IPSecVPN技术

IPSecVPN技术（精选7篇）

IPSecVPN技术 第1篇

随着因特网的飞速发展,企业的信息化程度越来越完善,企业员工对企业的信息化平台的联系越来越紧密,以至于部分员工外出或在家都要时常用到企业信息,同时各企业之间的交流也越来越多,在企业内部、企业间及相关人员之间安全可靠地传输数据成了亟待解决的问题。传统的方法是通过租用专线来组建企业内联网和企业外联网,昂贵的租用专线费用是许多企业无法承受的;而对于业务人员而言只能通过公网与企业相连接,这样安全性难以保证。于是,企业开始寻求投资低,安全性、可靠性高,扩展性好,易于管理的网络。而VPN的出现,很好地解决了上述问题,它具有高安全、低成本和易于管理等特性,在企业的网络建设中得已广泛应用。

1 VPN 简介

VPN(Virtual Private Network,虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Internet。为了保障信息在Internet上传输的安全性,VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。

2 IPSec 技术简介

IPSec(Internet Protocol Security)即Internet安全协议,是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec适用于目前的版本IPv4和下一代IPv6。IPSec规范相当复杂,规范中包含大量的文档。由于IPSec在TCP/IP协议的核心层——IP层实现,因此可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。IPSec协议是现在VPN开发中使用的最广泛的一种协议。IPSec通过AH、ESP、IKE协议来实现两主机之间、两个安全网关之间或主机和安全网关之间的数据保护。

2.1 AH 协议

AH(Authentication Header)是IPSec的一种安全认证协议,它能够提供数据的完整性校验和源身份认证功能,但是它不能提供数据加密功能,因此不能保证数据的机密性。数据完整性校验通过由消息认证代码(MD5)产生的校验来保证;数据源身份认证通过在待认证数据中加入一个共享密钥来实现;而AH报头中的序列号则是为了防止重放攻击而加入的。

2.2 ESP 协议

ESP(Encapsulate Security Payload,封装安全载荷)协议:封装安全载荷(ESP)用于提高Internet协议(IP)协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中,数据机密性是ESP的基本功能,而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要支持IP数据包的机密性,它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。

2.3 IKE

无论用AH协议还是用ESP协议来封装数据包之前,首先要建立一个IPSec SA,IPSec SA既可以手工创建,又可以通过协议动态生成。IKE(Internet Key Exchange)协议用来在两个通信实体之间协商和动态建立安全关联(SA),以及交换密钥。一个安全关联表示两个通信实体之间经过了身份认证,且这两个通信实体都能支持相同的认证和加密算法。IKE具有一套自我保护机制,可以在不安全地网络上安全地分发密钥、身份认证并建立IPSec SA。

2.4 IPSec 的工作模式

IPSec协议的运行模式有两种,隧道模式和传输模式。隧道模式的特点是数据包最终目的地不是安全终点。通常情况下,只要IPSec双方有一方是安全网关或路由器,就必须使用隧道模式。传输模式下,IPSec主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。

3 基于 IPSec VPN 远程访问应用实例

某公司的技术总监张总正在外地出差,但需要访问公司内部的服务器资源,而这些服务器资源因安全性考虑并不直接在公网上开放,因此张总想要获得访问内部资源的权利,应该如何对网路设备进行调试呢?

需求:解决出差员工和公司之间通过Internet进行信息安全传输的问题。

分析:IPSec VPN技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在Internet网络传输的安全性,是目前最安全、使用最广泛的VPN技术。因此可通过建立IPSec VPN的加密隧道,实现出差员工和公司之间的信息安全传输。

3.1 实例分析并搭建实验环境

IPSec VPN远程访问的实验拓扑图如图1所示:

