◆秦 勇

基于IPSec的VPN在校園網(wǎng)的應(yīng)用研究

◆秦 勇

（北京青年政治學(xué)院計(jì)算機(jī)系 北京 100102）

基于IPSec的VPN技術(shù)為用戶提供了安全的內(nèi)網(wǎng)資源訪問，在校園網(wǎng)應(yīng)用中可以搭建基于IPSec的站點(diǎn)到站點(diǎn)的VPN和L2TP VPN，通過防火墻調(diào)試和抓包分析工具WireShark獲得流量數(shù)據(jù)包，確定IPSec的工作原理和安全特性。

IPSEC；VPN；數(shù)據(jù)分析

0 前言

網(wǎng)絡(luò)技術(shù)的發(fā)展,促進(jìn)了社會(huì)的發(fā)展,企業(yè)擴(kuò)展和校園合并都把園區(qū)網(wǎng)的功能做了升級(jí),企業(yè)員工不管在哪里都希望能夠使用企業(yè)的網(wǎng)絡(luò)資源,特別是校園網(wǎng)的資源，然而限于安全和成本的考慮,很多資源只能在園區(qū)網(wǎng)絡(luò)內(nèi)供用戶訪問。虛擬專用網(wǎng)VPN技術(shù)的應(yīng)用，使得園區(qū)網(wǎng)絡(luò)資源能夠安全的為企業(yè)員工提供服務(wù)。

1 虛擬專用網(wǎng)VPN技術(shù)

虛擬專用網(wǎng)VPN是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng),從實(shí)際應(yīng)用效果看，對(duì)用戶是完全透明的,就好像在實(shí)際的園區(qū)網(wǎng)絡(luò)里訪問內(nèi)部資源一樣。

VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，要進(jìn)行遠(yuǎn)程訪問，傳統(tǒng)的方法是租用DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）專線或幀中繼，這樣的通訊方案必然導(dǎo)致高昂的網(wǎng)絡(luò)通訊和維護(hù)費(fèi)用。對(duì)于移動(dòng)用戶（移動(dòng)辦公人員）與遠(yuǎn)端個(gè)人用戶而言，一般會(huì)通過撥號(hào)線路（Internet）進(jìn)入企業(yè)的局域網(wǎng)，但這樣必然帶來安全上的隱患。為了保障網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全，VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證信息在傳輸中不被偷看、篡改、復(fù)制。有了數(shù)據(jù)加密，就可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，就如同專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣，但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此VPN稱為虛擬專用網(wǎng)絡(luò)，其實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN訪問內(nèi)網(wǎng)資源，這就是VPN在企業(yè)中應(yīng)用得如此廣泛的原因。

2 IPSec概述

IPSec是IETF IPSec工作組定義的一套安全協(xié)議，在RFC2401中，對(duì)IPSec基本架構(gòu)和基本部件做了定義，其中包括驗(yàn)證報(bào)頭（AH）和封裝安全有效負(fù)載（ESP）的安全協(xié)議，密鑰管理（ISAKMP、IKE、SKEME）和用于加密和身份驗(yàn)證的算法。

圖1 IPSec體系結(jié)構(gòu)

