IPSec+VPN

IPSec+VPN（精选7篇）

IPSec+VPN 第1篇

1 IPSec VPN概述

1.1 IPSec协议简介

IPSec(IP Security)是在IPv6标准的制定过程之中提出的,用于为互联网提供IP层的安全性保障。所有基于TCP/IP协议系统的计算机设备进行数据交互时,IP层的数据处理是必需的环节,因此在IP层的提供了安全性保障就等同于为整个TCP/IP协议体系提供了安全性保障。考虑到IPv4标准的应用仍然很普遍,因此在后续IPSec的研究中也加入了对IPv4标准的支持。

1.2 IPSec协议的基本原理

IPSec协议的本质是一种包过滤防火墙技术,通过对包过滤防火墙技术进行一系列的改进和扩展而得到。基于包过滤防火墙技术,每当接收到一个IP数据包时,防火墙就在一个规则表内对该数据包的头部进行匹配。若能够在规则表中找到一个与其相匹配的规则时,防火墙就使用该规则约定的方法对所接收到的数据包进行丢弃活着转发的处理。

IPSec协议中设置了安全策略数据库(Security Po1icy Database,SPD),在对每个数据包进行处理时通过查询SPD数据库决定如何对IP数据包进行后续的处理。同时,在对IP数据包的处理方式上增加了一种IPSec处理方式,对传输的IP数据包进行了加密和认证处理,从而将原始的IP数据转换成加密的IP报文在网络中进行传输。通过引入该处理策略,使得IPSec协议不仅能够对所接收到IP数据包进行筛选,从而控制由本网络设备发出或者其他网络设备发往本网络设备的IP数据包的通过,从而能够拒绝某些非授权的外部网络设备访问本地网络的内部网络设备,同时也可以防止本地网络内部的网络设备访问外部的非授权站点。此外,IPSec协议通过对传输的数据包进行加密和认证之后,在外部网络中所传输的就是加密的IP报文。因此该技术能够有效的防止所传输的数据包被外部设备截取和篡改,从而显著提高了所传输数据的保密性,可靠性和可信度。

2 VPN的应用

VPN网络的典型应用场景包括:(1)构建企业的总部和分部之间的VPN网络;(2)构建企业与合作伙伴之间的VPN网络;(3)为企业的远程终端构建访问企业内部网络的通道。

其中前两种场景较为相似,只是网络访问规则不同。因此本文以一个具有一个分支机构的小型企业VPN的应用需求为背景,详细介绍基于IPSec技术为其建立分部与总部和远程终端之间的VPN网络的方法和过程。

2.1 网络组建方案

VPN网络的拓扑结构如(图1)所示,总部和分部以及远程终端之间通过互联网进行连接。

2.2 配置流程

本文仅以总部到分部之间的VPN连接为例,对VPN网络的配置进行描述。其具体操作步骤包括:

第一步:在总部ISA服务器上为分支机构建立远程站点,包括设置远程站点的VPN协议类型为L2TP并设置启用PPTP和L2TP/IPSec协议,在网关属性中设置远程产的的名称和IP分别为Branch和192.168.1.2。

第二步:在总部ISA服务器上为分支机构的远程站点建立的网络规则,包括设置网络规则名称为main to branch,同时选择源网络和目标网络为内部和branch,并设置网络关系为路由。

第三步:在总部ISA服务器上为分支机构的远程站点建立访问规则,包括设置规则名称为main to branch,设置规则操作为允许,并添加HTTP和Ping协议,然后在访问规则源和目标中都添加上branch和内部。

第四步:在总部ISA服务器上为远程网络站点建立拨入用户集,包括设置该用户的用户名和密码,同时设置允许该用户拨入。

第五步:在分部ISA服务器上为建立总部的远程站点,包括设置远程站点的VPN协议类型为L2TP并设置启用PPTP和L2TP/IPSec协议,在网关属性中设置远程产的的名称和IP分别为main和192.168.1.1,最后设置拨入总部ISA服务器的用户名和密码。

第六步:在分部ISA服务器上为总部远程站点的建立网络规则;包括设置网络规则名称为branch to main,同时选择源网络和目标网络为内部和miain,并设置网络关系为路由。

第七步:在分部ISA服务器上为总部远程站点的建立访问规则;包括设置规则名称为branch to main,设置规则操作为允许,并添加HTTP和Ping协议,然后在访问规则源和目标中都添加上main和内部。

第八步:通过互相ping对端内网内的主机来对VPN连接进行测试。

3 结语

设计出一套可行的VPN在企业中的应用将会使企业的运作联系变得更加紧密和便利,同时,VPN也是网络发展、不可或缺的一部分,将是改变人们生活节奏的重要保障。因此本文针对基于IPSec的VPN技术进行研究,分析了IPSec协议的基本原理,并以一个具有分部和远程终端的企业应用需求为例,对基于IPSec的VPN网络组建方案和流程进行介绍。

参考文献

[1]殷平.VPN技术及其应用的研究[J].电脑知识与技术,2010,(21):5723-5728.

[2]朱祥华.VPN技术在企业远程办公中的研究与应用[J].信息安全与技术,2011,(1):35-38.

[3]李化玉.VPN网络在企业生产办公中的应用[J].信息系统工程,2012,(1):99-100.

[4]戴刚.VPN在企业中应用的研究[J].网络安全技术与应用,2010,(4):65-67.

IPSec+VPN 第2篇

IPSec协议(Internet Protocol Security)是因特网工程任务组(IETF)制定的一套可以用在IPv4和IPv6上的安全协议,该协议基于密码学方法,支持机密性和认证服务等安全服务,具有互操作性[1]。IPSec协议主要用于确保互联网上的一系列IP(网际协议)协议能够进行安全有效的传输。IPSec协议包括一系列以编号排定的文件,为了确保不同方案之间能够实现互通,它定义了一套默认的、强制实施的算法[2]。

认证头协议(AH)和封装安全协议(ESP)是IPSec协议的两个子协议。其中认证头协议(AH)的协议号为51,其主要目的是增加IP数据报的安全性,它能够提供无连接的完整性、防重放攻击保护以及数据源头认证服务,但它不为所保护的数据报加密,即不提供任何的保密性服务;封装安全协议(ESP)的协议号为50,是插在IP报文内的一个协议头,主要为IP提供数据机密性、数据源验证、数据完整性、抗重播等安全服务。AH和ESP两者之间的不同点在于认证头协议(AH)不包含机密过程,而封装安全协议(ESP)有加密措施;此外认证头协议(AH)的验证范围涵盖了整条报文,而封装安全协议(ESP)不需要验证外部的IP数据头。

根据保护对象以及使用地点的不同,,IPSec协议分为隧道模式和传送模式。隧道模式主要用于在Internet中的路由,并对整个IP分组采取保护措施。主要做法是将IP分组加密,并将加密后的分组完全封装到另一个IP分组中;传送模式主要用于主机之间,负责对分组负载进行有效保护,但是不对原来的IP地址进行加密。