根据搭建的实验拓扑图,分别配置设备。

3.2 实例具体操作

3.2.1 VPN 的登录方式:通过 Console 口登录 VPN

第一步:运行终端仿真程序,设置终端通信参数为(波特率为115200bit/s)。

第二步:配置VPN外网口地址(eth1),进入相应接口(interface set)进行具体配置。

第三步:配置PC机地址与VPN的eth1口在同一网段,能够相互PING通。

3.2.2 使用锐捷网关管理中心

第一步:安装网关管理中心软件,进入网关中心。

第二步:创建一个新的网关,进行网关属性设置(VPN的管理IP:192.168.10.100)。

第三步:进入到VPN设备的配置界面。

第四步:在VPN配置界面右边的目录树上点开网络配置,双击【网络接口】,进行网络接口的选择,双击eth0口地址,弹出eth0口的配置窗口,进行网络地址设置:

VPN设备可Ping通路由器的F0/0口;PC机可以Ping通路由器的F0/1口;PC机可以Ping通VPN设备的eth0口;服务器可以Ping通VPN设备的eth1口。

3.2.3 配置 IPSec VPN 隧道

第一步:在VPN设备上进行IPSec VPN隧道配置:

(1)进入远程移动用户VPN隧道配置的界面。

(2)配置“允许访问子网”(192.168.10.0)。

(3)配置“本地用户数据库”:为你将来进行远程访问时,建立用户名和密码。

注意:添加完用户后一定要点击“用户生效”按钮。

(4)配置“虚IP地址池”操作

虚IP是分配给远程移动用户的IP,表示只有拥有该IP的PC机才能获得局域网内部的访问权限。因此,管理员设置的虚IP一定不要与远程PC的IP、以及局域网内部的IP互相冲突,否则远程PC在和VPN设备建立隧道后,因地址冲突的问题,而无法访问局域网内部。本实验中虚IP地址池定义为(192.168.2.0),完成后就会出现一个新的地址池。

第二步:在PC机上运行RG-SRA程序,开始建立VPN隧道:

(1)PC机上首先要安装RG-SRA程序,并建立隧道连接。

(2)运行该隧道连接,建立VPN隧道。

第三步:验证测试:

(1)点击RG-SRA图标,在菜单中选择“详细配置”,可以查看到隧道信息,并自动获得了VPN分配的网络地址(192.168.2.1)。

(2)在VPN设备的管理界面也可看到已经建立成功的隧道信息。

隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态,“隧道状态”显示“第二阶段协商成功”。

第四步:进行隧道通信

从PC机上去访问服务器提供的服务,成功应用。

4 结束语

IPsec VPN是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息,它在保证网络安全性的基础上,也为用户节省了大量的费用开支,所以在企业网络中得到了非常广泛的应用。随着应用的增多也发现了IPSec VPN的一些缺点如配置部署较复杂、穿透性差、应用层安全性较差等,IPSec VPN在这些方面还需要进一步的改进。随着网络技术的迅速发展,IPSec VPN技术将会有更好的发展前景。

摘要：VPN是隧道技术和加密技术相结合的产物,它能够确保私有数据在共享网络设施上安全传输。本文介绍了IPSec和IPSec VPN的相关概念和基本原理,然后分析了IPSec VPN的一些安全协议集和工作模式,最后应用IPSec VPN技术,实现外出员工通过Internet网络对公司内网安全访问的过程,并给出了IP-Sec VPN的关键配置步骤。

IPSecVPN技术 第2篇

1 访问控制技术的策略

访问控制技术是信息安全技术的重要组成部分。随着互联网技术的不断发展, 信息安全问题越来越受到用户的关注与重视。在如今的互联网上, 信息资源共享是一个非常普遍的现象。然而, 信息资源共享并非全部都是无条件分享的, 只有拥有了一定权限的用户才有权访问、分享和操作有关的资源。访问控制技术就是为相关资源设定一定的访问权限, 当用户发出资源请求时, 系统会对用户的信息进行审核, 确定用户的访问权限, 用户只能在访问权限范围内分享、操作有关资源。访问控制技术由主体、客体和访问控制策略构成。常见的访问控制策略有强制访问控制机制、自主访问控制机制和基于角色的访问机制。

