基于IPSec的VPN在校園網(wǎng)的應用研究

◆秦 勇

基于IPSec的VPN在校園網(wǎng)的應用研究

◆秦 勇

（北京青年政治學院計算機系 北京 100102）

基于IPSec的VPN技術(shù)為用戶提供了安全的內(nèi)網(wǎng)資源訪問，在校園網(wǎng)應用中可以搭建基于IPSec的站點到站點的VPN和L2TP VPN，通過防火墻調(diào)試和抓包分析工具WireShark獲得流量數(shù)據(jù)包，確定IPSec的工作原理和安全特性。

IPSEC；VPN；數(shù)據(jù)分析

0 前言

網(wǎng)絡(luò)技術(shù)的發(fā)展,促進了社會的發(fā)展,企業(yè)擴展和校園合并都把園區(qū)網(wǎng)的功能做了升級,企業(yè)員工不管在哪里都希望能夠使用企業(yè)的網(wǎng)絡(luò)資源,特別是校園網(wǎng)的資源，然而限于安全和成本的考慮,很多資源只能在園區(qū)網(wǎng)絡(luò)內(nèi)供用戶訪問。虛擬專用網(wǎng)VPN技術(shù)的應用，使得園區(qū)網(wǎng)絡(luò)資源能夠安全的為企業(yè)員工提供服務。

1 虛擬專用網(wǎng)VPN技術(shù)

虛擬專用網(wǎng)VPN是指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng),從實際應用效果看，對用戶是完全透明的,就好像在實際的園區(qū)網(wǎng)絡(luò)里訪問內(nèi)部資源一樣。

VPN屬于遠程訪問技術(shù)，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，要進行遠程訪問，傳統(tǒng)的方法是租用DDN（數(shù)字數(shù)據(jù)網(wǎng)）專線或幀中繼，這樣的通訊方案必然導致高昂的網(wǎng)絡(luò)通訊和維護費用。對于移動用戶（移動辦公人員）與遠端個人用戶而言，一般會通過撥號線路（Internet）進入企業(yè)的局域網(wǎng)，但這樣必然帶來安全上的隱患。為了保障網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全，VPN技術(shù)采用了認證、存取控制、機密性、數(shù)據(jù)完整性等措施，以保證信息在傳輸中不被偷看、篡改、復制。有了數(shù)據(jù)加密，就可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸，就如同專門架設(shè)了一個專用網(wǎng)絡(luò)一樣，但實際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此VPN稱為虛擬專用網(wǎng)絡(luò)，其實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通訊隧道。有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN訪問內(nèi)網(wǎng)資源，這就是VPN在企業(yè)中應用得如此廣泛的原因。

2 IPSec概述

IPSec是IETF IPSec工作組定義的一套安全協(xié)議，在RFC2401中，對IPSec基本架構(gòu)和基本部件做了定義，其中包括驗證報頭（AH）和封裝安全有效負載（ESP）的安全協(xié)議，密鑰管理（ISAKMP、IKE、SKEME）和用于加密和身份驗證的算法。

圖1 IPSec體系結(jié)構(gòu)

IPSec體系結(jié)構(gòu)如圖1所示。AH（認證頭）和ESP（封裝安全載荷）是IPSec體系中的主體，其中定義了協(xié)議的載荷頭格式以及它們所能提供的服務，另外還定義了數(shù)據(jù)報的處理規(guī)則，正是這兩個安全協(xié)議為數(shù)據(jù)報提供了網(wǎng)絡(luò)層的安全服務。兩個協(xié)議在處理數(shù)據(jù)報文時都需要根據(jù)確定的數(shù)據(jù)變換算法來對數(shù)據(jù)進行轉(zhuǎn)換，以確保數(shù)據(jù)的安全，其中包括算法、密鑰大小、算法程序以及算法專用的任何信息。IKE（Internet 密鑰交換）利用ISAKMP語言來定義密鑰交換，是對安全服務進行協(xié)商的手段。IKE交換的最終結(jié)果是一個通過驗證的密鑰以及建立在通信雙方同意基礎(chǔ)上的安全服務,即 “IPSec安全關(guān)聯(lián)”。SA（安全關(guān)聯(lián)）是一套專門將安全服務/密鑰和需要保護的通信數(shù)據(jù)聯(lián)系起來的方案，它保證了IPSec數(shù)據(jù)報封裝及提取的正確性，同時將遠程通信實體和要求交換密鑰的IPSec數(shù)據(jù)傳輸聯(lián)系起來。即SA解決的是如何保護通信數(shù)據(jù)、保護什么樣的通信數(shù)據(jù)以及由誰來實行保護的問題。策略是一個非常重要的但又尚未成為標準的組件,它決定兩個實體之間是否能夠通信；如果允許通信，又采用什么樣的數(shù)據(jù)處理算法。如果策略定義不當，可能導致雙方不能正常通信。與策略有關(guān)的問題分別是表示與實施。“表示”負責策略的定義、存儲和獲取，“實施”強調(diào)的則是策略在實際通信中的應用。

