摘要:IPSec是一種開放標準的框架結構,用于為IP網絡通信安全提供服務,確保數據的機密性、完整性和來源認證。IP?SecVPN利用這些安全機制,使遠程用戶或分支機構能夠通過不安全的公共網絡安全地訪問企業內部網絡資源。該文介紹了IPSecVPN的原理,重點分析了IPSecVPN實驗的設計與實現,給出了具體實驗方法及步驟,以使學生掌握IPSecVPN的配置方法,直觀地看到實驗效果,增強學生對IPSec原理的理解和實踐能力。
關鍵詞:VPN;IPSec;實驗教學
中圖分類號:TP393.08文獻標識碼:A
文章編號:1009-3044(2025)20-0079-03
0引言
開放的互聯網平臺為每個用戶提供網絡服務,但用戶的敏感數據在互聯網中直接傳輸存在安全風險,而建立專用網絡成本太高。通過IPSecVPN技術利用互聯網來保障數據的安全成為可行方案。本文采用eNSP仿真軟件設計與實現了基于IPSec的VPN實驗。通過實驗,增強了學生對IPSecVPN原理的理解和實踐能力。
1相關技術
VPN(VirtualPrivateNetwork,虛擬專用網絡)可以連接不同的網絡組件和資源。它能夠利用公用網絡構建專用通信網絡,并保證數據的安全傳輸,在企業網絡中有廣泛應用。有多種技術支撐VPN的實現,主要技術有密鑰管理技術、隧道技術、加解密技術和用戶與設備身份驗證技術[1]。
IPSecVPN是一種采用IPSec協議來實現遠程接入的VPN技術。IPSec全稱為InternetProtocolSecu?rity,是由InternetEngineeringTaskForce(IETF)定義的安全標準框架,旨在通過加密通道在兩個私有網絡之間提供安全的通信通道。
1.1IPSec安全框架[2]
IPSec的主要作用是提供數據源認證、確保數據完整性、進行數據加密以及抗重放攻擊。IPSec安全框架主要包含鑒別頭(AH)、封裝安全載荷(ESP)、互聯網密鑰交換(IKE)協議和安全聯盟。
AH(AuthenticationHeader)協議:提供數據源認證和數據完整性檢驗,但不提供加密功能。AH協議在每個數據包的標準IP報頭后面添加一個AH報文頭,通過HASH算法在每一個數據包上添加一個身份驗證報頭來實現數據完整性檢驗。
ESP(EncapsulatingSecurityPayload)協議:提供加密、數據源驗證和數據完整性檢驗。ESP在每個數據包的標準IP報頭后面添加一個ESP報文頭,并對數據進行加密,防止數據被竊聽。
IKE(InternetKeyExchange)協議:用于事先協商ESP和AH的散列函數、安全協議、加密協議和運行模式,以及密鑰交換和認證方式。IKE將密鑰協商的結果保存在SA中,提供給ESP和AH通信時使用。
安全聯盟(SecurityAssociation,SA):定義了IPSec協商實體間使用的密鑰、加密算法和數據封裝模式等參數。IPSec對數據流提供的安全服務通過SA來實現。
SA是單向的,兩個協商實體之間通信,至少需要兩個SA。一個SA被唯一定義為一個三元組,包括:IP目的地址、SPI(SecurityParameterIndex,安全參數索引)、安全協議(AH或ESP)。
SA的建立有手動配置和自動協商兩種方式。手工配置建立SA的方式是指用戶通過在通信的兩端手工配置一些參數,在兩端參數匹配和協商通過后建立SA。自動協商方式由IKE生成和維護,通信雙方基于各自的安全策略庫經過匹配和協商,最終建立SA,而不需要用戶的干預。在手動配置SA時,需要手工指定SPI的取值。為保證SA的唯一性,必須使用不同的SPI來配置SA;使用IKE協商產生SA時,SPI將隨機生成。
1.2IPSec工作模式
IPSec安全框架提供了傳輸模式和隧道模式兩類數據流交互方式。
傳輸模式:用于保護端到端的安全通信,兩個要通信的數據終端計算機直接運行IPSec協議。在該模式下,端系統自動執行所有加密、解密和協商操作,網絡設備不參與任何IPSec過程,不對此類過程或協議進行介入。
隧道模式:用于站點到站點數據包的加解密。在該模式中,安全網關會保護從端系統發送的數據。安全網關負責所有加密、解密和協商操作,對端系統來說是透明的。
2實驗內容設計與實現
2.1實驗任務與目的
了解IPSecVPN的應用場景;理解IPSecVPN的原理;掌握IPSecVPN的配置方法。
2.2實驗環境
1)Windows7系統及以上主機。
2)主機安裝eNSP軟件(包括2臺PC機、2臺交換機(S3700)、3臺AR2220路由器)。
2.3仿真實驗背景與網絡拓撲
某公司因總部和分支機構距離較遠,為保障分支機構的內網用戶(屬于20.1.1.0/24網段)和總部服務器(屬于10.1.1.0/24網段)之間關鍵業務數據傳輸的安全,使用IPSecVPN技術安全連接兩地。總部和分支機構連接的網絡拓撲結構圖如圖1所示。
2.4實驗過程與主要實驗步驟[3]
2.4.1網絡連通性基礎配置
1)按圖1所示為PC1、PC2配置IP地址、掩碼、網關等信息。
2)AR1基本配置如下:
[Huawei]sysnAR1
[AR1]intg0/0/0
[AR1-GigabitEthernet0/0/0]ipadd10.1.1.124
[AR1-GigabitEthernet0/0/0]q
