧道,从而实现IPv6孤岛之间的互连.在IPE网络上用于连接IPVe孤岛的隧道称为IPV6。YerIPm磁道.为了保证IPv6报文安全地通过IPv