强制访问控制机制是指由授权机构对主体和客体的访问属性进行固定标记, 用户不能自行修改权限的内容。这种访问控制模式的优势在于安全性非常高, 可以有效地避免非法计算机的入侵, 缺点则是缺乏灵活性, 管理上工作量比较大。自主访问控制机制则与强制访问控制机制相反, 客体可以自行修改权限的内容, 确定访问主体的权限和安全等级。与强制访问控制机制相比, 自主访问控制机制的灵活性更强, 访问控制随着客体的需要而发生改变, 访问限制相对比较宽松。自主访问控制机制单独使用容易造成权限控制的滥用, 降低访问控制的安全性, 因此, 常常与强制访问控制机制结合使用, 提高自主访问控制机制的安全性。基于角色的访问控制机制是在前两种访问机制的基础上改进而来。基于角色的访问控制机制是将用户与权限相分离, 并将权限分配给不同的角色, 通过用户信息匹配使得用户与某一角色相关联, 再依据该角色的权限信息确定该用户的访问权限内容。基于角色的访问控制机制出现后, 弥补了传统访问控制机制的缺陷, 降低了管理的难度和工作量。

2 访问控制技术的实现

通过应用访问控制技术在IPSEC VPN系统的应用, 使得系统可以为局域网或互联网用户提供数据访问服务, 并在数据访问过程中进行强有力的数据安全防护。根据这一目的, 建立起一个细粒度的访问控制机制, 负责审核访问用户的信息。首先, 访问控制机制会对发出请求的用户信息进行审核, 从客户的信息中提取IP地址和MAC地址生成一个唯一的USER ID, 并将该USER ID发送到系统的数据中心。其次, 数据中心对接收到的USER ID进行处理后生成一个安全列表, 将安全列表到访问控制机制。最后, 访问控制机制根据安全列表的内容映射到某个角色, 根据该角色的权限内容获得一个访问列表, 依据访问列表的来获取用户的访问列表, 依据访问列表判断用户的访问权限。

在IPSEC VPN系统中, 访问控制工作都是由访问控制模块完成的, 而访问控制模块通常以在防火墙中添加策略项的方式来完成工作。防火墙是计算机的防护系统, 通过在防火墙中添加访问控制策略可以对其他计算机的网络访问请求进行管理和控制。防火墙访问控制是访问控制技术中比较常用、效果比较好的一种手段。IPSEC VPN系统的防火墙访问控制设计使得所有经过防火墙的IP包都要接受防火墙的检查, 再由防火墙依据访问控制策略对IP包进行相应的处理。防火墙的访问控制策略包括设置访问计算机的合法IP地址, 限制访问端口等。计算机用户制定相应的访问控制策略, 由应用层封装后通过NETLINK添加在内核中。

采用单一的防护方法限制其他用户的访问容易存在安全漏洞, 不利于信息的安全性和保密性。因此, 在实际应用中, 往往需要采取综合的访问控制措施来对的各个层次进行防护, 有效地提高整个系统的安全性, 避免发生信息泄露等安全问题。首先, 为了减少未授权的计算机的入侵, 可以将交换机端口与合法的MAC地址进行绑定。MAC地址是制造商在网络设备生产过程中写在硬件内的链路地址。每一个网络设备都有一个固定的MAC地址, 无论所接入的计算机、网络发生任何改变, 其MAC地址都不会发生变化。通过绑定交换机端口与MAC地址, 使得除了合法的MAC地址外的其他MAC地址都成为了非法地址, 这样就可以避免非法的MAC地址从链路层入侵计算机。其次, 为了保证接入访问的安全性, IPSEC VPN系统釆用数字证书来进行身份认证。身份认证是避免应用层入侵的一种防护手段。IPSEC网关可以为用户分配数字证书的私钥, 并向用户提供内部网络配置信息。当双方用户协商建立起IPSEC通信隧道后, 网关通过对用户数字签名和IP地址进行双重认证来确定为用户提供服务的权限范围。最后, 在用户接入系统后, 要设置访问控制选项, 对安全接入的用户的访问内容和服务进行限制。

