■

隨著國(guó)內(nèi)高校招生規(guī)模的日益擴(kuò)大，為突破辦學(xué)條件的束縛，很多高校紛紛建立新校區(qū)。校園網(wǎng)已經(jīng)不再是一個(gè)封閉的園區(qū)網(wǎng)概念，而是為學(xué)生、教師、家長(zhǎng)以及一切相關(guān)人員隨時(shí)隨地提供信息化服務(wù)的邏輯城域網(wǎng)應(yīng)用平臺(tái)。然而如何保障校區(qū)間在互聯(lián)通信中的數(shù)據(jù)安全性成為了校園網(wǎng)部署與使用過(guò)程中不可避免的問(wèn)題。

校區(qū)間的互聯(lián)通信需要對(duì)校園網(wǎng)進(jìn)行延伸性的數(shù)據(jù)傳輸，要求網(wǎng)絡(luò)跨Internet安全傳輸，而對(duì)于用戶(hù)的所有應(yīng)用和業(yè)務(wù)來(lái)說(shuō)卻是透明的，用戶(hù)的所有訪問(wèn)操作就像在本地局域網(wǎng)一樣。根據(jù)這樣的需求，LAN TO LAN VPN系統(tǒng)常用的技術(shù)，可供選擇的LAN TO LAN VPN架構(gòu)有MPLS VPN（peer-to-peer VPN）和IPSec VPN（Overlay VPN），對(duì)于MPLS VPN來(lái)說(shuō)，雖然在QoS方面有一定的優(yōu)勢(shì)，但需要ISP參與私網(wǎng)的路由，同時(shí)需要一定的服務(wù)費(fèi)用且操作不靈活。而IPSec VPN技術(shù)可以根據(jù)實(shí)際的需求靈活的配置，不需要ISP的任何參與，不會(huì)產(chǎn)生任何服務(wù)費(fèi)用，同時(shí)，作為下一代互聯(lián)網(wǎng)核心協(xié)議的IPv6更是將IPSec技術(shù)集成到協(xié)議內(nèi)部，對(duì)于現(xiàn)階段IPv4和IPv6共存的網(wǎng)絡(luò)模式中，IPSec技術(shù)在兼容性方面有更大的優(yōu)勢(shì)。所以對(duì)于校區(qū)互聯(lián)的虛擬專(zhuān)用網(wǎng)技術(shù)來(lái)說(shuō)， IPSec VPN技術(shù)是一個(gè)不錯(cuò)的選擇。

但是，基于IPSec協(xié)議本身的缺陷，在實(shí)際使用工程中IPSec VPN技術(shù)也會(huì)有其先天不足，本文著重研究IPSec VPN技術(shù)優(yōu)勢(shì)以及在校園網(wǎng)應(yīng)用中常見(jiàn)的問(wèn)題，以我校網(wǎng)絡(luò)架構(gòu)為背景，探討如何在校園網(wǎng)校區(qū)互聯(lián)的過(guò)程中更好的發(fā)揮IPSec VPN作用。

校園網(wǎng)中IPSec VPN系統(tǒng)的設(shè)計(jì)與應(yīng)用

系統(tǒng)總體設(shè)計(jì)

校區(qū)互聯(lián)的VPN通信是解決兩個(gè)校區(qū)互聯(lián)通信安全的隧道方案，應(yīng)用IPSec VPN技術(shù)在兩個(gè)校區(qū)間建立一條虛擬的專(zhuān)線。根據(jù)需求，我們分別在兩個(gè)校區(qū)的出口配置具有IPSec VPN功能的路由器（這里選擇的是Cisco 3845），并根據(jù)每個(gè)校區(qū)的內(nèi)網(wǎng)實(shí)際情況配置相關(guān)的腳本實(shí)現(xiàn)虛擬專(zhuān)線業(yè)務(wù)。系統(tǒng)部署如圖1所示。

圖1校區(qū)VPN通信系統(tǒng)部署

VPN疊加技術(shù)應(yīng)用設(shè)計(jì)