二、安全协议IPSec的实现

IPSec是一组开放安全协议的总称,VPN(虚拟局域网)网关支持同时使用IPSec中的ESP和AH协议,以及支持隧道和传送两种模式。现以AH协议处理为例,阐述IPSec模块在Linux下的实现方案。

AH协议分为输入和输出两部分,主要负责报文完整性认证的工作。在AH协议中,驱动程序负责报文的接收,并将报文放入IP队列内。为了确保字段的完整性和正确性,AH协议会对输入的报文进行完整性校验。对于输入的AH报头各字段的合法性和长度值的检查,主要由AH协议的输入部分负责。AH协议报头内专门的序列号字段主要用于进行抗重放攻击服务。在方案中报文的输入过程是:维护一个序号滑动窗口,其主要负责对报文内序号字段进行检查,检查的内容包括:字段接收范围、接收字段号,最后根据检查内容判断是否接收报文。正确报文的接收工作包括:提取报文序列号、修改滑动窗口。确认接收报文后,删除封装的IP隧道头和AH头,还原内部IP报文并将其重新置入IP队列中。报文输出的工作过程包括:计算出完整性校验值,并放入新添加的AH协议头的指定字段位置,并从SA(安全关联)内取出相应的AH头信息填入AH头,添加封装外部隧道的IP头。

三、系统模块的设计原则

为了使基于IPSec的VPN网络系统能够更好地应用于大型局域网,在设计构建VPN网络系统的时候,还需要考虑以下设计原则:

高效率管理:为了提高管理效率,同时降低管理成本,本方案采取中心式的管理方法,通过远端管理配置每一台网关,实现全局的策略配置。网关启动时会自动从中心管理处下载策略,当中心策略发生变动时,会及时通知各个网关进行策略的重新下载更新。除了中心管理外,方案还支持远程配置访问。系统的稳定性:中心网关一般处于24小时不停机的满负荷工作状态,非常忌讳死机现象的发生,对系统的稳定性要求特别高。因此系统的最大无故障工作时间以及平均无故障时间等参数就显得至关重要。硬件设备的可靠性:安全网关对硬件设备的可靠性要求很高,其硬件设备应该满足速度快、散热快、稳定、可靠等高性能要求。便捷的升级方式:系统升级能够很好地解决系统的漏洞,保证系统的稳定性,并增加一定的功能。系统随时都需要进行更新升级,因此最便捷的升级方式就是能够实现在线升级。实时监控:要保证每个网关能够进行信息的统计,包括是否处于安全连接状态、是否正常工作等信息,此外对每个隧道通过的数据也要进行统计。而管理中心能够实时地从各个网关提取统计信息。证书管理:全局应该设定一个CA中心,主要解决证书的产生、发放、签名、验证以及授权管理。

四、结语

利用IPSec组建的VPN已成为新一代网络安全服务的基础,基于IPSec的VPN网络安全的实现,不仅能对不同子网的数据通信进行身份验证,合理有效地进行访问控制,而且很好地隐藏了网络的结构,较好地克服了安全威胁。

参考文献

[1]刘景云.活用IPSEC规则,打造安全网络环境[J].电脑知识与技术:经验技巧,2015(9):116-118.

IPSec+VPN 第3篇

1 高校网络的现状分析

1.1 网络安全性问题

1)非法信息、病毒的存在:校园网规模的不断扩大,网络内的接入点不断增多,这为网络内非法信息的传播提供了条件,同时病毒的流行也有扩大的可能。如何保证校园内网络的信息合法和安全性,也要保证外部传输来的信息安全成为解决网络问题的当务之急。

2)黑客攻击:校园网在扩大的同时,不可避免会出现黑客攻击的问题,虽然设置防火墙等安全措施,但由于规模的扩大,设备的缺陷,或多或少会被黑客攻击,这些攻击又可能造成设备故障造成网络的安全性降低,因此高水平的黑客是校园要防范的问题之一。

1.2 高校网络的常规安全解决办法

1)设置防火墙:“防火墙”是计算机网络中用于防范外部攻击的常用手段,不论是软件或硬件都可以作为防火墙设施,在校园网络中设置防火墙是采用的必要手段之一。

2)建立适当的账号管理机制

账号安全的安全是最重要的,但也最容易出现问题尤其在高校网络中。因为学生人数太多,不可能分配很特殊的上网账号和密码。常规解决办法有禁用登录时间、禁止远程登录、审核登录账号的操作细节、设置更安全的密码等措施。

3)禁用一些端口和服务:服务器中开放的常用端口外,禁用一些不需要的端口,以防止非法的访问或试探,一些不用的服务停用,这样可以减少不安全的访问和攻击。

4)网络划分为子网:在网络管理中,可以通过VLAN将网络按功能划分成若干子网,区别教师网络和学生网络,细化办公管理网络,在一定程度上减少网络互访问性,增加网络安全。

以上的存在的问题和解决的办法,面对着日益庞大的校园网络有些捉襟见肘。网络的资源有些是公开的,有些是有权限的,而地域范围和计算机的数目在不断扩大。因此,对于范围扩大的网络VPN技术和IPSec技术是解决跨区域范围实现局域网络互访的良好解决方案,下面介绍一下两种技术的特点。

2 VPN、IPSec技术

2.1 VPN

VPN,意为虚拟专用网络,利用公网来构建专用网络,网络运行于共享的IP网之上,通过建立数据隧道来完成数据通信,“加密管道”来保证数据的安全传输。对于校园网好比在各个校园用一条专线连接起到专用、虚拟的网络通信效果。每个用户的通信也在VPN之上,通过VPN的方式可以增强网络的安全性、保密性、可管理性,保证校园网用户之间连接的可靠性。

IP隧道用于VPN中,生成的隧道是安全的,但隧道是在公用的网络之上,不是专用的,信道本身也有良好的管理性能。协议来完成数据传输的安全性,通过数据的加密、封包、协议再嵌套等操作完成。特殊的协议保证数据传输的安全性。

2.2 IPSec

1)IPSec协议:IPSec(Internet协议安全性)协议不是一个单独的协议,是一个协议的集合,确保在IP层数据的安全性。协议由下面几个部分组成:网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加密的一些算法等。协议规定使用怎样的安全算法、密钥,对上层提供访问控制数据源认证、数据加密等服务,以保证网络的安全。

2)封包协议:IPsec的包封装模型是整个协议的重要功能,负责信息接收和发送者的私网地址变换成Internet上的公网地址,把双方需要通信的数据信息转换为标准的数据。两个距离较远处于异地的局域网本来不能通讯的,通过出口处IPSec VPN设备,实现数据的封装、打包,就如同局域网对局域网的通讯。