IPSec體系結(jié)構(gòu)如圖1所示。AH（認(rèn)證頭）和ESP（封裝安全載荷）是IPSec體系中的主體，其中定義了協(xié)議的載荷頭格式以及它們所能提供的服務(wù)，另外還定義了數(shù)據(jù)報(bào)的處理規(guī)則，正是這兩個(gè)安全協(xié)議為數(shù)據(jù)報(bào)提供了網(wǎng)絡(luò)層的安全服務(wù)。兩個(gè)協(xié)議在處理數(shù)據(jù)報(bào)文時(shí)都需要根據(jù)確定的數(shù)據(jù)變換算法來對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，以確保數(shù)據(jù)的安全，其中包括算法、密鑰大小、算法程序以及算法專用的任何信息。IKE（Internet 密鑰交換）利用ISAKMP語言來定義密鑰交換，是對(duì)安全服務(wù)進(jìn)行協(xié)商的手段。IKE交換的最終結(jié)果是一個(gè)通過驗(yàn)證的密鑰以及建立在通信雙方同意基礎(chǔ)上的安全服務(wù),即 “IPSec安全關(guān)聯(lián)”。SA（安全關(guān)聯(lián)）是一套專門將安全服務(wù)/密鑰和需要保護(hù)的通信數(shù)據(jù)聯(lián)系起來的方案，它保證了IPSec數(shù)據(jù)報(bào)封裝及提取的正確性，同時(shí)將遠(yuǎn)程通信實(shí)體和要求交換密鑰的IPSec數(shù)據(jù)傳輸聯(lián)系起來。即SA解決的是如何保護(hù)通信數(shù)據(jù)、保護(hù)什么樣的通信數(shù)據(jù)以及由誰來實(shí)行保護(hù)的問題。策略是一個(gè)非常重要的但又尚未成為標(biāo)準(zhǔn)的組件,它決定兩個(gè)實(shí)體之間是否能夠通信；如果允許通信，又采用什么樣的數(shù)據(jù)處理算法。如果策略定義不當(dāng)，可能導(dǎo)致雙方不能正常通信。與策略有關(guān)的問題分別是表示與實(shí)施?！氨硎尽必?fù)責(zé)策略的定義、存儲(chǔ)和獲取，“實(shí)施”強(qiáng)調(diào)的則是策略在實(shí)際通信中的應(yīng)用。

3 VPN在校園網(wǎng)中的應(yīng)用

校園網(wǎng)是一種非常典型的園區(qū)網(wǎng)絡(luò)，教師和學(xué)生基本都在校園內(nèi)部訪問校園網(wǎng)資源，網(wǎng)絡(luò)的安全是在隔離外界的基礎(chǔ)上進(jìn)行保證的。隨著院校規(guī)模的擴(kuò)大，院校的合并帶來了多地辦學(xué)的形態(tài)，教師和學(xué)生都面臨在非校園網(wǎng)的環(huán)境進(jìn)行遠(yuǎn)程訪問，外部的網(wǎng)絡(luò)應(yīng)用給校園網(wǎng)絡(luò)帶來很多安全隱患，IPSec與VPN技術(shù)的應(yīng)用為校園網(wǎng)的遠(yuǎn)程互訪提供了良好的安全保障。

3.1 多校區(qū)的IPSec VPN的實(shí)現(xiàn)

在校園網(wǎng)的出口，一般都使用防火墻來與外網(wǎng)連接。防火墻可根據(jù)數(shù)據(jù)包的IP地址、訪問狀態(tài)、深入數(shù)據(jù)包內(nèi)部檢查數(shù)據(jù)等工作，來有效防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊，同時(shí)可以協(xié)同其他安全工具和軟件，構(gòu)成IDS和IPS系統(tǒng)。如圖2所示。

圖2 校區(qū)間網(wǎng)絡(luò)拓?fù)?/p>

在進(jìn)行兩個(gè)校區(qū)的IPSecVPN應(yīng)用時(shí)，要進(jìn)行合理的內(nèi)網(wǎng)地址規(guī)劃。信息中心的人員在進(jìn)行地址應(yīng)用時(shí)，兩個(gè)校區(qū)要通過的數(shù)據(jù)網(wǎng)段不能相同，這個(gè)是在基本的拓?fù)涓拍钪幸⒁獾模瑢?duì)于數(shù)據(jù)流的保護(hù)，在進(jìn)行應(yīng)用時(shí)必須把特定的保護(hù)流量規(guī)劃出來，通過訪問控制列表來做限定。

