IPSec VPN的應用研究

■

隨著國內高校招生規模的日益擴大，為突破辦學條件的束縛，很多高校紛紛建立新校區。校園網已經不再是一個封閉的園區網概念，而是為學生、教師、家長以及一切相關人員隨時隨地提供信息化服務的邏輯城域網應用平臺。然而如何保障校區間在互聯通信中的數據安全性成為了校園網部署與使用過程中不可避免的問題。

校區間的互聯通信需要對校園網進行延伸性的數據傳輸，要求網絡跨Internet安全傳輸，而對于用戶的所有應用和業務來說卻是透明的，用戶的所有訪問操作就像在本地局域網一樣。根據這樣的需求，LAN TO LAN VPN系統常用的技術，可供選擇的LAN TO LAN VPN架構有MPLS VPN（peer-to-peer VPN）和IPSec VPN（Overlay VPN），對于MPLS VPN來說，雖然在QoS方面有一定的優勢，但需要ISP參與私網的路由，同時需要一定的服務費用且操作不靈活。而IPSec VPN技術可以根據實際的需求靈活的配置，不需要ISP的任何參與，不會產生任何服務費用，同時，作為下一代互聯網核心協議的IPv6更是將IPSec技術集成到協議內部，對于現階段IPv4和IPv6共存的網絡模式中，IPSec技術在兼容性方面有更大的優勢。所以對于校區互聯的虛擬專用網技術來說， IPSec VPN技術是一個不錯的選擇。

但是，基于IPSec協議本身的缺陷，在實際使用工程中IPSec VPN技術也會有其先天不足，本文著重研究IPSec VPN技術優勢以及在校園網應用中常見的問題，以我校網絡架構為背景，探討如何在校園網校區互聯的過程中更好的發揮IPSec VPN作用。

校園網中IPSec VPN系統的設計與應用

系統總體設計

校區互聯的VPN通信是解決兩個校區互聯通信安全的隧道方案，應用IPSec VPN技術在兩個校區間建立一條虛擬的專線。根據需求，我們分別在兩個校區的出口配置具有IPSec VPN功能的路由器（這里選擇的是Cisco 3845），并根據每個校區的內網實際情況配置相關的腳本實現虛擬專線業務。系統部署如圖1所示。

圖1校區VPN通信系統部署

VPN疊加技術應用設計

因為IPSec協議是針對IP數據流而設計的，其協議機制決定了難以支持組播，繼而而也不便于支持動態路由協議（如：OSPF協議），這一點為校區互聯安全通信應用帶來了一些不便。一方面，兩個校區都會擁有組播業務，要求在互聯通信的過程中要支持此項業務，另一方面，由于IPSec VPN通信是需要數據流來打通隧道的，所以要保持整個虛擬專線的聯通性需要通過動態路由協議周期性的發送Hello包來實現。這就要求校區互聯的VPN通信設計要支持這些網絡協議。

根據項目的實際需求，使用VPN技術疊加的方式是解決多協議支持問題的有效方案。具體方法是采用GRE over IPSec技術，該技術是將GRE和IPSec產生的兩條隧道復用，GRE隧道負責私網聯通以及組播相關協議的封裝，IPSec隧道實現數據安全傳輸。

我們可以簡單的理解GRE over IPSec這種VPN的部署方式是用GRE提供虛擬隧道，用IPSec來保護這個隧道，而GRE建立起來的隧道兩端都可以配置三層虛接口地址，這樣就可以支持動態路由協議、組播協議以及一些流量控制技術。通過GRE over IPSec方式部署校區互聯的VPN通信的具體優勢如下：

解決了遠程兩個站點間動態路由協議的貫通。

支持組播協議通信。

支持遠程站點間明文數據的流量控制。

只將GRE流量加密，可大大減少內網感興趣流量的配置范圍。

對于NAT協議支持設計

眾所周知，NAT技術是校園網常用的網絡地址轉換技術，即校內用戶使用私有IP地址，在網絡出口通過NAT技術將私有IP地址轉換為公有IP地址進行Internet訪問。然而NAT技術與IPSec VPN技術有著嚴重不兼容問題。