3)加密协议:为了保证数据安全,IPSec协议通过加密技术来完成对数据的封装方法是把要发送的数据进行加密,在目的地再把数据解密,这种方式更好地保证数据的安全传输。Internet出口的IPSecVPN设备负责数据的加密和解密。

4)数据认证协议:通过加密后的数据在传输中也可能被伪造和篡改,数据包传输到目的地址,内容可能发生变化,而对于收信方无从知道知道数据包是经过修改的,这样可能接收的就不是安全的数据。为解决这个问题,IPSec使用算法计算包文特征,对经过VPN传输的数据进行认证,报文经过还原,需要检查这个处理过特征码,如果匹配,认为是安全的数据,若不匹配则数据就有可能被篡改就不是安全的。

5)身份认证协议:认证身份就是对用户进行鉴权。鉴权方式采用预设共享密钥方法,这种方法通过通讯双方在发送数据前约定加密解密的密码。

3 高校网络VPN、IPSec的实现

3.1 校园网拓扑图

学校有2个校区,通过VPN组网,网络出口采用光纤接入互联网,在校园网络出口处各安装一台VPN IPSec设备,系统首先向IPSec中心认证平台发送鉴权申请,经中心鉴定确认合法终端后,根据预先制定的策略向校区通信,这时就好像局域网一样进行数据通信,通信是经过加密的实现可管理性、安全性。

3.2 VPN服务器配置

服务器的配置要经过以下过程完成:

1)在Server2008中打开路由和远程访问功能;打开后窗口右边右击本机主机名称,选择配置并启用路由和远程访问,打开配置功能。

2)在配置中,打开虚拟专用网络“VPN服务器”,下一步后,打开远程客户协议,选择验证远程访问,VPN客户端添加数据协议,下一步后,打开连接到Internet或周边网络上的接口相对应的连接。

3)VPN服务器设置IP有两种方式:DHCP来获取远程访问VPN客户端的IP地址、使用一个或多个静态地址范围,为远程客户进行IP地址分配。设置为:191.168.0.100。

4)端口设置,在端口属性对话框中,选中VPN端口设备:这里选择WAN微型端口(PPTP)和WAN微型端口(L2TP),然后点击配置;在对话框中,选中远程访问连接,允许VPN连接。

3.3 VPN客户端配置

配置需要以下两个过程:

1)打开连接向导,点下一步接着在网络连接类型窗口里点选择,“连接到我的工作场所的网络”。在连接方式窗口里选择虚拟专用网络连接,然后为此连接命名。

2)打开VPN服务器选择窗口,需要输入VPN服务端的固定内容,这里有两种方式:固定IP、动态域名如图1所示。

4 结论

高校网络的跨区域决定了需要更加可靠安全的技术作为支撑,本文提出的基于VPN、IPSec解决方案为复杂跨地区局域网的实现提供可能。这种网络可以通过VPN方式传输局域网数据,网络的安全可以通过认证、加密等技术来保证。实践表明这种采用VPN IPSec的网络构建方案可以降低网络建设的费用,提高网络的安全性,方便校园内部网IP地址的划分,实现广泛的资源共享和移动办公。

参考文献

[1]Gholson S.Trilobite Systems.State MachineDesignTechniquesFor Verilog and VHDL.Synopsys JournalofHigh-level Design.Sept.1994.

[2]Wilson C,Peter Dock.虚拟专用网的创建与实现[M].钟鸣,魏允韬,译.北京:机械工业出版社,2000.

[3]封浩宇.IP-VPN在电信运营网络中的实现[J].电信科技,2002(4):13-15.

IPSec+VPN 第4篇

1 需求分析

我校由于合并办学等原因,拥有两个校区:主校区和分校区,两个校区距离较远。由于历史原因,两个校区已经分别建设自己的内部网络,并实现Internet接入,但是校区之间没有建立网络互联。按照上级信息化建设的要求,学校规划了无纸化综合应用系统,包括:学校主页平台、学分制系统、后勤管理系统、网上教学平台、学习资源平台、视频点播系统等。根据目前网络互联现状,主校区的师生们可以利用内部IP地址及域名轻松访问这些校内网上应用平台。分校区由于没有与主校区之间的网络互联,无法像主校区的师生们一样访问校内应用平台。

两个校区师生们存在着进行无纸化网络办公、内部资源共享、安全访问等需求。通常解决此需求的一种做法是,在主要校区搭建起各种内部服务器,以提供网络服务,并向Internet发布这些服务,分校区则通过跨越Internet来实现对主校区的网络应用平台的访问。在该设计方案中,分校区用户与因特网上的其他用户在对主校区网络服务的访问权限是相同的。然而,学校内部网络向因特网开放网络服务所花费的成本很高,并且会对内部网络造成一定的安全威胁。基于降低网络运行成本和消除网络安全隐患的角度考虑,学校希望只有内部师生可以使用相关网络服务,而不是来自Internet的所有用户。另一种常规做法是使用专线技术搭建两个校区之间的物理链接。这可以实现两个校区之间的网络互连,满足师生进行通信和资源共享的需要。但是,搭建物理专用线路成本过高,学校难以承担。针对此种情况,可以使用基于IPSEC的VPN技术在现有公共网络上搭建多校区之间的虚拟私有网络。只有本校师生可以利用VPN虚拟链路跨越Internet安全而又高效地访问校内应用平台及网络资源、进行网络无纸化办公。IPSEC VPN虚拟链路可以将那些不相关的因特网用户安全隔离出去,同时可对两校区之间的通信数据进行加密和和检查,实现安全通信的目的。

2 技术描述

2.1 VPN技术简介

VPN(Virtual Private Network,虚拟私有网络)利用公共网络(如Internet)来搭建组织或企业的私有专用网络。VPN技术在现有的网络硬件基础上,创建一条连接位于不同地理位置的两个区域的逻辑链路,如同在不同区域的两个LAN(本地局域网)之间搭建了一条专用隧道。处于Internet上的VPN对于不相关的网络用户如透明般不可见,而对于内部用户而言就如同组织或企业内部的私有网络一样,具有安全、高效和可管理性。这为组织或企业节约了搭建一条专用物理线路的费用。

2.2 IPSEC技术简介

实现VPN的技术有多种,如PPTP(Point to Point Tunneling Protocol,点到点隧道协议)、L2TP(Layer 2 Tunneling Protocol,二层隧道协议)、GRE(Generic Routing Encapsulation,通用路由封装协议)、IPSEC(Internet Protocol Security,IP安全协议)。校区之间的网络访问通常只有IP单播数据流,且有较高的安全需求,据此,选择IPSEC技术来实现VPN连接。

