基于NAT和IPSec的VPN配置與驗(yàn)證

【摘要】企業(yè)或組織，為節(jié)約IP地址，普遍采用NAT技術(shù)連接互聯(lián)網(wǎng)。針對互聯(lián)網(wǎng)的不安全性，采用適當(dāng)?shù)陌踩夹g(shù)保證企業(yè)或單位重要數(shù)據(jù)安全顯得非常必要，目前使用最為廣泛的技術(shù)是IPSec。在NAT的基礎(chǔ)上，通過構(gòu)造通道，利用通道組織企業(yè)遠(yuǎn)程局域網(wǎng)，從而為企業(yè)提供高效安全的網(wǎng)絡(luò)環(huán)境。在認(rèn)識(shí)NAT和IPSec的前提下，理解配置NAT和IPSec的含義，并在GNS3環(huán)境下加以仿真驗(yàn)證。

【關(guān)鍵詞】NATVPNIPSec通道安全

一、前言

采用RFC1918編址方式節(jié)約IP地址的方法通稱為NAT，NAT分為三類：靜態(tài)NAT、動(dòng)態(tài)NAT、NAPT。NAPT應(yīng)用最為廣泛。NAT技術(shù)是為了節(jié)約IP地址，在網(wǎng)絡(luò)內(nèi)部采用私有地址，在出口采用公網(wǎng)地址，內(nèi)部地址要訪問外網(wǎng)時(shí)，需要將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，這種轉(zhuǎn)換主要是IP地址和端口的轉(zhuǎn)換，涉及到修改每個(gè)IP包的IP地址和端口值。而IPSec是一套網(wǎng)絡(luò)安全協(xié)議規(guī)范，常用于組建VPN，構(gòu)建兩個(gè)遠(yuǎn)程局域網(wǎng)之間的安全隧道，進(jìn)而把位于兩地的兩個(gè)局域網(wǎng)合并成一個(gè)可以通過不安全的互聯(lián)網(wǎng)相互聯(lián)系的一個(gè)局域網(wǎng)，而IPSec中使用的協(xié)議不允許修改IP報(bào)頭內(nèi)容，因此，NAT和IPSec相互矛盾，不能在一起混用。雖然目前有一些方法克服這種矛盾，比如IP OVER TCP，IP OVER UDP，NAT-T等，但是都是對IP報(bào)文結(jié)構(gòu)的一種破壞，本文根據(jù)NAT和IPSec的不同用途，客戶端采用NAT和IPSec分別訪問不同的對象，在配置上巧妙避開矛盾，使兩種協(xié)議各司其職，互不影響。

二、NAT結(jié)構(gòu)分析

私有網(wǎng)絡(luò)192.168.1.0/24的多臺(tái)計(jì)算機(jī)，需要訪問internet，但是只有一個(gè)公網(wǎng)地址，在路由器R1上啟用NAPT功能，將源地址為192.168.1.x的私有地址轉(zhuǎn)換成internet中可以識(shí)別和交換的公網(wǎng)地址200.1.1.1，同時(shí)將端口進(jìn)行相應(yīng)的轉(zhuǎn)換，并在R1中儲(chǔ)存對應(yīng)表，如圖1所示。

三、IPSec VPN解析

IPSec是一種IP層的數(shù)據(jù)加密方法，它包含兩種模式：傳輸模式和隧道模式，有兩種封裝：AH和ESP，兩種模式和兩種封裝共組合成四種應(yīng)用，比較常見的是隧道模式的ESP封裝。其基本封裝原理如圖2所示。

四、配置與驗(yàn)證

試驗(yàn)網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

4.1NAT配置與驗(yàn)證

首先在R1上設(shè)置NAT，排除到對端的流量，其余流量均采用NAT。

R1（config）#access list 102 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

R1（config）#access list 102 permit ip any any

R1（config）#ip nat inside source list 102 int f0/1 overload

R1（config）#int f0/1

R1（config）#ip nat outside

R1（config）#int f0/0

R1（config）#ip nat inside

在R3上設(shè)置NAT，排除到對端的流量，其余流量均采用NAT。

R3 （config）#access list 102 deny ip 172.16.1.0 0.0.0.255 192.168.1.0.0.0.0.255

R3（config）#access list 102 permit ip any any

R3（config）#ip nat inside source list 102 int f0/1 overload

R3（config）#int f0/1

R3（config）#ip nat outside

R3（config）#int f0/0

R3（config）#ip nat inside

實(shí)驗(yàn)的關(guān)鍵是NAT的訪問控制列表范圍的規(guī)定，前往對端私用網(wǎng)絡(luò)的源IP不要轉(zhuǎn)換，而去往公網(wǎng)的源地址需要轉(zhuǎn)換，采用debug ip nat驗(yàn)證NAT轉(zhuǎn)換過程。