3 结语

综上, 访问控制技术提高了系统的安全性, 减少了未授权计算机入侵的发生, 为计算机数据安全存储和处理提供了有力的保障。IPSEC VPN作为VPN协议中安全性和保密性都比较高的隧道协议, 研究其安全访问控制对提高IPSEC VPN的实用性, 扩大IPSEC VPN的应用范围具有非常重要的意义。在设计IPSEC VPN系统的访问控制机制时除了要考虑访问控制技术外, 也要结合系统各层的安全防护进行考虑, 为系统安全提供全面综合的保障。

摘要：IPSEC是VPN隧道协议的一种。基于IPSEC VPN协议的主机在通信时, 所有网络层的通信隧道都会被进行加密, 通过的IP数据包也会被进行加密和认证, 因此IPSEC VPN的保密性和安全性非常高。访问控制技术是IPSEC VPN系统的关键技术之一。研究访问控制技术在IPSEC VPN系统中的应用, 对于提高IPSEC VPN系统的整体性能具有非常重要的意义。

关键词：IPSEC,VPN系统,访问控制技术,安全状态

参考文献

[1]余胜生, 欧阳长春, 周敬利, 等.访问控制技术在SSL VPN系统中的应用[J].华中科技大学学报:自然科学版, 2006, 34 (7) .

[2]杨冬武.访问控制技术在涉密信息系统中的综合应用[J].信息安全与科技, 2014 (4) .

IPSecVPN技术 第3篇

IPSec VPN是传统企业远程安全访问需求的解决方案, 但随着SSL VPN应用的逐渐加温, 越来越多的企业开始采纳SSL VPN的网络架构。自然也有许多的观望者, 质疑SSL VPN的安全性和网络的兼容性。对于网络的兼容性, 由于IPSec和SSL采取Internet网络中的不同网络层来进行安全加密处理, 以建立网络安全通道, 因此在网络的安全管理等级及使用方便性上是不相同的。究竟这两种VPN方案哪种是用户更好的选择, 我们需要对它们进行综合分析。

1 SSL VPN与IPSec VPN工作原理

1.1 SSL VPN

SSL (安全套接层) 协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议 (如HTTP、Telnet和FTP等) 和TCP/IP协议之间进行数据交换的安全机制, 为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

SSL VPN利用浏览器内建的Secure Socket Layer封包处理功能, 通过浏览器连回公司内部SSL VPN服务器, 然后通过网络封包转向的方式, 让客户可以在远程计算机执行应用程序, 读取公司内部服务器数据。它采用标准的安全套接层 (SSL) 对传输中的数据包进行加密, 从而在应用层保护了数据的安全性。通过SSL VPN可以实现远程访问企业内部网络的构架。

1.2 IPSec VPN

IPSec协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这些服务都建立在IP层, 并保护上层的协议。这些服务通过使用两个安全协议:认证头AH[RFC2402]和封装安全载荷ESP[RFC2406], 以及通过使用加密密钥管理过程和协议来实现。

2 SSL与IPSec VPN的优势与不足分析

2.1 SSL VPN分析

2.1.1 优势分析

无需安装客户端软件或客户端设备, 只需通过Web浏览器即可以通过网页访问到企业总部的网络资源, 免去了客户端的成本, 维护、管理成本也大为降低。SSL VPN方案实施起来非常简单, 只需要在企业的数据中心部署SSL VPN网关即可, 无需在各分支机构部署硬件或软件设备。SSL VPN方案是无客户端的VPN方案, 客户端只需要具备标准的浏览器即可。