表1 IPSec VPN技術參數規劃表

我校無論是老校區還是新校區，均采用了NAT技術實現內外網的地址轉換應用。所以，分析NAT技術對IPSec VPN的影響原因，并通過技術手段解決二者兼容性問題是校區互聯的VPN通信設計必須完成的任務。

系統在處理由內到外數據流量時，NAT技術優先于加密技術處理數據包。那么，數據包在通過園區網出口時會先被NAT協議將源私有IP地址轉換成公網地址，因為轉換后的這個數據流量不再滿足IPSec VPN感興趣流，所以不會被IPSec VPN設備加密，取而代之的是，出口設備會將這個未加密的流量直接轉發到Internet上，故VPN安全通信失敗。

解決這個問題最有效的策就是在定義NAT內部地址列表時排除IPSec VPN感興趣流量列表，該方法在設計中比較容易實現，只是要求NAT策略要和IPSec VPN策略在同一臺校園網絡出口設備上配置，我們本次校區互聯的VPN通信項目也符合這一點要求。

IPSec VPN應用的實施與配置

在實施IPSec VPN之前，必須規化好IPSec相應的技術參數，包括路由策略、感興趣流量、IKE策略、IPSec轉換集、協議兼容性策略等相關參數并分別通過腳本形式部署到兩端的出口路由設備上。具體參數規劃如表1所示。

本方案適用于所有的具備IPSec VPN和GRE協議的路由設備或出口安全設備，以下腳本支持標準Cisco IOS系列操作系統的網絡設備。以下是具體的實現步驟以及在新校區邊界路由器上的配置腳本。

第一步，實現GRE隧道。其中，隧道的IP地址定義為10.1.1.1，隧道的源地址為路由器接口的IP地址20.79.66.18，而 目 的 地址是對端路由器的接口地址20.79.66.110。配置命令如下：

第二步，定義VPN感興趣流量。在這里通過訪問控制列表的方式抓取兩端GRE隧道的源、目的地之間的流量作為VPN感興趣的流量：

第三步，IKE第一階段（ISAKMP SA）的建立。定義IKE安全策略，其中認證方式為pre-share，哈希算法為md5，加密算法采用 3des，配置過程如下：

這里的“zxvpn”為預共享密鑰,兩邊路由器配置必須一致。

第四步，IKE第二階段（IPSec SA）建立。這步是定義IPSec的轉換集，將其命名為“VPN”并將隧道方式設置為傳輸模式（transport）。

第五步，建立IPSec MAP。這一步主要是調用上面定義好的腳本形成策略集，包括對端地址以及定義好的感興趣流量和IPSec轉換集。具體配置是：

然后在路由器對外端口口上應用策略集：

第六步，啟用動態路由策略。在兩端的路由器上分別啟用OSPF路由協議，定義好相應的router-id并通告所有私網地址以及GRE隧道地址。具體配置如下：

第七步，NAT兼容策略實現。這一步是通過訪問控制列表的方式將要通過VPN傳輸的源、目地址隊列從常規的NAT地址轉換的地址列表中排除到，使之繞過NAT地址轉換步驟，直接通過VPN隧道接口轉發出去。具體配置如下：

以上是定義允許NAT地址轉換的內網地址表，接下來是排除掉VPN感興趣流量地址：

最后,在老校區的出口路由器上也配置以上相同的策略腳本即可實現兩校區的IPSec VPN隧道通信。

總結

IPSec VPN在高校互聯虛擬專線的建設中普遍被應用。這次我院兩校區虛擬專線的部署過程中通過GRE over IPSec技術很好的解決了IPSec在組播協議和OSPF路由協議支持上的缺陷；同時通過訪問控制列表區分兩校區間不同需求流量的方法解決了IPSec對于NAT地址轉換不兼容的問題。事實證明，這些技巧在配置實施上并不困難，但卻起到了立竿見影的效果，是一次成功的嘗試。