IPSec VPN實(shí)現(xiàn)的具體步驟是，由于校園網(wǎng)訪問外部網(wǎng)絡(luò)通常使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，在應(yīng)用VPN時(shí)，需要考慮把其中的流量進(jìn)行NAT的穿越處理，當(dāng)VPN設(shè)備發(fā)現(xiàn)數(shù)據(jù)需要被保護(hù)時(shí)，啟用安全協(xié)議IPSec，就是對(duì)數(shù)據(jù)進(jìn)行加密、認(rèn)證處理，密鑰管理協(xié)議階段1驗(yàn)證IPSec對(duì)等方，在該階段中協(xié)商IKE安全關(guān)聯(lián)，為階段2中的協(xié)商IPSec安全關(guān)聯(lián)創(chuàng)建一條安全的通信信道；密鑰管理協(xié)議階段2協(xié)商IPSec安全關(guān)聯(lián)參數(shù)，創(chuàng)建的安全參數(shù)則用來保護(hù)端點(diǎn)之間交換的信息和數(shù)據(jù)，在對(duì)等方中創(chuàng)建匹配IPSec安全關(guān)聯(lián)；數(shù)據(jù)傳輸發(fā)生存儲(chǔ)在安全關(guān)聯(lián)數(shù)據(jù)庫中的密鑰和基于IPSec參數(shù)的IPSec對(duì)等方；通過超時(shí)發(fā)生或刪除安全關(guān)聯(lián)終止IPSec隧道。

思科設(shè)備的穩(wěn)定性是業(yè)界比較知名的，一般處理過腳本的應(yīng)用后，對(duì)于相關(guān)技術(shù)的掌握也就比較容易了，以思科ASA5520為例，使用ASA8.4版本系統(tǒng)進(jìn)行IPSecVPN應(yīng)用。

首先進(jìn)行NAT和NAT穿越的應(yīng)用nat（inside，outside）source static INSIDE- ADDRESS INSIDE- ADDRESS destination static VPN-ADDRESS VPN-ADDRESS，因?yàn)镮PSecVPN應(yīng)用時(shí)，需要在校園網(wǎng)的網(wǎng)絡(luò)地址上封裝IPSec協(xié)議及隧道地址，所以對(duì)于NAT來說必須進(jìn)行穿越應(yīng)用，即不讓這些VPN流量進(jìn)行轉(zhuǎn)換，所以需要通過NAT配置旁路掉VPN感興趣流。

其次，進(jìn)行IPSec安全提議應(yīng)用，把IPSec應(yīng)用定義在校園網(wǎng)的防火墻的外網(wǎng)crypto ikev1 enableoutside，在安全提議中指明加密和認(rèn)證的算法，如3des、md5、sha等，為后續(xù)的第二階段的IPsec協(xié)商做準(zhǔn)備，一般使用預(yù)共享密鑰方式authentication pre-share。

再次，進(jìn)行IPSec策略的協(xié)商應(yīng)用，在這個(gè)階段定義安全流應(yīng)用的隧道類型tunnel-group OUT-ADDRESS type ipsec-l2l，制定安全訪問的預(yù)共享密鑰，并且進(jìn)行第二階段的應(yīng)用crypto ipsec ikev1transform-set ESP-3DES-SHA esp-3des esp-sha-hmac，在這里定義好VPN的應(yīng)用隧道，即封裝外網(wǎng)端口地址，包括本地和外網(wǎng)的應(yīng)用crypto map TEST 10 set peer 外網(wǎng)IP。

最后，把上面的IPSec安全關(guān)聯(lián)應(yīng)用在防火墻的外網(wǎng)接口上，在兩個(gè)校區(qū)的外網(wǎng)應(yīng)用中藥進(jìn)行對(duì)稱應(yīng)用，即雙方的安全流量要互訪，并且使用相同的共享秘鑰。

3.2 移動(dòng)用戶IPSec VPN的應(yīng)用

對(duì)于校園網(wǎng)的遠(yuǎn)程用戶一般使用L2TP over IPSec的方式進(jìn)行訪問，對(duì)于教師和學(xué)生來說，使用的外網(wǎng)地址是不固定的，所以在建立IPSec通道時(shí)不能象校區(qū)之間通過特定的設(shè)備來實(shí)現(xiàn)預(yù)共享密鑰的訪問，只能使用野蠻模式來進(jìn)行IPSec VPN的應(yīng)用，如圖3所示。