SSL VPN的管理工作属于集中管理和集中维护模式, 可以极大地降低管理和维护成本。用户通过基于SSL的Web访问并不是网络的真实节点, 而且还可代理访问公司内部资源。因此, 这种方法可以非常安全的。为那些简单远程访问用户 (仅需进入公司内部WEB、FTP网站或者进行Email通信) , 基于SSL的VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问:基于SSL的远程访问方案中可以绕过防火墙和代理服务器进行访问公司资源。

2.1.2 不足分析

SSL VPN并不是主流的工业级的VPN方案, 目前绝大多数需要最高安全标准的大企业、行业企业的首选是IPSec VPN, 那么SSL VPN的主要不足在哪里呢?SSL VPN仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用, 如Netmeeting以及一些客户书写的应用程序, 将无法进行访问。一个企业往往运行了很多种应用 (OA、财务、销售管理、ERP) , 很多应用并不基于Web, 单纯只有Web应用的企业极少。一般企业希望VPN能达到局域网的效果, 比如网上邻居, 而SSL VPN只能保护应用层协议, 如WEB、FTP等, 要保护更多的应用, SSL VPN目前做不到, 所以有一定的局限性。

2.2 IPSec VPN分析

2.2.1 优势分析

日益增加的对SSL VPN的关注并不能降低对传统IPSec VPN解决方案价值的认可, IPSec仍然是作为站点到站点的VPN事实上的标准。IPSec VPN通过在互联网上的两站点间创建隧道提供直接接入, 一旦隧道创建, 远程PC就如同物理地处于企业总部LAN中, 为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立IPSec VPN隧道连接, 远程的办事处和移动用户就能几乎总部局域网的所有应用和资源, 而不象SSL VPN具有一定的局限性。IPSec VPN的优点是:最适合局域网到局域网的通信, 适用性更大。

2.2.2 不足分析

在远程方面访问, 当只创建有限的几个隧道时, IPSec能满足基本的需要, 如:总公司与若干个办事处的远程连接。但是, 如果有数千个远程互联网用户分布在不同的地点, 分发和管理客户端软件就是一件非常麻烦, 也很费时的事情。另外, 不易解决网络地址转换和穿越防火墙的问题。IPSec VPN产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如, 如果一个用户已经安装了IPSec客户端, 但他仍然不能在其他公司的网络内接入互联网 (例如, 工作在客户处的咨询顾问) , IPSec会被那个公司的防火墙阻止, 除非该用户和这个公司的网络管理员协商, 在防火墙上打开另一个端口。而这是一个烦人、花时间的事情, 也会增加风险, 这是许多公司不愿承担的。需要同一家的产品, 不同IPSec供应商之间的互操作可能存在问题。

3 安全策略对比分析

3.1 安全通道 (Secure Tunnel)

IPSec和SSL这两种安全协议, 都有采用对称式 (Symmetric) 和非对称式 (Asymmetric) 的加密算法来执行加密作业。在安全的通道比较上, 并没有谁好谁坏之差, 仅在于应用上的不同。

3.2 认证和权限控管

IPSec采取Internet Key Exchange (IKE) 方式, 使用数字凭证 (Digital Certificate) 或是一组Secret Key来做认证, 而SSL仅能使用数字凭证, 如果都是采取数字凭证来认证, 两者在认证的安全等级上就没有太大的差别。SSL的认证, 大多数的厂商都会建置硬件的Token, 来提升认证的安全性。对于使用权限的控管, IPSec可以支持[Selectors], 让网络封包过滤喊阻隔某些特定的主机应用系统。但是实际作业上, 大多数人都是开发整个网段 (Subset) , 以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者, 执行不同的应用系统, 它在管理和设定上比IPSec简单方便许多。