IPSEC是一种由IETF(Internet Engineering Task Force,因特网工程任务组)设计的端到端的确保基于IP网络通讯的数据安全性的机制,包含一系列通信安全协议,它定义一种开放标准的框架结构,制定了隧道模式的数据包格式,实现了在公共网络上的安全传输,是一套比较完整的三层VPN隧道技术实现方案。IPSEC本身是一组协议方法的总称,创建VPN连接的双方在IP层通过对数据的验证与加密技术,保证了数据包在Internet网上传输时的私用性、完整性和真实性。IPSEC技术是确保VPN安全的主要方式。

3 功能实现

3.1 学校网络连接现状描述

学校网络服务器位于主校区的网络中心。主校区网络使用保留IP地址段10.153.0.0/16;其中内部服务器群使用10.153.10.0/24网段,校内各办公室信息点和计算机机房使用其它网段。主校区向ISP申请了专用公网IP地址,用于Internet接入,假设为:202.96.168.90。其IP地址规划如表1。

分校区主要信息点为教职工办公用计算机、各计算机机房用PC等。分校区规模较小,信息点总数约为150个,使用保留IP地址段192.168.10.0/24。分校区向ISP申请了公网专用IP地址,假设其为:202.96.188.80,用于Internet访问接入。

主校区与分校区网络大致结构如图1。

3.2 VPN通信方案设计

虚拟私有网络(VPN)利用现有的公共网络(例如因特网),通过资源配置,而生成一个虚拟的、临时的、安全的网络连接。VPN通常由两种传输模式:访问模式和隧道模式。访问模式多用于终端到终端以及终端到站点之间的访问;隧道模式则多见于站点与站点之间的连接,大多使用加密技术、身份验证技术等安全策略,以实现站点到站点的安全传输。VPN隧道模式通信模型如图2所示。

在公共网络中,构建主校区与分校区之间的VPN隧道。在此虚拟链路中,需要解决以下几个问题:

怎样描述需要受保护的数据流?

如何确定数据发送者的身份?

当跨越公共网络进行传输时,怎样判断数据是否经过修改、损坏?

如何保证数据的隐私性?

基于IPSEC的VPN隧道可提供几种主要安全功能,来解决上述问题。

通过定义ACL,来定义受保护的数据流。

对数据来源进行验证,可以确定数据发送者的身份,保证数据来自于正确的地点。

对数据完整性进行检验,可以检查数据传输过程中是否被修改。

对数据进行加密、可以有效防止非授权人员的窃听、窥测。

IPSEC隧道模式对原始IP数据包进行封装和加密,然后对经过加密的内容进行再次封装到明文IP数据包内,通过公共网络发送到VPN隧道对端,收到该数据包的设备对数据报进行处理,取出明文IP包头,对负载内容进行解密之后,得到原始IP数据包。经过路由设备正常处理后,原始数据包将被发送给目标主机。

IPSEC的加密与验证工作是通过两个安全协议来完成的,AH(Authentication Header,验证包头)和ESP(Encapsulating Security Payload,封装安全负载)。当通信双方不需要对数据本身进行加密时,使用AH协议方法来提供对IP数据包的完整性和身份认证,以保证数据在发送过程中没有被修改和来自于正确的地址。当通信双方需要对数据进行加密时,必须使用ESP协议方法。ESP不仅提供对数据的完整性检验机制和身份验证方法,还提供了对数据进行加密的机制,以保证数据的隐私性。

IPSEC对数据的保护最终需要通过SA(Security Association,安全联盟)来实现。安全联盟是IPSEC的基础,也是IPSEC的根本。它本质上是VPN通信对等体之间的策略约定,例如使用的协议类型、加密算法、共享的口令以及密钥的生命周期等。

需要为IPSEC隧道定义要保护的敏感数据流。定义受保护的数据流可以由配置ACL(Access Control List访问控制列表)来实现。在ACL中通过对源地址、目的地址、协议、端口、时间等参数的设定来描述受保护数据流的特征。ACL配置完毕后,要与IPSEC的加密映射集建立关联。当VPN设备收到这些敏感数据包时,IPSEC通常自动触发IKE协商产生IPSEC的安全联盟。安全联盟将外出数据包进行加密或填写验证信息并发送给VPN对端设备,收到相应数据包的对端设备则查找对应的安全联盟,并对此数据包进行解密、验证后还原,最终发送给目标主机。

3.3 实现步骤

在两校区之间建立站点到站点的IPSEC VPN,以实现两校区之间的安全传输,如图3所示。

1)基本信息配置

在两校区用于接入Internet的路由器上进行基本信息配置,如IP地址、路由设置等。主校区路由器配置如下:

分校区路由器配置如下:

基本参数配置完毕后应保证两路由器能够通过Internet通信。可在路由器上使用ping命令测试其连通性。

2)IPSEC VPN之IKE配置

在路由器上启动IKE,配置IKE相关协商参数和策略。主校区和分校区可采用相同配置。以主校区路由器为例,具体配置内容如下:

3)设置共享密钥和对端地址,两校区预共享密钥必须相同,其IP地址为对端VPN设备公网地址。

4)设置访问控制列表,定义受保护的数据流。当路由器收到满足条件的数据包时,会触发IPSEC机制,建立VPN链路。在VPN的两端,数据流的定义必须是对称的,要互为镜像。

5)配置IPSEC的变换集及传输模式。变换集规定了IPSEC的散列算法和加密算法,VPN链路两端要保持一致。

6)配置加密映射和安全关联内容。将之前定义的访问控制列表、变换集与加密映射建立关联。

7)应用到接口

3.4 结果检验

在分校区的PC上访问主校区服务器资源,如能够成功,即可证实IPSEC VPN隧道创建成功,分校区与主校区可实现安全通信。

4 结束语

同属一家学校位于不同地理位置的两个校区,存在着建设一体化网络、进行通信和资源同享的需要。传统意义上的使用专线连接两个校区以构建一体化网络的做法花费成本太高。使用IPSEC VPN方式利用现有公共网络搭建一条虚拟的专用线路,不仅可实现两校区之间网络的安全有效的数据传输,而且还大大节约了成本。

参考文献

[1]Ivan Pepelnjak,Jim Guichard.MPLS和VPN体系结构[M].北京:人民邮电出版社,2012.

[2]Vijay Bollapragada,Mohamed Khalid.XML,Scott Wainner IPSec VPN设计[M].北京:人民邮电出版社,2012.

[3]Jeff Doyle,Jennifer Dehaven Carroll.TCP/IP路由技术:2卷[M].北京:人民邮电出版社,2009.

[4]贾铁军.网络安全技术及应用[M].北京:机械工业出版社,2009.