圖3 L2TP over IPSec VPN

用戶需要在移動(dòng)終端上使用相應(yīng)的撥號(hào)軟件，實(shí)現(xiàn)與校園網(wǎng)防火墻（VPN網(wǎng)關(guān)）通信。當(dāng)撥號(hào)成功以后，VPN網(wǎng)關(guān)會(huì)給移動(dòng)終端分配一個(gè)IP地址，這時(shí)候他們之間就可以通信了，這時(shí)移動(dòng)終端用戶就是L2TP應(yīng)用中的LAC（L2TP Access Concen trator），校園網(wǎng)防火墻就是LNS（L2TP Network Server），IPSec隧道在LAC與LNS之間建立，保護(hù)L2TP隧道數(shù)據(jù)流，L2TP隧道封裝包被封裝在IPSec隧道封裝包之中。在整個(gè)應(yīng)用中，IP Sec協(xié)議對(duì)數(shù)據(jù)流提供了很好的保護(hù)，使得校園網(wǎng)與移動(dòng)用戶之間處在安全的應(yīng)用框架內(nèi)。

3.3 IPSec數(shù)據(jù)包分析

多校區(qū)間IPSec VPN應(yīng)用成功以后，可以從設(shè)備上可以進(jìn)行功能應(yīng)用查看，通過使用命令可以查看到IPSec SA的信息，如圖4所示。

圖4 IPSec SA

通過圖示可以看到數(shù)據(jù)流的私網(wǎng)地址是反應(yīng)不出來的，都被應(yīng)用在外網(wǎng)應(yīng)用的隧道中，數(shù)據(jù)流被ESP協(xié)議進(jìn)行保護(hù)，VPN網(wǎng)關(guān)上的進(jìn)站流量和出站流量在兩個(gè)校區(qū)站點(diǎn)設(shè)備上是互相對(duì)應(yīng)的，并且應(yīng)用加密算法、認(rèn)證算法都顯示出來，最重要的鏈路的預(yù)共享密鑰隱含在內(nèi)部起作用。

使用Wireshark捕捉VPN網(wǎng)關(guān)的外部流量時(shí)，如圖5，可以看到設(shè)備為內(nèi)網(wǎng)流量建立了SA（Security Association），并且顯示使用了身份驗(yàn)證保護(hù)方式為Main Mode，這是IKE協(xié)商的第一階段，使用抓包分析軟件無法獲取流量應(yīng)用的預(yù)共享密鑰。

圖5 Wirshark獲取SA數(shù)據(jù)

4 結(jié)束語

IPSec與VPN技術(shù)的拓展了校園網(wǎng)的應(yīng)用范圍，為教師和學(xué)生訪問校園網(wǎng)資源提供了方便，保障了數(shù)據(jù)傳輸?shù)陌踩?jié)省了網(wǎng)絡(luò)應(yīng)用成本。然而，IPSec VPN的應(yīng)用局限在站到到站點(diǎn)的訪問，特別是L2TP over IPSec VPN對(duì)用戶的應(yīng)用訪問要求比較高，這就需要校園網(wǎng)的管理應(yīng)用人員要對(duì)數(shù)據(jù)流進(jìn)行良好的規(guī)劃，才能把IPSec VPN技術(shù)進(jìn)行最大化的推廣。

[1]百度百科.虛擬專用網(wǎng)[J/OL].http://baike.baidu.com. [2]波拉普拉哥達(dá).IPSec VPN設(shè)計(jì)[M].人民郵電出版社，2 012.

[3]陸敏鋒，平玲娣，李 卓.基于IPSec 網(wǎng)絡(luò)協(xié)議的VPN測(cè)試系統(tǒng)[J].計(jì)算機(jī)工程，2010.

[4]王鳳領(lǐng).基于IPSec 的VPN 技術(shù)的應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012.

[5]H3C通信技術(shù)有限公司.路由交換技術(shù)（第4卷）[M].清華大學(xué)出版社，2012.

[6]51CTO技術(shù)論壇.gns3模擬ASA8.4.2和ASA8.0.2之間做ipsec-l2lvpn，新老版本配置[J/OL].http://bbs.51cto.com/thr ead-1104422-1.html.

[7]百度文庫.l2tp over ipsec隧道[J/OL].http:// http://wen ku.baidu.com/.

[8]約拉姆·奧扎赫（Yoram Orzach），古宏霞，孫余強(qiáng).Wi reshark網(wǎng)絡(luò)分析實(shí)戰(zhàn)[M].人民郵電出版社，2015.