3.3 应用系统的攻击

远程用户以IPSec VPN的方式与公司内部网络建立联机之后, 内部网络所连接的应用系统, 都是可以侦测得到, 这就提供了黑客攻击的机会。若是采取SSL VPN来联机, 因为是直接开启应用系统, 并没在网络层上连接, 黑客不易侦测出应用系统内部网络物制, 所受到的威胁也仅是所联机的这个应用系统, 攻击机会相对就减少。

3.4 病毒入侵

一般企业在Internet联机入口, 都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机, 对于入口的病毒侦测效果是相同的, 但是比较从远程客户端入侵的可能性, 就会有所差别。采用IPSec联机, 若是客户端电脑遭到病毒感染, 这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机, 所感染的可能性, 会局限于这台主机, 而且这个病毒必须是针对应用系统的类型, 不同类型的病毒是不会感染到这台主机的。

3.5 防火墙上的通讯埠 (Port)

在TCP/IP的网络架构上, 各式各样的应用系统会采取不同的通讯协议, 并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说, 发信和收信一般都是采取SMTP和POP3通讯协议, 而且两种通讯埠是采用Port25, 若是从远程电脑来联机Email服务器, 就必须在防火墙上开放Port25, 否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上, 每开启一个通讯埠, 就多一个黑客攻击机会。反观之, SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间, 采用SSL通讯埠 (Port443) 来作为传输通道, 这个通讯埠, 一般是作为Web Server对外的数据传输通道, 因此, 不需在防火墙上做任何修改, 也不会因为不同应用系统的需求, 而来修改防火墙上的设定, 减少IT管理者的困扰。

IPSec VPN和SSL VPN这两种VPN架构, 从整体的安全等级来看, 两种都能够提供安全的远程登入存取联机。但综观上述, SSL VPN在其易于使用性及安全层级, 都比IPSec VPN高。我们都知道, 由于Internet的迅速扩展, 针对远程安全登入的需求也日益提升。对于使用者而言, 方便安全的解决方案, 才能真正符合需求, 所以在能满足需要的情况下, IPSec VPN是用户的合适选择。

摘要：本文首先介绍了SSL VPN和IPSec VPN的工作原理, 接着分析了这两种VPN方案的优势与不足, 最后从安全策略上进行了对比分析, 并得出了相关结论, SSL VPN是用户合适的选择。

关键词：SSL VPN,IPSec VPN,安全策略

参考文献

[1][美]car Iton R.Davis.IPSecVPN的安全实施[M].北京:清华大学出版社.

[2]CarIton R.Davis.IP SecVPN的安全实施.北京:清华大学出版社.

[3]R.Rivest.The MD5 Message Digest Algorithm[S].RFC1321, Apr.

IPSecVPN技术 第4篇

1 IPSec VPN

虚拟专用网(VPN)利用开放的公共网络资源(通常是因特网)建立私有数据传输通道,能够将远程的分支机构、移动办公人员等连接起来,并且提供安全的端到端的数据通信。VPN技术在企业网络中的典型应用主要有两类:站点到站点VPN和远程访问VPN。站点到站点VPN在VPN网关之间构建虚拟的隧道,从而为VPN网关之内的网络和设备提供安全的通信,典型应用模式是在企业的分支机构和总部网络之间提供私密的安全连接。远程访问VPN为远程工作者通过因特网远程拨号的方式构建VPN访问企业内部网,这种应用代替了传统的直接拨入企业内部网的远程访问方式,大大降低远程访问的费用。

IPSec(IP Security)是IETF提供因特网安全通信的一系列规范,它规定了在对等体之间选择安全协议、确定安全算法和密钥交换、访问控制、认证、加密等网络安全服务,是在IP网络中实施VPN的普遍实现方法[1]。

2 拓扑设计与实现

Packet Tracer是Cisco推出的一款网络模拟软件,模拟的设备运行裁减版本的真实IOS,因而具有与实际Cisco设备一样的运行效果,同时具有很高的运行效率[3]。同时Packet Tracer特有的Simulation模式可以对分组的传播过程进行“单步”的追踪,有助于对协议运行过程的观察、调试、理解和掌握。本文设计了一个简化的典型企业网络环境,并配置实现、验证分支机构和远程个人通过VPN对企业内部网络的互联和访问[2]。