IPSec+VPN 第5篇

随着Internet技术的迅速发展, 计算机技术的应用已经渗入人们生活工作的各个环节, 人们在享受计算机网络带来的便利的同时也饱受私有数据在网络传输过程中存在的安全威胁和传输的快速性、高效性所带来的煎熬。目前主要采用VPN技术来解决此类问题。VPN (Virtual Private Network) , 即虚拟专用网络, 它是在网络通信中较重要的一种互联方式。一方面, 可以利用VPN技术来构建私人专用网络, 可以说它是在公共网络架构的一种技术拓展;另一方面, VPN利用隧道技术、加解密、认证技术、密钥管理技术以及访问控制技术来保证重要信息传输的安全性。其主要优点就是高效、稳定、快速、安全、低廉, 使其在internet与intranet中均发挥出相当重要的作用, 并显示出广泛应用前景[1]。

本文讨论了采用MPLS VPN和IPSec VPN混合组网模式构建多点无纸化阅卷私有数据系统。该模式综合了MPLS VPN是第三层的智能VPN, 具有很强的可扩展性。标签交换转发技术可以使基于MPLS的VPN达到第二层VPN具有的专用性、安全性和数据传输的高速度的优点, 同时结合了IPSec VPN一般不向外界开放, 认证与连接双方设备、设备的网络参数和策略设置、设备的IP地址等有直接关系, 对远程连接相当安全的优点。从而增强了私有数据在网络中传输的安全性、快速性和安全性, 提高了MPLS VPN和IPSec VPN组网模式业务在不同场景下对网络QoS (抖动、时延、丢包率) 的要求[2]。

1、主要技术

1.1MPLS VPN

MPLS (Multiprotocol Label Switching) 是多协议标签交换的简称。

MPLS VPN是结合了ATM和IP技术优点的MPLS技术的一个重要应用, 主要分为二层和三层MPLS VPN。其中二层MPLS VPN相当于在互联网上仿真出来的类似于ATM/FR的二层专线VPN, 而三层MPLS VPN则是将企业路由表的处理功能基本都交给了运营商的网络边缘路由器。

MPLS VPN网络一般采用图1所示的网络结构, VPN由若干不同的Site组成的集合, 一个Site可以属于不同的VPN, 属于同一VPN的Site具有IP连通性, 不同VPN之间可以有控制地实现互访与隔离。设备主要由CE、PE和P三部分组成, 功能如下:

CE (用户网络边缘路由器) 设备直接与服务提供商网络相连, 它“感知”不到VPN的存在, 也就意味用户感知不到VPN数据;

PE (骨干网边缘路由器) 设备与用户的CE直接相连, 负责VPN业务接入, 处理VPN路由, 是MPLS三层VPN的主要实现者;

P (骨干网核心路由器) 负责快速转发数据, 不与CE直接相连[3]。

在整个MPLS-VPN中, P、PE设备需要支持MPLS的基本功能, CE设备不必支持MPLS。

MPLS VPN组网优势:在组网应用中, MPLS VPN具有网络部署灵活简便、一次性投资较小、管理和维护成本低的优势。MPLS-VPN组网能以较低的价格充分利用路由器的快速转发能力和巨大的传输带宽, 满足用户较高带宽的应用要求, 如视频、话音与数据的一体化传输。因此MPLS VPN特别适合那些对安全和QoS没有特殊要求的在中高速率 (2M以上) 专网组建。

1.2 IPSec VPN

IPSec (IP Security) 是由IETF IPSec工作组制订的一系列RFC标准协议所组成的体系。IPSec是在网络层实现数据加密和验证, 提供端到端的网络安全方案, 可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务[4]。由于加密后的数据包仍然是一般的IP数据包, 作为网络层的安全标准, IPSec为IP协议提供了一整套的安全机制。IPSec在网络层提供的安全服务对任何IP上层协议及应用进程透明, 多种协议和各种应用程序都可以共享IP层安全服务和密钥管理, 而不必设计和实现自己的安全机制, 从而减少密钥协商的开销, 也降低了产生安全漏洞的可能性。IPSec是Internet上提供安全保障最通用的方法[5]。

IPSec的工作原理类似于包过滤防火墙。当接收到一个IP数据包时, IPSec通过查询SPD (安全策略数据库) 决定对接收到的IP数据包的处理。IPSec提供了3种结构:1) 主机到主机 (Host to Host) 客户机到服务器之间的整个连接都是加密的;2) 主机到网关 (Host to Gateway) 整个连接除了网关和远端服务器之间的那段外都是加密的;3) 网关到网关 (Gateway to Gateway) 两个网关之间的连接是加密的, 但从客户到客户的网关之间的连接, 服务器与服务器的网关的连接是未加密的.无论是加密还是认证, IPSec都有两种工作模式, 一种是传输模式, 另外一种是隧道模式.传输模式:只对IP数据包的有效载荷进行加密或认证.继续使用以前的IP头, 只对IP头的部分进行修改, 而IPSec协议头插入到IP头和传输层头之间.隧道模式:对整个IP数据包进行加密或认证.IPSec头被放在新产生的IP头和IP数据包之间, 从而组成一个新的IP头[6]。

2、单一VPN组网中传输无纸化阅卷私有数据存在的问题

单一的MPLS VPN组网中, 虽然解决了数据在传输过程中的安全性、高效性、快速性和QoS, 但是它必须依赖路由协议来准确的传递信息, 完成与标签分发相关的工作.它并不提供加密、认证等安全服务, 传输的数据是明文的, 仍将带来安全漏洞, 并且它所提供的结构和工作的模式没有IPSec VPN丰富。本文所设计的混合组网模式主要就是用到IPSec VPN所提供的主机到主机之间的整个连接都是加密的结构, 同时使用的工作模式是IPSec VPN的传输模式, 用来解决无纸化阅卷中私有数据在End-to-End上的传输。

单一的IPSec VPN组网中, 虽然解决了数据在传输过程中的对IP数据包的有效载荷, 进行加密或认证, 提供了整个连接过程中的安全性, 但是它没有很好的解决无纸化阅卷中有很大的私有数据在网络中传输的快速性、高效性和QoS (抖动、延时、丢包率) , 而这些刚好通过MPLS VPN来弥补[4]。

综合以上两种VPN技术的优缺点, 提出了采用MPLS VPN和IPSec VPN混合组网的模型来解决无纸化阅卷时多点传输私有数据的QoS (抖动、延时、丢包率) 、安全性、高效性、快速性等。

3、MPLS VPN和IPSec VPN混合组网模型

3.1 MPLS-IPSec VPN混合组网的网络拓扑图

无纸化阅卷多点私有数据传输混合组网拓扑图如图2所示[7][8], 其中P (骨干网核心路由器) 为核心节点, 在核心节点的组网方式是利用专线接入, 从中国电信核心机房新增FE专线至贵州师范大学网络中心中心机房, 完成全网流量汇集和通信。根据以贵州师范大学网络中心为中心的多点无纸化阅卷私有数据传输VPN组网需求, 建议采用下面的网络架构方式:

(1) 将黔南州、黔东南州、凯里市、毕节市、遵义市各市 (州) 的边缘路由器 (CE) 节点封装在MPLS VPN网中, 借助中国电信MPLS VPN网进行数据传输。

