基于IPSec-V PN解決跨地域公司內網互訪網絡的設計

張焱，楊貴蓮，徐柯，向梅梅，韋珊

（大連民族大學，遼寧大連116600）

1 引言

當今信息時代，企業往往會在全國各地設立分公司，企業內部信息傳遞尤為重要，包括內部資源共享，郵件往來和綜合信息應用等都要求各站點之間能互通。傳統解決方法有以下兩種：第一種是在每兩個站點之間申請一條專線，兩個站點之間的業務往來是通過專線傳輸。但是這種方案有明顯的缺點，一是專線費用較高，二是專線只適應站點較少的情況，當分公司站點偏多的情況下專線的數量幾何增長，造價太高。第二種解決方案是在每個站點之間使用VPN技術，在各站點之間建立邏輯的鏈路通道，通過動態路由協議把各內部網絡和隧道鏈路互聯。該方案缺點是企業業務數據在互聯網上直接封裝IP包傳輸，信息在傳遞過程中可能會被竊取。通過本方案設計，各站點出口部署隧道分離技術，保證內部網絡和外網的分離，通過IPSec-VPN技術在數據前面加上一個加密的頭部，這樣數據在傳遞過程中即使被竊取，也無法還原真實數據，保證了網路安全[1]。

2 總體設計

2.1 系統方案分析及方案邏輯拓撲

使用GNS3網絡模擬器進行模擬仿真。規劃所有設備的連接，配置IP地址，在各站點出口部署NAT技術，保證所有站點能訪問互聯網。在各站點之間部署隧道技術，建立各分支站點的邏輯鏈路通道。在全網部署OSPF路由協議，骨干區域部署在隧道鏈路上，其他分公司部署在非骨干區域。利用IPsec-VPN技術和隧道分離技術，使內部網絡回訪流量通過隧道傳輸，訪問外網資源通過NAT技術正常訪問。綜合各種條件我們認為此方案可行。

2.2 設計不足及解決方法

在使用GNS3模擬路由器功能的時候，會出現一些無法解釋的bug。這與軟件和模擬器設備使用的IOS版本有關?？梢允褂矛F在最新的eve模擬器來盡量避免類似問題的出現。在本項目中對數據使用了3DES進行加密，但隨著新技術的不斷涌現，此算法已經不能很好的保證數據安全，如果對數據加密有較高要求可以使用AES進行加密。

3 相關技術功能及分析

3.1 模擬器介紹與選擇

網絡模擬器的出現有著跨時代的意義，只需要通過簡單地操作就可以設計出最優的網絡架構，然后在真機上部署，大大提高了效率和方案可行性?，F在可供使用的模擬器大概有Cisco Packet Tracer、GNS3、IOU、EVE-ng等。根據我們項目的實際情況我們選擇了使用難度中等的GNS3模擬器進行項目的實現。

3.2 IPSec-VPN概述

VPN（Virtual Private Network）,即虛擬專用網絡，它可以通過特殊的加密通信協議在連接Internet上的位于不同地方的兩個或多個企業內部網絡之 間建立一條專有通信線路。IPSec-VPN指采用IPSec協議來實現遠程接入的一種VPN技術，IPSec全稱為Internet Protocol Security，用以提供公用及專用網絡端對端的加密和驗證服務。IPSec是一套比較完整且成體系的VPN技術，它規定了一系列協議標準。

3.3 NAT技術

NAT就是網絡地址轉換，在路由器上配置NAT服務，可以解決IP地址緊缺的問題,同時,也能將內部網絡和外部網絡隔離,為網絡提供一定的安全保障。NAT有三種類型：靜態NAT（staticNAT）、NAT池（pooledNAT）和端口 NAT（PAT）?？梢愿鶕髽I的大小和具體情況來選擇在出口路由器上部署。

3.4 OSPF路由協議

Open Shortest Path First即開放式最短路徑優先，是一個內部網關協議（IGP），用于在單一自治系統內決策路由,是對鏈路狀態路由協議的一種實現。使用SPF算法，將每臺路由器放在樹的根節點，并根據累計開銷計算到達每個目的地的最短路徑。OSPF分為OSPFv2和OSPFv3兩個版本,其中OSPFv2用在IPv4網絡，OSPFv3用在IPv6網絡。

4 相關原理及配置命令

4.1 NAT配置

在公司出口路由器上配置NAT。

R1(config)#interface f0/0

R1(config-if)#ip nat inside//f0/0設置為NAT的內部出口

R1(config)#interface s1/1

R1(config-if)#ip nat outside//s1/1設置為NAT的外部出口

R1(config)#access-list 1 permit 10.1.1.0 0.0.0.255

//寫一條只允許10.1.1.0網段進入的ACL

R1(config)#ip nat inside source list 1 interface s1/1 overload

//將ACL list 1運用在s1/1上

在R2和R3上部署類似配置。

4.2 靜態路由及OSPF配置

在公司出口路由器上配置靜態路由。

R1(config)#ip route 20.1.2.0 255.255.255.0 10.1.2.2

//配置去往公司二的靜態路由

R1(config)#ip route 30.1.2.0 255.255.255.0 10.1.2.2

//配置去往公司三的靜態路由

根據實際情況對R2和R3部署類似配置。

全網配置OSPF路由協議。

R1(config)#router ospf 1//創建OSPF1

R1(config-router)#network 10.1.1.2 0.0.0.0 area 1

//宣告公司一的私網網段

4.3 創建隧道并將其宣告到OSPF中

R1(config)#interface tunnel 1//創建隧道1

R1(config-if)#tunnel source 10.1.2.1//隧道源地址

R1(config-if)#tunnel destination 20.1.2.1

//隧道目的地址，也就是R2的公網IP地址

R1(config-if)#ip address 1.1.1.1 255.255.255.0//隧道接口IP地址

R1(config)#interface tunnel 2

R1(config-if)#tunnel source 10.1.2.1

R1(config-if)#tunnel destination 30.1.2.1

R1(config-if)#ip address 2.2.2.1 255.255.255.0

將隧道IP地址宣告進OSPF

R1(config)#router ospf 1

R1(config-router)#network 1.1.1.1 0.0.0.0 area 0 R1(config-router)#network 2.2.2.1 0.0.0.0 area 0

4.4 IPSec-VPN配置命令

一般而言，對等體之間建立IPSec-VPN連接需要3個步驟：①流量觸發IPSec。IPSec建立過程從對等體之間發送的流量開始，一旦有VPN流量經過網關，連接過程便開始建立。②建立管理連接。IPSec使用ISAKMP／IKE階段一來構建一個安全的管理連接，該管理連接只是一個準備過程，不會用來傳輸實際數據。③建立數據連接。ISAKMP／IKE階段二用來完成該任務，數據連接用于傳輸真正的用戶數據。經過IPSec建立的3個步驟后，VPN流量便可以按照協商的結果進行加密和解密。

5 結論

IPSec-VPN技術在解決跨地域公司內網互訪及相關需求中有著極為重要的作用與意義。IPSec協議能為所有基于IP的網絡應用提供存取控制、數據源驗證、數據完整性以及保密性等安全服務，在當前IPv4網絡中得到了廣泛應用。項目設計主要功能都基本實現，后期會在提高可用性上不斷改進，并在真機上部署實施使之能應用到實際需求中。