因?yàn)镮PSec協(xié)議是針對(duì)IP數(shù)據(jù)流而設(shè)計(jì)的，其協(xié)議機(jī)制決定了難以支持組播，繼而而也不便于支持動(dòng)態(tài)路由協(xié)議（如：OSPF協(xié)議），這一點(diǎn)為校區(qū)互聯(lián)安全通信應(yīng)用帶來(lái)了一些不便。一方面，兩個(gè)校區(qū)都會(huì)擁有組播業(yè)務(wù)，要求在互聯(lián)通信的過(guò)程中要支持此項(xiàng)業(yè)務(wù)，另一方面，由于IPSec VPN通信是需要數(shù)據(jù)流來(lái)打通隧道的，所以要保持整個(gè)虛擬專(zhuān)線的聯(lián)通性需要通過(guò)動(dòng)態(tài)路由協(xié)議周期性的發(fā)送Hello包來(lái)實(shí)現(xiàn)。這就要求校區(qū)互聯(lián)的VPN通信設(shè)計(jì)要支持這些網(wǎng)絡(luò)協(xié)議。

根據(jù)項(xiàng)目的實(shí)際需求，使用VPN技術(shù)疊加的方式是解決多協(xié)議支持問(wèn)題的有效方案。具體方法是采用GRE over IPSec技術(shù)，該技術(shù)是將GRE和IPSec產(chǎn)生的兩條隧道復(fù)用，GRE隧道負(fù)責(zé)私網(wǎng)聯(lián)通以及組播相關(guān)協(xié)議的封裝，IPSec隧道實(shí)現(xiàn)數(shù)據(jù)安全傳輸。

我們可以簡(jiǎn)單的理解GRE over IPSec這種VPN的部署方式是用GRE提供虛擬隧道，用IPSec來(lái)保護(hù)這個(gè)隧道，而GRE建立起來(lái)的隧道兩端都可以配置三層虛接口地址，這樣就可以支持動(dòng)態(tài)路由協(xié)議、組播協(xié)議以及一些流量控制技術(shù)。通過(guò)GRE over IPSec方式部署校區(qū)互聯(lián)的VPN通信的具體優(yōu)勢(shì)如下：

解決了遠(yuǎn)程兩個(gè)站點(diǎn)間動(dòng)態(tài)路由協(xié)議的貫通。

支持組播協(xié)議通信。

支持遠(yuǎn)程站點(diǎn)間明文數(shù)據(jù)的流量控制。

只將GRE流量加密，可大大減少內(nèi)網(wǎng)感興趣流量的配置范圍。

對(duì)于NAT協(xié)議支持設(shè)計(jì)

眾所周知，NAT技術(shù)是校園網(wǎng)常用的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，即校內(nèi)用戶(hù)使用私有IP地址，在網(wǎng)絡(luò)出口通過(guò)NAT技術(shù)將私有IP地址轉(zhuǎn)換為公有IP地址進(jìn)行Internet訪問(wèn)。然而NAT技術(shù)與IPSec VPN技術(shù)有著嚴(yán)重不兼容問(wèn)題。

表1 IPSec VPN技術(shù)參數(shù)規(guī)劃表

我校無(wú)論是老校區(qū)還是新校區(qū)，均采用了NAT技術(shù)實(shí)現(xiàn)內(nèi)外網(wǎng)的地址轉(zhuǎn)換應(yīng)用。所以，分析NAT技術(shù)對(duì)IPSec VPN的影響原因，并通過(guò)技術(shù)手段解決二者兼容性問(wèn)題是校區(qū)互聯(lián)的VPN通信設(shè)計(jì)必須完成的任務(wù)。

系統(tǒng)在處理由內(nèi)到外數(shù)據(jù)流量時(shí)，NAT技術(shù)優(yōu)先于加密技術(shù)處理數(shù)據(jù)包。那么，數(shù)據(jù)包在通過(guò)園區(qū)網(wǎng)出口時(shí)會(huì)先被NAT協(xié)議將源私有IP地址轉(zhuǎn)換成公網(wǎng)地址，因?yàn)檗D(zhuǎn)換后的這個(gè)數(shù)據(jù)流量不再滿(mǎn)足IPSec VPN感興趣流，所以不會(huì)被IPSec VPN設(shè)備加密，取而代之的是，出口設(shè)備會(huì)將這個(gè)未加密的流量直接轉(zhuǎn)發(fā)到Internet上，故VPN安全通信失敗。