(2) 以贵阳 (贵州师范大学为中心) , 通过光纤专线VPN接入到离贵州师范大学较近的中国电信的中心机房, 向图2中五个分支阅卷点传输实时私有数据。

(3) 贵州师范大学数据中心以及其他五个分支阅卷点通过中国电信专用IPSec网关统一进入中国电信IPSec集中认证平台通过认证后, 接入骨干MPLS VPN网络。

各个分支无纸化阅卷点接收贵州师范大学数据中心通过MPLS-IPSec VPN混合组网实时发送过来的私有数据后, 进行阅卷的拓扑图如图3所示:

3.2 MPLS-IPSec VPN混合组网方式说明

(1) 由于无纸化多点阅卷跨越多个城市要通过Internet来传输学生试卷的私有数据, 为确保指定的分支阅卷点安全接入核心的MPLS VPN网络必须采用混合组网模式, 利用IPSec VPN网关来组建专门的私有数据传输所用的VPN隧道, 实现以贵州师范大学为中心与其他几个分支阅卷点系统互联的需求。所以本方案在中心节点选择新建中心IPSec VPN汇聚网关管理平台一套, 用于全局所有的IPSec VPN远程终端设备的汇聚。该平台是专门为本次混合组网提供统一的部署和管理的高可靠性管理服务系统。支持远程所有IPSec VPN方式接入的节点设备异常、隧道异常报警等, 提供可视化的信息形式汇报节点设备在线及联网情况, 可查询节点设备当前IP、配置信息、登陆时间、离线时间、防火墙配置等实时信息, 提供VPN网络统一安全访问控制策略管理服务。

(2) 各分支阅卷点的远程IPSec VPN接入设备, 都是与中国电信的中心汇聚管理平台建立加密的VPN隧道连接, 所有的数据都能防止不法人员的窃取和篡改。所有远程接入终端上的防火墙规则可以单独配置, 也可以通过电信公司统一下发。

MPLS-IPSec VPN混合组网中使用的IPSec VPN产品可由指定的公司根据电信网络的状况, 并结合私有数据在该混合网络中传输时的安全性、快速性和高效性的要求来定做。

3.3 MPLS-IPSec VPN混合组网达到的目标

该种混合组网的优点除了能保证在贵州省内实现多个无纸化阅卷点能安全地接入VPN系统外, 还有以下优点:

(1) 可扩展性好。该系统可以在保证当前的物理网络不变的情况下, 通过VPN技术实现增加全省内各个自治区、市、县的接入, 实现与现有网络的无缝连接。

(2) 安全性高。该系统采用MPLS-IPSec VPN混合组网的方式来建立, 结合了IPSec VPN确保在端与端之间建立的连接路径的安全性优点和MPLS VPN确保了数据在传输过程中QoS (抖动、延时、丢包率) 的提高。

(3) 适用范围广。该模型还适用于在贵州较为落后的地区。比如:中国电信没有覆盖的地区, 这些地区可以通过利用IPSec VPN实现单点接入该系统, 从而确保指定无纸化阅卷地区的全网覆盖, 实现全网统一管理。

4、结束语

本模型是针对为了解决贵州师范大学贵州省信息与计算科学重点实验室中无纸化阅卷项目过程中多点私有数据传输过程中数据的QoS、安全性、快速性、高效性而提出的。结合了IPSec VPN能提供端到端之间数据加密和认证的优点, MPLS VPN能提高多点之间数据传输过程中的QoS、安全性、快速性、高效性等优点。从而将两种VPN技术结合在一起形成一种MPLS-IPSec VPN混合组网模型来很好地保证了无纸化阅卷过程中多点之间私有数据传输过程中的安全性、高效性、快速性, 同时可以更好地保证数据传输过程中的QoS (抖动、延时、丢包率) , QoS的提高可以参考[3]参考文献中研究的成果。该模型的提出同时也为今后的VPN技术的扩展提供了一种新的方向, 可以结合当前流行三种VPN技术的优点来混合组网从而更好的解决部分用户的特殊需求。

参考文献

[1]易光华, 傅光轩, 周锦顺.MPLS VPN、IPSec VPN和SSL VPN技术的研究与比较[J].贵州科学, 2007, 25 (2) :35-38.

[2]倪波, 黄柯佳.采用MPLS VPN和IPSec VPN混合组网模式构建某集团财务系统[J].通信与信息技术.2011, 5:52-55.

[3]荷璐茜.MPLS VPN技术研究与应用[J].现代电子技术, 2011, 34 (15) :127-130.

[4]玄文启.VPN的技术原理及其安全性分析[J].中国科技信息, 2011, 23:92.

[5]郑博.基于IPSec的VPN技术及应用[J].数字技术与应用, 2011, 9:52-54.

[6]张文华.IPSec VPN的应用与组网方案[J].信息通信, 2011, 4:129-130.

[7][EB/OL]——http://wenku.baidu.com/view/b7ac5273f242336c1eb95e81.html.

IPSec+VPN 第6篇

IPSec(Internet协议安全性)是由IETF(Internet工程任务组)开发的一套Internet安全协议标准集,它是一种开放标准的框架结构,在使用IP协议通信的基础上,引入安全服务机制,在网际层实现,功能包括数据加密、地址校验、访问控制,数据完整性检查、防止重放攻击等,从而实现在IP网络上安全可靠的安全的数据通信[1]。

2 IPSec协议(IPSec protocol)

IPSec是一套用来通过公共网络进行安全通信的协议格式,是一种开放的协议集,工作在OSI/RM的第三层,可被IP及上层协议(如TCP、UDP等)使用。IPSec使用AH(认证头协议)和ESP(封装安全载荷协议)来实现各种不同的功能[2,3]。

AH认证头协议用来证实数据分组的来源,同时用于保障数据的完整性、可靠性和真实性,并防范同一数据包重复发送。AH协议不对用户数据进行加密,通常采用安全哈希算法来对数据包进行保护,在传输过程中要发生变化的信息数据通常不在AH协议保护范围之内[4]。

ESP用于对数据分组进行加密操作,提供IP通信的安全服务,实现机密性和完整性要求,ESP采用对称加密方式,可以达到一定的安全要求,但不适合长期保密的数据。也可以根据安全需求不同,只对TCP或其他数据包进行加密,这些经过加密后的数据包重新封装后,通过滑动窗口机制进行传输,解决数据传输中的接收、重传等问题[5,6]。

使用IPSec协议时,有两种模式可供选择,传输模式和隧道模式。根据实际应用环境选择合适的模式。IPSec的安全服务可以使用手工输入密钥的方式,但是这种方式操作性和扩展性极差。因而在实际应用中,使用IKE(Internet密钥交换协议)来动态生成共享密钥,认证双方,实现安全有效的通信。