3 VPN在校園網(wǎng)中的應用

校園網(wǎng)是一種非常典型的園區(qū)網(wǎng)絡(luò)，教師和學生基本都在校園內(nèi)部訪問校園網(wǎng)資源，網(wǎng)絡(luò)的安全是在隔離外界的基礎(chǔ)上進行保證的。隨著院校規(guī)模的擴大，院校的合并帶來了多地辦學的形態(tài)，教師和學生都面臨在非校園網(wǎng)的環(huán)境進行遠程訪問，外部的網(wǎng)絡(luò)應用給校園網(wǎng)絡(luò)帶來很多安全隱患，IPSec與VPN技術(shù)的應用為校園網(wǎng)的遠程互訪提供了良好的安全保障。

3.1 多校區(qū)的IPSec VPN的實現(xiàn)

在校園網(wǎng)的出口，一般都使用防火墻來與外網(wǎng)連接。防火墻可根據(jù)數(shù)據(jù)包的IP地址、訪問狀態(tài)、深入數(shù)據(jù)包內(nèi)部檢查數(shù)據(jù)等工作，來有效防范外網(wǎng)對內(nèi)網(wǎng)的攻擊，同時可以協(xié)同其他安全工具和軟件，構(gòu)成IDS和IPS系統(tǒng)。如圖2所示。

圖2 校區(qū)間網(wǎng)絡(luò)拓撲

在進行兩個校區(qū)的IPSecVPN應用時，要進行合理的內(nèi)網(wǎng)地址規(guī)劃。信息中心的人員在進行地址應用時，兩個校區(qū)要通過的數(shù)據(jù)網(wǎng)段不能相同，這個是在基本的拓撲概念中要注意的，對于數(shù)據(jù)流的保護，在進行應用時必須把特定的保護流量規(guī)劃出來，通過訪問控制列表來做限定。

IPSec VPN實現(xiàn)的具體步驟是，由于校園網(wǎng)訪問外部網(wǎng)絡(luò)通常使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，在應用VPN時，需要考慮把其中的流量進行NAT的穿越處理，當VPN設(shè)備發(fā)現(xiàn)數(shù)據(jù)需要被保護時，啟用安全協(xié)議IPSec，就是對數(shù)據(jù)進行加密、認證處理，密鑰管理協(xié)議階段1驗證IPSec對等方，在該階段中協(xié)商IKE安全關(guān)聯(lián)，為階段2中的協(xié)商IPSec安全關(guān)聯(lián)創(chuàng)建一條安全的通信信道；密鑰管理協(xié)議階段2協(xié)商IPSec安全關(guān)聯(lián)參數(shù)，創(chuàng)建的安全參數(shù)則用來保護端點之間交換的信息和數(shù)據(jù)，在對等方中創(chuàng)建匹配IPSec安全關(guān)聯(lián)；數(shù)據(jù)傳輸發(fā)生存儲在安全關(guān)聯(lián)數(shù)據(jù)庫中的密鑰和基于IPSec參數(shù)的IPSec對等方；通過超時發(fā)生或刪除安全關(guān)聯(lián)終止IPSec隧道。

思科設(shè)備的穩(wěn)定性是業(yè)界比較知名的，一般處理過腳本的應用后，對于相關(guān)技術(shù)的掌握也就比較容易了，以思科ASA5520為例，使用ASA8.4版本系統(tǒng)進行IPSecVPN應用。

首先進行NAT和NAT穿越的應用nat（inside，outside）source static INSIDE- ADDRESS INSIDE- ADDRESS destination static VPN-ADDRESS VPN-ADDRESS，因為IPSecVPN應用時，需要在校園網(wǎng)的網(wǎng)絡(luò)地址上封裝IPSec協(xié)議及隧道地址，所以對于NAT來說必須進行穿越應用，即不讓這些VPN流量進行轉(zhuǎn)換，所以需要通過NAT配置旁路掉VPN感興趣流。

其次，進行IPSec安全提議應用，把IPSec應用定義在校園網(wǎng)的防火墻的外網(wǎng)crypto ikev1 enableoutside，在安全提議中指明加密和認證的算法，如3des、md5、sha等，為后續(xù)的第二階段的IPsec協(xié)商做準備，一般使用預共享密鑰方式authentication pre-share。

再次，進行IPSec策略的協(xié)商應用，在這個階段定義安全流應用的隧道類型tunnel-group OUT-ADDRESS type ipsec-l2l，制定安全訪問的預共享密鑰，并且進行第二階段的應用crypto ipsec ikev1transform-set ESP-3DES-SHA esp-3des esp-sha-hmac，在這里定義好VPN的應用隧道，即封裝外網(wǎng)端口地址，包括本地和外網(wǎng)的應用crypto map TEST 10 set peer 外網(wǎng)IP。

