基于IPSec下的VPN組播問題的探究

◆陳若楠 胡曦明，2 馬 苗，2

（1.陜西師范大學計算機科學學院 陜西 710119；2.現代教學技術教育部重點實驗室 陜西 710119)

基于IPSec下的VPN組播問題的探究

◆陳若楠1胡曦明1，2馬 苗1，2

（1.陜西師范大學計算機科學學院 陜西 710119；2.現代教學技術教育部重點實驗室 陜西 710119)

本文基于IPSec對VPN進行探究，在網絡模擬仿真實驗平臺上對IPSec VPN進行測試，提出了IPSec是否支持組播的疑問并進行實驗驗證，然后提出VPN組播數據如何得到安全性保護的問題，最后提出與GRE相結合組建VPN的解決方案，使得子網內的組播數據得到安全性保護。實驗結果既保障了數據的組播功能，又保障了其安全性，可廣泛應用于金融、媒體等多個行業(yè)領域。

IPSec；VPN；安全性；GRE；組播

0 引言

通信安全長久以來都是一個重要的問題，IP本身不提供安全性，只提供通信服務。每當數據在公網上進行傳輸時，很容易受到安全性的威脅，使網絡上的黑客等不法分子趁虛而入。例如某企業(yè)的分公司和總公司之間傳輸公司內部機密文件時，亦如某大學的兩個或多個校區(qū)之間傳輸重要信息數據時，如果跨越公網，很難保證信息的完整性、安全性、正確性等。如果我們在企業(yè)的分公司和總公司網關之間，或者大學的兩個或多個校區(qū)的網關之間建立起IPSec VPN，使數據和信息從中通過，這樣就能夠保證其安全性。IPSec（Internet Protocol Security）是一個集合了許多標準的體系結構的網絡層安全保障機制，提供端到端和站點到站點的安全性。IPSec能夠在主機、路由器以及防火墻上實現，實現IPSec的中間設備被稱為“安全網關”。IPSec主要使用兩種安全協(xié)議，AH和ESP協(xié)議。IPSec有兩種工作模式：傳輸模式和隧道模式。傳輸模式（Transport Mode）用于保護端到端的安全性；隧道模式（Tunnel Mode）用于保護站點到站點的安全性。IPSec SA(Security Association，安全聯(lián)盟) ：安全聯(lián)盟是IPSec的基礎，IPSec對數據流提供的安全服務是通過 SA來實現的。ISAKMP（Internet Security Association and Key Management Protocol，密鑰管理協(xié)議)：定義了建立、協(xié)商、修改和刪除安全管理的程序和信息包格式。

1 Packet Tracer模擬器實驗

1.1 Packet Tracer模擬器實驗

圖1 Packet Tracer模擬器實驗拓撲圖

PC0 192.168.1.1/24（源IP地址）

PC1 192.168.2.1/24（目標IP地址）

（1）使用IKE協(xié)商方式配置路由器1、路由器2，用PC0 ping PC1，見圖2。

圖2 Packet Tracer模擬器實驗PC0 ping PC1

（2）通過抓包得到一組ISAKMP的包，源IP地址和目的IP地址在路由器上由于IPSec VPN的作用發(fā)生了變化。見圖3、圖4、圖5。

圖3 Packet Tracer模擬器實驗一組ISAKMP的包

圖4 Packet Tracer模擬器實驗抓到的ISAKMP的包（源和目的IP由于IPSec VPN的作用發(fā)生了變化）

圖5 Packet Tracer模擬器實驗ISAKMP協(xié)議

（3） 還抓到一組ICMP的包，打開后發(fā)現包含AH和ESP協(xié)議。見圖6、圖7。

圖6 Packet Tracer模擬器實驗抓到的ICMP包

圖7 Packet Tracer模擬器實驗ICMP包中包含的AH和ESP協(xié)議

（4） 得出AH和ESP在報文中的封裝格式。見圖8。

圖8 Packet Tracer模擬器實驗AH和ESP封裝格式

1.2 H3C模擬器實驗抓包分析

圖9 H3C模擬器實驗拓撲圖

路由器4 192.168.1.1/24（源IP地址）

路由器5 192.168.2.1/24（目標IP地址）

（1） 使用手動配置方式配置路由器 2、路由器 3，用路由器4 ping路由器5，結果見圖10。

圖10 H3C模擬器實驗路由器4 ping路由器5

（2） 通過抓包的到一組ESP的包，目的地址和源地址同樣發(fā)生變化，見圖11。

圖11 H3C模擬器實驗抓到一組ESP的包

（3） 打開抓到的ESP包，可以看到詳細信息，以及手工配置的進VPN密鑰(12345)和出VPN密鑰（54321），見圖12、圖13。

圖12 H3C模擬器實驗手工配置的進VPN密鑰(12345)

圖13 H3C模擬器實驗手工配置的出VPN密鑰(54321)

2 IPSec VPN深入探究

2.1 IPSec組播支持性問題研究

IPSec 可以對點對點數據進行保護，那是否支持組播呢？

實驗過程：

圖14 IPSec組播問題實驗拓撲圖

（1）用路由器 4 ping未配置組播的路由器下的 IP：192.168.2.1，見圖15。[5]

圖15 IPSec組播問題實驗ping未配置組播的路由器下的IP：192.168.2.1

（2）抓到的是一組ESP的包，見圖16。

圖16 IPSec組播問題實驗ping未配置組播路由器下IP：192.168.2.1抓到ESP包

（3）打開ESP的包，可以發(fā)現源地址和目的地址因為IPSec VPN的作用發(fā)生了變化，說明數據經過了IPSec VPN 的保護，并且可以看到進IPSec VPN 的密鑰（12345）。見圖17。