SA(Security Association)包含了一些算法集合和一些参数,是由通信双方建立的对数据流保护的约定,对于双向传输的数据通信需要一对SA来完成。SA约定了传输数据分组的协议、目标IP地址、安全协议标识符、密钥、密钥有效期等。IKE的功能之一就是建立和维护SA,主要是维护两个组件SADB(SA数据库)和SPDB(安全策略数据库),IPSec安全机制中的AH和ESP都需要使用SA,如图1所示。

3 VPN

VPN(Virtual Private Network,虚拟专用网络)在公用网络上建立一个虚拟的、安全的专用网络,进行加密通信。这种安全通信技术方式就是在公用网络上,采用隧道技术和加密技术建立起安全信道,实现虚拟专用。因其有着以下显著优点,有着广泛的应用。

(1)低成本。利用当前已有的公共网络,不需要支付高昂费用架设或租用专线网络,大大降低使用成本。

(2)安全性高。使用加密方式进行数据传输,并对实体进行身份识别,禁止非授权用户访问。

(3)Qo S(Quality of Service,服务质量)保证。用户不用增加额外的硬件配置就可以使用较高品质的流量传输和带宽应用。

(4)扩展性好。支持Internet上各种类型数据传输,可通过硬件、软件等多种方式实现,并且易于管理维护。

IPSec VPN采用IPSec协议来实现远程接入VPN,是很广泛的一种应用。

4 IPSec VPN在防火墙的应用(Application of VPNin the firewall)

4.1 网络环境

网络拓扑结构图如图2所示。

4.2 实现方法

以DCFW-1800防火墙为例,先配置防火墙A,在VPN选项中的IKE VPN的P1提议对话框中,分别设置提议名称、验证算法、加密算法等信息,如图3所示。在配置防火墙B时,验证算法、加密算法等信息要一致,才能互相通信。

在IKE VPN中设置对端信息,如图4所示。

设置P2提议,如图5所示。

在接口中,新建一个隧道接口,隧道绑定管理选择IPSec,如图6所示。

再将防火墙的策略和路由按照网络拓扑图配置好后,完成防火墙A的配置,防火墙B的配置步骤与防火墙A的配置相同。

5 结论(Conclusion)

基于IPSec的VPN不仅仅可以在防火墙上实现,也可以在其他网络设备等硬件上实现,还可以在操作系统等软件上实现,因其具有显著优点,在实际环境中得到广泛的应用。不同公司的VPN产品因设计不同,标准各异,往往会不兼容,所以尽量使用同型号设备。

摘要：文章重点研究了IPSec协议标准,阐述了IPSec协议集中的AH协议和ESP协议,指出了IPSec协议常用的传输模式和隧道模式两种方式,给出了IPSec安全机制。文章还介绍了VPN,分析VPN的优点。最后以一个实际网络环境为例,介绍在防火墙中配制基于IPSec的VPN的常见步骤。

IPSec+VPN 第7篇

目前VPN主要采用四项技术来保证通信安全[1]:隧道技术、加解密技术、密钥交换与管理技术、身份认证技术。隧道技术是VPN的核心技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),使数据包通过这条隧道安全传输。隧道由隧道协议形成,隧道协议规定了隧道的建立,维护和删除规则以及怎样将用户数据封装在隧道中进行传输。到现在为止,比较成熟的隧道协议有:1)链路层隧道协议,主要有点对点隧道协议PPTP、第二层转发协议L2F以及第二层隧道协议L2TP;2)网络层隧道协议,主要有通用路由封装协议GRE和IP安全协议IPSec。

L2TP是对端到端协议(PPP)的一种扩展,它结合了L2F和PPTP的优点,成为IETF有关二层隧道协议的工业标准。像PPTP一样,L2TP支持多种传输协议,它将用户的数据封装在PPP帧中,然后通过IP骨干网进行传输。与PPTP不同的是,L2TP对隧道维护和用户数据都使用UDP作为封装方法。尽管许多人相信L2TP是安全的协议,但是它除了提供方便的用户和连接的认证外,自身对传输的用户数据并不执行任何加密,因此,它不能提供安全的隧道;IPSec则不然,它工作在OSI参考模型的网络层(第三层)。其最大的优点是提供了非常强大的安全功能,包括数据的机密性、数据完整性和验证、抗回放检测等服务。

L2TP是一种访问型VPN解决方案,它不能提供安全的隧道,并不能满足用户对数据传输安全性的需求。如果需要安全的VPN,则需要IPSec和L2TP结合使用。本文对L2TP和IPSec分别进行讨论,分析其优缺点,并给出利用L2TP与IPSec结合实现访问型VPN的解决方案。

1 L2TP和IPSEC协议分析

1.1 第二层隧道协议L2TP

L2TP协议是将PPP分组进行隧道封装并在不同的传输媒体上传输,所以L2TP可看作虚拟PPP连续,并且它利用PPP NCP来协商IP的分配。使用L2TP,有两种隧道模式:自愿隧道模式和强制隧道模式。在自愿隧道中,远程访问用户运行L2TP,并且建立到服务器的VPN连接;在强制隧道中,另外一台设备代表用户,负责建立隧道。如图1所示,L2TP主要由访问集中器LAC(L2TP Access Concentrator)和网络服务器LNS(L2TP Network Server)构成。LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道。LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。L2TP解决了多个PPP链路的捆绑问题,使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。

作为PPP的扩展,L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。L2TP定义了控制包的加密传输,每个被建立的隧道生成一个独一无二的随机钥匙,以便抵抗欺骗性的攻击,但是它对传输中的用户数据并不加密。因此,L2TP并不能满足用户对安全性的需求,L2TP封装存在以下安全隐患[2]:

1)L2TP分组在网上传输时,攻击者可以通过窃取数据分组而知晓用户身份;

2)攻击者可以修改L2TP控制数据和L2TP数据分组;

3)攻击者可以劫持L2TP隧道或隧道中的PPP连接;

4)攻击者可以通过终止PPP连接或L2TP隧道,而进行拒绝服务攻击;

5)攻击者可以修改PPP ECP或CCP协议,以削弱或去除对PPP连接的机密性保护;也可通过破坏PPP LCP鉴别协议而削弱PPP鉴别过程的强度或获取用户口令。

1.2 IP安全协议IPSec

IPSec是IETF IPSec工作组制订的一组基于密码学的开放网络安全协议,用以保证IP网络上数据通信的安全性。IPSec利用密码技术从三个方面来保证数据的安全:通过认证,对主机和端点进行身份鉴别;利用完整性检查来保证数据在传输过程中没有被修改;加密IP地址和数据以保证数据私有性。

IPSec的安全结构由三个主要的协议组成:封装安全负载(Encapsulating Security Payload,ESP)定义了为通信提供机密性、完整性保护和抗重播服务的具体实现方法。认证头(Authentication Header,AH)定义了为通信提供完整性和抗重放服务的具体实现方法。ESP和AH协议都有一个确定特定的算法和可选功能的支持文献集。