解決這個(gè)問(wèn)題最有效的策就是在定義NAT內(nèi)部地址列表時(shí)排除IPSec VPN感興趣流量列表，該方法在設(shè)計(jì)中比較容易實(shí)現(xiàn)，只是要求NAT策略要和IPSec VPN策略在同一臺(tái)校園網(wǎng)絡(luò)出口設(shè)備上配置，我們本次校區(qū)互聯(lián)的VPN通信項(xiàng)目也符合這一點(diǎn)要求。

IPSec VPN應(yīng)用的實(shí)施與配置

在實(shí)施IPSec VPN之前，必須規(guī)化好IPSec相應(yīng)的技術(shù)參數(shù)，包括路由策略、感興趣流量、IKE策略、IPSec轉(zhuǎn)換集、協(xié)議兼容性策略等相關(guān)參數(shù)并分別通過(guò)腳本形式部署到兩端的出口路由設(shè)備上。具體參數(shù)規(guī)劃如表1所示。

本方案適用于所有的具備IPSec VPN和GRE協(xié)議的路由設(shè)備或出口安全設(shè)備，以下腳本支持標(biāo)準(zhǔn)Cisco IOS系列操作系統(tǒng)的網(wǎng)絡(luò)設(shè)備。以下是具體的實(shí)現(xiàn)步驟以及在新校區(qū)邊界路由器上的配置腳本。

第一步，實(shí)現(xiàn)GRE隧道。其中，隧道的IP地址定義為10.1.1.1，隧道的源地址為路由器接口的IP地址20.79.66.18，而 目 的 地址是對(duì)端路由器的接口地址20.79.66.110。配置命令如下：

第二步，定義VPN感興趣流量。在這里通過(guò)訪問(wèn)控制列表的方式抓取兩端GRE隧道的源、目的地之間的流量作為VPN感興趣的流量：

第三步，IKE第一階段（ISAKMP SA）的建立。定義IKE安全策略，其中認(rèn)證方式為pre-share，哈希算法為md5，加密算法采用 3des，配置過(guò)程如下：

這里的“zxvpn”為預(yù)共享密鑰,兩邊路由器配置必須一致。

第四步，IKE第二階段（IPSec SA）建立。這步是定義IPSec的轉(zhuǎn)換集，將其命名為“VPN”并將隧道方式設(shè)置為傳輸模式（transport）。

第五步，建立IPSec MAP。這一步主要是調(diào)用上面定義好的腳本形成策略集，包括對(duì)端地址以及定義好的感興趣流量和IPSec轉(zhuǎn)換集。具體配置是：

然后在路由器對(duì)外端口口上應(yīng)用策略集：

第六步，啟用動(dòng)態(tài)路由策略。在兩端的路由器上分別啟用OSPF路由協(xié)議，定義好相應(yīng)的router-id并通告所有私網(wǎng)地址以及GRE隧道地址。具體配置如下：

第七步，NAT兼容策略實(shí)現(xiàn)。這一步是通過(guò)訪問(wèn)控制列表的方式將要通過(guò)VPN傳輸?shù)脑础⒛康刂逢?duì)列從常規(guī)的NAT地址轉(zhuǎn)換的地址列表中排除到，使之繞過(guò)NAT地址轉(zhuǎn)換步驟，直接通過(guò)VPN隧道接口轉(zhuǎn)發(fā)出去。具體配置如下：

以上是定義允許NAT地址轉(zhuǎn)換的內(nèi)網(wǎng)地址表，接下來(lái)是排除掉VPN感興趣流量地址：

最后,在老校區(qū)的出口路由器上也配置以上相同的策略腳本即可實(shí)現(xiàn)兩校區(qū)的IPSec VPN隧道通信。

總結(jié)

IPSec VPN在高?；ヂ?lián)虛擬專(zhuān)線的建設(shè)中普遍被應(yīng)用。這次我院兩校區(qū)虛擬專(zhuān)線的部署過(guò)程中通過(guò)GRE over IPSec技術(shù)很好的解決了IPSec在組播協(xié)議和OSPF路由協(xié)議支持上的缺陷；同時(shí)通過(guò)訪問(wèn)控制列表區(qū)分兩校區(qū)間不同需求流量的方法解決了IPSec對(duì)于NAT地址轉(zhuǎn)換不兼容的問(wèn)題。事實(shí)證明，這些技巧在配置實(shí)施上并不困難，但卻起到了立竿見(jiàn)影的效果，是一次成功的嘗試。