圖17 IPSec組播問題實驗ping未配置組播路由器下的IP發(fā)現數據經過IPSec VPN

（4）用路由器 5 ping 配置了組播的路由器下的 IP：192.168.1.1，見圖18。

圖18 IPSec組播問題實驗ping配置了組播的路由器下的IP：192.168.1.1

（5）抓到的是一組IGMP的包，見圖19。

圖19 IPSec組播問題實驗ping配置組播路由器下IP：192.168.1.1抓到IGMP包

（6）打開IGMP的包，發(fā)現只有IGMP的報文，沒有ESP，從地址看，數據沒有走IPSec VPN。見圖20。得出結論：IPSec 不支持組播！

圖20 IPSec組播問題實驗ping配置組播路由器下的IP發(fā)現數據未經過IPSec VPN

2.2 IPSec組播數據關鍵技術研究

如果要使用IPSec技術，組播數據要如何保證安全性？

分析：由于IPSec VPN不支持組播，但是還有其他的支持組播的VPN，可以與其他支持組播的VPN組合。GRE是一種支持組播的VPN，可以讓GRE技術和IPSec技術相結合。

圖21 GRE over IPSec實驗拓撲圖

路由器4 172.16.1.254/24（源IP地址）

路由器3 59.61.1.1/24（目標IP地址）

（1）用路由器4 ping配置了組播的路由器3的IP：59.61.1.1，見圖22。

圖22 GRE over IPSec實驗ping 59.61.1.1

（2）抓到了一組ICMP的包，從地址來看，源IP地址發(fā)生變化，變成隧道端口的IP地址，說明數據是通過GRE Over IPSec隧道傳送的。見圖23。

圖23 GRE over IPSec實驗抓到的一組ICMP的包

（3）還抓到一組ESP的包，有ESP包，說明數據經過了IPSec的安全性保護，說明目前的組播并沒有影響IPSec VPN。見圖24、圖25。

圖24 GRE over IPSec實驗抓到的一組ESP的包

圖25 GRE over IPSec實驗抓到ESP包說明數據經過IPSec的保護

得出結論：要想使組播的數據得到IPSec的安全性保護，可以結合其他支持組播的 VPN技術，比如這里實驗的 GRE Over IPSec ，這樣IPSec就可以在組播上應用了。

3 總結

通過實驗可以看出，在組播環(huán)境下無法抓到IPSec的數據包，說明傳統(tǒng)的IPSec VPN是不支持組播的，這使得組播傳輸面臨很大的安全性威脅。VPN傳輸的一大優(yōu)點就是可以將多種不同的VPN技術結合使用，GRE VPN是一種支持組播卻不保證數據安全性的技術，目前同樣廣泛應用于各種環(huán)境下的VPN，尤其多用于需要對數據進行組播的VPN環(huán)境，將IPSec和GRE技術相結合運用在VPN上，則可以實現IPSec在組播數據上應用，解決了IPSec VPN不支持組播數據安全性保護的問題，即公網上的數據通過此方法，建立GRE OVER IPSec VPN，使得無論是點對點數據還是組播數據，都可以得到安全性保護。

4 對IPSec VPN的評價和展望

4.1 IPSec VPN 的優(yōu)點

IPSec VPN可以保證數據的安全性、保證數據傳輸過程中的機密性、對數據的來源進行身份驗證、保證了數據的完整性。

4.2 IPSec VPN 的不足

（1）IPSec自身協(xié)議體系復雜難以部署。

（2）高強度的加密算法運算消耗大量資源。

（3）身份驗證增加了數據傳輸的延遲，不利于語音視頻等實時性較強的應用。

（4）IPSec自身不能獨立支持組播，需要借助其他協(xié)議幫助。

（5）IPSec中驗證頭AH的MAC計算要用到數據報的IP地址，當使用 NAT地址轉換時，會因為不能改寫地址而導致 AH失效。（但ESP仍有效）。

（6）如果使用 IPSec對數據的完整性保護或加密，傳統(tǒng)的NAT將無法修改IP地址。

[1]Kevin R. Fall[美] W. Richard Stevens[美].TCP/IP詳解卷一：協(xié)議（第二版）[M].北京：機械工業(yè)出版社，2016.

[2]David Hucaby[美] Steve McQuerry[美].Cisco路由器配置手冊（第二版）.北京：人民郵電出版社，2012.

[3]杭州華三通信技術有限公司.H3C路由器典型配置指導.北京：清華大學出版社，2013.

[4]杭州華三通信技術有限公司.路由與交換技術第三卷.北京：清華大學出版社，2011.

[5]Behrouz A.Forouzan[美].TCP/IP協(xié)議族（第四版）.北京：清華大學出版社，2011.

[6]劉春艷.基于IPSec的VPN網關設計與實現[J].網絡安全技術與應用，2013.

[7]唐燈平.基于Packet Tracer 的IPSec VPN 配置實驗教學設計[J].蘇州：張家口職業(yè)技術學院學報，2011.

[8]李建光.淺談IPSec VPN技術及應用過程[J].網絡安全技術與應用，2015.

[9]盧曉麗.IPSec VPN 技術在企業(yè)網絡安全中的應用[J].網絡安全技術與應用，2013.

[10]王建明.IPSec協(xié)議在 VPN中的應用探討[J].網絡安全技術與應用，2015.

[11]林冠男.GRE over IPsec VPN在企業(yè)網中的應用探究[J].網絡安全技術與應用，2016.

[12]秦勇.基于IPSec的VPN在校園網的應用研究[J].網絡安全技術與應用，2017.

中央高?；究蒲袠I(yè)務費專項資金資助項目（GK201503065），現代教學技術教育部重點實驗室開放課題資助項目（SYSK201501），陜西師范大學非師范拔尖創(chuàng)新人才培養(yǎng)計劃2017年度項目。