4.2IPSec配置與驗(yàn)證

第一步配置IKE協(xié)商

R1（config）#crypto isakmp policy 100建立IKE協(xié)商策略

R1（config-isakmap）# authentication pre-share預(yù)共享密鑰認(rèn)證

R1 （config）# crypto isakmp key wwp address 201.1.1.2設(shè)置共享密鑰和對端地址

R3（config）#crypto isakmp policy 100建立IKE協(xié)商策略

R3（config-isakmap）# authentication pre-share預(yù)共享密鑰

R3 （config）# crypto isakmp key wwp address 200.1.1.1設(shè)置共享密鑰和對端地址

第二步配置IPSEC相關(guān)參數(shù)

R1 （config）# crypto ipsec transform-set wwpset esp-des配置轉(zhuǎn)換集、驗(yàn)證算法、加密算法

R1（config）# access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255定義訪問控制列表

R2 （config）# crypto ipsec transform-set wwpset esp-des傳輸模式

R2（config）# access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255

第三步應(yīng)用配置到接口

R1 （config）#crypto map wwpmap 110 ipsec-isakmp采用IKE協(xié)商，優(yōu)先級為110

R1（config-crypto-map）#set peer 201.1.1.2指定VPN鏈路對端IP地址

R1 （config-crypto-map）#set transform-set wwpset指定轉(zhuǎn)換集

R1（config-crypto-map）#match address 101指定訪問控制列表，匹配信息流

R1（config）# int f0/1

R1（config-if）# crypto map wwpmap應(yīng)用此表到端口

R3 （config）#crypto map wwpmap 110 ipsec-isakmp采用IKE協(xié)商，優(yōu)先級為110

R2（config-crypto-map）#set peer 200.1.1.1指定VPN鏈路對端的IP地址

R2 （config-crypto-map）#set transform-set wwpset指定轉(zhuǎn)換集

R2（config-crypto-map）#match address 101指定訪問控制列表匹配需要加密的信息流

R2（config）# int f0/1

R2（config-if）# crypto map wwpmap應(yīng)用此表到端口

IPSEC VPN配置完成后，首先采用ping命令，測試到對端私網(wǎng)和公網(wǎng)是否暢通；其次，采用show命令查看IPSec狀態(tài)，R1#show crypto ipsec sa，R1#show crypto isakmp sa，R1# show crypto isakmp policy；最后，采用debug crypto isakmp和debug crypto ipsec命令，查看IPSec運(yùn)行情況。

五、結(jié)論

根據(jù)VPN和NAT的不同應(yīng)用范圍，靈活配置策略，精細(xì)化配置測試，可以采用不同信息流量采用不同途徑的方法，分別使用NAT和VPN，達(dá)到到達(dá)對端采用VPN，到達(dá)公網(wǎng)采用NAT，各司其職，既保障了訪問公網(wǎng)的靈活性，又保證了私網(wǎng)通信的安全性。

參考文獻(xiàn)

[1]洪洲. NAT的UDP穿透技術(shù)分析與實(shí)現(xiàn).廣州城市職業(yè)學(xué)院學(xué)報(bào)[J]，2009，2：27-31

[2]楊翼平.雙重NAT技術(shù)在集中網(wǎng)絡(luò)管理業(yè)務(wù)中的應(yīng)用.中國新通信[J]，2012，10：49-51

[3]吳麗華，肖子玉. IMS組網(wǎng)中的NAT/防火墻穿越方案.電信工程技術(shù)與標(biāo)準(zhǔn)化[J]，2009，5：16-21頁

[4]蔡琴.運(yùn)用VPN技術(shù)組建新疆黨校虛擬專用網(wǎng)絡(luò).無線互聯(lián)科技[J]，2012，11：8-9

[5]黃益彬，呂洋，楊維永.智能終端網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì).計(jì)算機(jī)與現(xiàn)代化[J]，2012，12：106-109

[6]程龍，張學(xué)平，王海濤.基于OPNET的IPSec協(xié)議性能監(jiān)測與仿真.計(jì)算機(jī)安全[J]，2012，11：51-55

[7]王鳳領(lǐng).基于IPSec的VPN技術(shù)的應(yīng)用研究.計(jì)算機(jī)技術(shù)與發(fā)展[J]，2012，9：250-252

[8]董靖超. VPN技術(shù)與應(yīng)用.電腦與電信[J]，2012，7：42-44