2.1 模拟拓扑设计

图1构建了一个简化的典型企业网络环境的拓扑,设计目标是尽可能真实的模拟现实生活中的实际网络环境。该拓扑主要由四个模块组成:

1)ABC企业总部网络。ABC企业总部网络使用私有地址段192.168.1.0/24,企业内部设备通过在出口路由器上实施NAT访问外部的公共网络[5]。出口路由器具有公网地址218.0.1.2,作为VPN网关与分支机构或远程个人建立VPN连接。园区网内模拟实现两台Web服务器:一台是外网服务器,为外部用户提供服务(.253,通过NAT静态映射实现),其域名在ISP的域名服务器中注册(www abc.com);一台是内网服务器,为企业内部用户提供服务(.252),外部用户无法访问。PC0模拟位于企业内部网络上的用户(.1)。

2)ABC分支机构网络。ABC分支机构使用私有地址段192.168.2.0/24,通过在分支出口路由器上实施NAT访问外部公共网络。分支出口路由器具有公网地址218.0.2.2,作为VPN网关与总部出口路由器建立VPN隧道,为分支和总部的内部网络之间提供互联服务。PC1模拟位于分支机构内部网络上的用户(.1)。

3)ISP服务商网络。服务商模拟实现网络服务提供商,为企业和个人提供网络接入服务。其路由器使用公网地址(218.0.X.0/24),其路由表中不出现接入企业和个人的私有地址。域名服务器为所有用户提供域名服务,Web服务器(www.isp.com)模拟具有公网地址的外部服务器。

4)拨号网络。拨号网络模拟个人用户通过DSL等方式拨号上网。用户拨号上网后分配到公网地址218.0.3.0/24。之后用户可以通过VPN客户端建立到公司总部出口路由器的VPN连接,从而访问公司的内部网络资源[4]。

2.2 设备基本配置

模拟拓扑中各类设备的地址分配方案见表1,路由器中的路由表配置见表2。

2.3 VPN配置

对模拟实验中的路由器通过CLI接口进行配置,下面分别列出总部、分支出口路由器的VPN相关配置和远程访问者使用的VPN客户端的连接参数设置。

2.3.1 总部路由器配置

2.3.2 分支路由器配置

2.3.3 VPN客户端配置

远程工作者使用模拟的VPN客户端软件建立到企业总部的VPN连接,在软件中输入组名、组密码、VPN网关地址、用户名和用户密码即可。

2.4 连通性测试

1)没有建立VPN连接时。从分支网络和远程个人可以成功访问企业外部公共网络内的资源,PING测试和Web访问都可以成功。但是无法访问企业总部网络内的服务器等资源。

2)远程访问。远程访问PC2通过Cisco VPN客户端软件建立到总部网络的VPN连接。模拟中,使用组名:ciscogroup,密码:123,远程主机地址为总部出口路由器的公网的地址218.0.1.2,用户名:cisco,密码123。连接成功后,获得内部私有网段的地址192.168.3.1。使用PING测试内网服务器连通性成功,浏览器能够正常访问内网服务器(见图2)。

3)分支机构。根据路由器上VPN和NAT的配置,企业总部和分支机构之间的流量会发起VPN建立,两者之间通过VPN建立的安全隧道可以实现互访。VPN连接建立后,企业和分支对外网的访问不通过VPN,通过NAT保持正常访问。总部PC0和分支PC1互相PING成功,PC1访问内网服务器正常(见图3)。

3 结论

随着网络技术的进一步普及和企业对安全通信的日益重视,VPN技术将得到越来越广泛的应用。通过对接近实际的企业网络环境的模拟,基于Packet Tracer实现了站点到站点和远程访问两类典型VPN应用的配置和测试。尽管与现实有相比有一定的简化,但对于VPN的理解和掌握具有一定的帮助作用。

参考文献

[1]徐家臻,陈莘萌.基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,25(4):586-588.