Internet安全协会和密钥管理协议(ISAKMP)是IPSec的另一个主要组件。ISADMP提供了用于应用层服务的通用格式,它支持IPSec协议和密钥管理需求。IETF设计了Oakley密钥确定协议(Key Determination Protocol)来实施ISAKMP功能。这个协议在通信系统之间建立一个安全联系,它是一个产生和交换IPSec密钥材料并且协调IPSec参数的框架。

IPSec提供了网络层IP的安全机制,能够对IP数据流完整性、机密性、防重放等进行保护,也能提供灵活的连接级、数据分组级的源鉴别。目前,通常利用IPSec在INTERNET网上构建LAN间的VPN,但不被用于独立构建远程访问型VPN,主要原因如下:

1)IPSec虽然提供了很强的主机级的身份鉴别,但它只能支持有限的用户级身份鉴别。而在远程访问型VPN中远程终端用户要进入企业内部网必须进行严格的身份鉴别。目前IPSec协议还不能方便、有效地实现这项功能。

2)在IPSec安全协议中,总是假设封装的分组是IP分组,目前尚不能支持多协议封装。

3)目前的IPSec只支持以固定的IP地址查找对应的预享密钥、证书等鉴别信息,尚不支持动态分配的IP地址。而出差在外的公司员工通常使用电话拨号方式接入INTERNET网,此时用户使用的是动态分配的IP地址,因此无法通过身份鉴别,接入内部网。

通过以上对L2TP和IPSec协议各自优缺点的分析,可以考虑构建一种更加安全、经济的远程访问VPN的解决方案:将L2TP协议和IPSec协议综合起来使用,利用IPSec弥补L2TP的安全方面的不足,同时又利用L2TP弥补IPSec在用户级鉴别、授权等方面的不足。

2 基于L2TP/IPSec构建访问型VPN

2.1 L2TP/IPSec方案的原理分析

通过分析可知:L2TP其实就是IP封装协议的另一个变种,L2TP通道的IP封装结构为(IP报头(UDP报头(L2TP报头(PPP报头(PPP负载)))))。创建一个L2TP通道就是将L2TP帧封装在UDP报头中,再将该UDP保文封装在以通道端点作为源地址和目的地址的IP报文中。因为外部封装使用的是IP协议,所以IPSec可以用于保护上述合成的IP数据报文,也就是保护L2TP通道中流动的数据。

假设所有的隧道和链路都已经建立成功,远程用户使用该VPN进行通信的过程如下[3]:

1)首先远程用户端产生一个终止于LNS的、封装了一个内部IP包的PPP包,内部IP包的源地址是LNS分配给用户的VPN内网地址,目的地址是VPN内网服务器,这个PPP包通过用户和LAC间的PPP物理链路传送到LAC。

2)LAC根据PPP包中的用户名找到对应的L2TP隧道和IPSec隧道并对其进行L2TP封装和IPSec处理,生成L2TP/IPSec包。

3)LAC从自己的动态IP池里分配一个随机IP地址,为L2TP/IPSec包封装外部IP头并传送给LNS。

4)LNS收到这个包后,首先进行IPSec的解密和认证处理,然后依次去除L2TP头和PPP头,最后根据内部IP头的目的地址发往VPN内网服务器。

在L2TP/IPSec方案实现时,L2TP运行在IP之上,而IP层已经部署了IPSec软件,所以在LAC和LNS之间所有的数据包在传递给L2TP软件处理前都要进行IPSec的相应处理。假设IPSec软件提供了ESP和AH两种安全协议,那么IPSec便可以首先使用ESP完成对L2TP包加密的工作,对整个高层报文进行保护,然后利用AH对加密数据和外部头进行认证,生成的L2TP/IPSec包格式如图2所示。其中IP2是内部的IP头部,包含有数据的真正的源和目的地址选项(一般考虑为私有地址)。IP1利用公网的传输特性(如公共网的传输地址、带宽等)传送内部数据。

本实现方案中,由L2TP提供隧道服务,而IPSec提供安全服务,这样可以提供一个更安全的VPN实现方案。通过将L2TP的基于点到点协议(PPP)的特点和IPSec的安全特点结合在一起,不仅利用了L2TP的封装机制,而且对数据分组提供了安全性保护,可以防止非法用户对VPN的攻击,能够满足远程用户接入VPN的要求。

2.2 L2TP/IPSec方案的应用模式

2.2.1 基于L2TP和IPSec的自愿隧道模式

这种模式下,L2TP和IPSec均安装于远程用户主机上。此时用户主机充当了LAC,用户自主对L2TP进行配置和管理。如图3所示,LAC将L2TP分组发送到ISP,再经过Internet到LNS,通过一个访问连接将L2TP依次封装在PPP和IP包中,这样LAC可以取得它与LNS端的SA属性。如果LAC取得SA,它能获得LAC和LNS的安全服务[4]。由于LAC和LNS之间有安全服务,则可以利用IPSec而取消PPP的加密和压缩。

2.2.2 基于IPSec和L2TP的强制隧道的模式

此种模式将IPSec安装于远程访问主机,而L2TP集成于LAC。PPP Client发送PPP帧给LAC,在LNS端收到的数据包是封装了PPP的L2TP包,如图4所示。在这种模式下,Client和LNS拥有安全服务的不同的信息,PPP加密和压缩是否执行,要依靠Client的策略。由于Client没有任何LAC和LNS之间的服务,而Clien不信任LAC以及它和LAC之间的线路,Client一般要求它到LNS的端到端的IPSec加密或者PPP的加密/压缩[5]。

3 结束语

以L2TP协议与IPSec协议的结合使用来实现访问型V PN时,L2TP利用IPSec强大的安全功能,以弥补自身安全方面的不足,提供了具有多种协议封装和完备的安全功能的V PN,提高了应用方案的安全性、完善了方案的鉴别和授权机制,具有一定的使用价值,但同时也产生了因重复封装引起的额外开销。随着对访问型V PN研究的不断深入,协议进一步完善,存在的问题会逐步得到解决。

摘要：隧道技术是构建虚拟专用网(VPN)的关键技术。该文介绍了两种主要的的隧道协议L2TP和IPSec,分析了基于L2TP构建访问型VPN的安全隐患和制约IPSec构建IP VPN的原因,提出了基于L2TP和IPSec结合使用的访问型VPN的解决方案。

关键词：访问型VPN,L2TP,IPSec,PPP,隧道

参考文献

[1]高德昊.VPN技术在组网中的研究与应用[D].中国优秀硕士学位论文全文数据库,2007,(5).

[2]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.

[3]季超,楚艳萍.基于L2TP/IPSEC的安全隧道技术方案[J].河南大学学报(自然科学版),2004,(34)1:94-96.

[4]Patel,et al.RFC 3193.Securing L2TP using IPsec.November 2001.