最后，把上面的IPSec安全關(guān)聯(lián)應用在防火墻的外網(wǎng)接口上，在兩個校區(qū)的外網(wǎng)應用中藥進行對稱應用，即雙方的安全流量要互訪，并且使用相同的共享秘鑰。

3.2 移動用戶IPSec VPN的應用

對于校園網(wǎng)的遠程用戶一般使用L2TP over IPSec的方式進行訪問，對于教師和學生來說，使用的外網(wǎng)地址是不固定的，所以在建立IPSec通道時不能象校區(qū)之間通過特定的設(shè)備來實現(xiàn)預共享密鑰的訪問，只能使用野蠻模式來進行IPSec VPN的應用，如圖3所示。

圖3 L2TP over IPSec VPN

用戶需要在移動終端上使用相應的撥號軟件，實現(xiàn)與校園網(wǎng)防火墻（VPN網(wǎng)關(guān)）通信。當撥號成功以后，VPN網(wǎng)關(guān)會給移動終端分配一個IP地址，這時候他們之間就可以通信了，這時移動終端用戶就是L2TP應用中的LAC（L2TP Access Concen trator），校園網(wǎng)防火墻就是LNS（L2TP Network Server），IPSec隧道在LAC與LNS之間建立，保護L2TP隧道數(shù)據(jù)流，L2TP隧道封裝包被封裝在IPSec隧道封裝包之中。在整個應用中，IP Sec協(xié)議對數(shù)據(jù)流提供了很好的保護，使得校園網(wǎng)與移動用戶之間處在安全的應用框架內(nèi)。

3.3 IPSec數(shù)據(jù)包分析

多校區(qū)間IPSec VPN應用成功以后，可以從設(shè)備上可以進行功能應用查看，通過使用命令可以查看到IPSec SA的信息，如圖4所示。

圖4 IPSec SA

通過圖示可以看到數(shù)據(jù)流的私網(wǎng)地址是反應不出來的，都被應用在外網(wǎng)應用的隧道中，數(shù)據(jù)流被ESP協(xié)議進行保護，VPN網(wǎng)關(guān)上的進站流量和出站流量在兩個校區(qū)站點設(shè)備上是互相對應的，并且應用加密算法、認證算法都顯示出來，最重要的鏈路的預共享密鑰隱含在內(nèi)部起作用。

使用Wireshark捕捉VPN網(wǎng)關(guān)的外部流量時，如圖5，可以看到設(shè)備為內(nèi)網(wǎng)流量建立了SA（Security Association），并且顯示使用了身份驗證保護方式為Main Mode，這是IKE協(xié)商的第一階段，使用抓包分析軟件無法獲取流量應用的預共享密鑰。

圖5 Wirshark獲取SA數(shù)據(jù)

4 結(jié)束語

IPSec與VPN技術(shù)的拓展了校園網(wǎng)的應用范圍，為教師和學生訪問校園網(wǎng)資源提供了方便，保障了數(shù)據(jù)傳輸?shù)陌踩?jié)省了網(wǎng)絡(luò)應用成本。然而，IPSec VPN的應用局限在站到到站點的訪問，特別是L2TP over IPSec VPN對用戶的應用訪問要求比較高，這就需要校園網(wǎng)的管理應用人員要對數(shù)據(jù)流進行良好的規(guī)劃，才能把IPSec VPN技術(shù)進行最大化的推廣。

[1]百度百科.虛擬專用網(wǎng)[J/OL].http://baike.baidu.com. [2]波拉普拉哥達.IPSec VPN設(shè)計[M].人民郵電出版社，2 012.

[3]陸敏鋒，平玲娣，李 卓.基于IPSec 網(wǎng)絡(luò)協(xié)議的VPN測試系統(tǒng)[J].計算機工程，2010.

[4]王鳳領(lǐng).基于IPSec 的VPN 技術(shù)的應用研究[J].計算機技術(shù)與發(fā)展，2012.

[5]H3C通信技術(shù)有限公司.路由交換技術(shù)（第4卷）[M].清華大學出版社，2012.

[6]51CTO技術(shù)論壇.gns3模擬ASA8.4.2和ASA8.0.2之間做ipsec-l2lvpn，新老版本配置[J/OL].http://bbs.51cto.com/thr ead-1104422-1.html.

[7]百度文庫.l2tp over ipsec隧道[J/OL].http:// http://wen ku.baidu.com/.

[8]約拉姆·奧扎赫（Yoram Orzach），古宏霞，孫余強.Wi reshark網(wǎng)絡(luò)分析實戰(zhàn)[M].人民郵電出版社，2015.