[AR1]ints1/0/1
[AR1-Serial1/0/1]ipadd200.1.1.124
[AR1-Serial1/0/1]q
[AR1]iproute-static0.0.0.00.0.0.0200.1.1.2
3)AR2基本配置如下:
[Huawei]sysnAR2
[AR2]ints2/0/0
[AR2-Serial2/0/0]ipadd200.1.1.224
[AR2-Serial2/0/0]q
[AR2]ints2/0/1
[AR2-Serial2/0/1]ipadd201.1.1.124
[AR2-Serial2/0/1]q
[AR2]rip
[AR2-rip-1]version2
[AR2-rip-1]network200.1.1.0
[AR2-rip-1]network201.1.1.0
4)AR3基本配置如下:
[Huawei]sysnAR3
[AR3]intg0/0/0
[AR3-GigabitEthernet0/0/0]ipadd20.1.1.124
[AR3]ints3/0/0
[AR3-Serial3/0/0]ipadd201.1.1.224
[AR3-Serial3/0/0]q
[AR3]iproute-static0.0.0.00.0.0.0201.1.1.1
2.4.2配置IPsecVPN
基礎網絡連通性配置完成之后,網絡中的各個設備之間可以正常通信,但數據通信安全并沒有得到保護,還需要在兩個區域網絡的路由器網關設備上配置并啟用IPSecVPN。IPSecVPN的配置流程如圖2所示。
1)以AR1路由器為例,配置命令如下:
//定義安全流量,創建訪問控制列表
//創建IPSec安全提議,采用ESP封裝,SHA2-256為身份驗證方法,加密算法采用AES-192
//配置IPSec安全策略
2)AR3路由器的IPSecVPN配置如下:
AR3路由器配置與AR1路由器配置大部分相似,只有配置安全策略的對端地址、索引號須進行對應改變,配置如下:
[AR3-ipsec-policy-manual-IPSEC-10]tunnello?cal201.1.1.2
[AR3-ipsec-policy-manual-IPSEC-10]tunnelre?mote200.1.1.1
[AR3-ipsec-policy-manual-IPSEC-10]saspiout?boundesp654321
[AR3-ipsec-policy-manual-IPSEC-10]saspiin?boundesp123456
[AR3-ipsec-policy-manual-IPSEC-10]sastringkeyoutboundespcipherbbbbbb
[AR3-ipsec-policy-manual-IPSEC-10]sastringkeyinboundespcipheraaaaaa
[AR3-ipsec-policy-manual-IPSEC-10]intserial3/0/0
[AR3-Serial3/0/0]ipsecpolicyIPSEC//在AR1的外網端口上應用配置好的策略[AR3-Serial3/0/0]quit
2.4.3結果及分析
1)抓包和協議分析[4]。
配置完成后,在PC1上使用PING命令測試與PC2之間的連通性,分別在AR1的G0/0/0接口和S1/0/1接口上使用Wireshark軟件捕獲數據報文。在AR1的G0/0/0接口上捕獲的數據報文為ICMP的明文,是ESP封裝前的報文。可以看出IP分組的源IP地址是PC1的私有IP地址10.1.1.5,目的IP地址是PC2私有IP地址20.1.1.5。如圖3所示。在AR1的S1/0/1接口上捕獲的數據報文為ESP封裝后的報文,IP分組作為ESP報文的載荷,ESP報文封裝成公網源IP地址200.1.1.1,目的IP地址201.1.1.2的隧道模式。分析報文結構可以看出ESP對原始報文進行了封裝,加上了新的公網IP頭進行數據傳輸,同時對原始載荷進行了加密處理,如圖4所示。
2)查看安全聯盟建立情況[5]。
分別在AR1、AR3上執行displayipsecsa命令查看安全聯盟建立情況,如圖5、圖6所示。
3結束語
IPSecVPN技術在端到端和站到站的網絡場景中的應用非常廣泛。文中重點介紹了IPSecVPN實驗的設計與實現,驗證了端到端網絡場景中的ESP報文封裝過程,達到了理解IPSecVPN工作原理的實驗目的。這有助于學生學習IPSecVPN的原理和配置方法,使其對IPSecVPN相關的知識和應用有更加深入的理解。另外,IPSecVPN在遠程辦公和移動用戶接入等場景下的應用有待進一步研究。
參考文獻:
[1]深信服產業教育中心.網絡安全設備原理與應用[M].北京:人民郵電出版社,2024.
[2]杭州華三通信技術有限公司.路由交換技術-第1卷,上冊[M].北京:清華大學出版社,2011.
[3]沈鑫剡,俞海英,胡勇強,等.網絡安全實驗教程[M].北京:清華大學出版社,2017.
[4]陳展翅,王曉品.基于eNSP的端到端IPSecVPN實驗設計與仿真[J].現代信息科技,2022,6(24):69-71.
[5]熊翌竹,李文靜,李祖猛.防火墻項目化實戰:基于華為eNSP[M].北京:清華大學出版社,2024.
【通聯編輯:代影】