[2]姚军玲,郭稚晖.Cisco VPN完全配置指南[M].北京:人民邮电出版社,2007.

[3]Packet Tracer 5.3,帮助文档[EB/OL].http://www.cisco.com/web/learning/netacad/course_catalog/PacketTracer.html.

[4]黄嵩,秦景良.利用Packet Tracer模拟实现PPPoE接入[J].电脑知识与技术,2010,l6(28):7980-7982.

IPSecVPN技术 第5篇

关键词：Packet tracer,IPSEC,VPN,虚拟专用网

随着企业业务的发展, 总部与分支机构或者与合作伙伴之间的的安全互连成为关系企业信息安全的重要问题。传统的解决方式一般采用租用专用线路来解决, 保证业务数据在专用网中安全传输, 但是这种方式通常费用高, 扩展性差满足不了企业不断发展的需求。目前比较流行的解决方式是以Internet为基础, 利用IPSEC对数据流加密, 从而确保业务数据安全传输, 在应用上达到实际专用网的效果, 同时具有资费低, 接入灵活, 扩展性好的特点[1]。

1 主要技术原理

在实施VPN时, 为了实现专用网的效果要解决两个问题, 一是要建立隧道, 二是要实现数据加密, 两者缺一不可, 这里主要探讨解决这两个问题的常用技术。

1.1 IPSEC的封装模式

(1) 传输模式 (Transport mode) ;在传输模式下, IPsec并不提供隧道支持, 只提供数据加密。在传输模式下, IPSec头被插入到原IP头之后但在所有传输层协议之前, 或所有其他IPSec协议之前。当Internet互连的两个分支机构欲通过私网地址相互访问时, 由于最外层是源IP头, 目的IP无法路由, 导致无法访问。 (2) 隧道模式 (Tunnel mode) ;在隧道模式下, IPSEC本身供隧道支持, 同时提供数据加密功能, 实现实现VPN的重要手段。在隧道模式下, 当包到达目的端路由器时, 剥离最外层公网IP, 然后再根据私网IP转发到真正地址。由于隧道模式下将真正的源IP和目的IP都被加密了, 因此更加安全[2]。

1.2 主要加密技术

为IPSEC服务的协议主要有三个, 分别是IKE (Internet Key Exchange) 、ESP (Encapsulating Security Protocol) 、AH (Authentication Header) 。其中IKE协议主要负责密钥安全, 包括密钥的交换、传输及存储。ESP和AH主要负责数据加密。

2 实验仿真

2.1 实验拓扑

假设某公司在北京设立总部, 上海是其分公司, 由于业务需求, 总部和分公司之间需要建立安全连接来交换敏感数据, 由于经费有限, 北京总部和上海分公司各自申请了一个公网IP, 内网使用私有地址, 实验拓扑如图1所示。

在图1中, R1模拟北京总部路由器, R3模拟上海分公司路由器, R2模拟公网路由器。

2.2 实验配置

在完成端口IP基础配置后, 下面是在R1上配置IKE策略

R1 (config) #crypto isakmp policy 1

R1 (config-isakmp) #encryption 3des

R1 (config-isakmp) #hash sha

R1 (config-isakmp) #authentication pre-share

R1 (config-isakmp) #group 2

R1 (config) #crypto isakmp key cisco address 110.10.1.3

R1 (config) #crypto ipsec transform-set ptp esp-3des espsha-hmac

R1 (config) #access-list 100 permit ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255

R1 (config) #crypto map 121 10 ipsec-isakmp

R1 (config-crypto-map) #set peer 110.10.1.3

R1 (config-crypto-map) #set transform-set ptp

R1 (config-crypto-map) #match address 100

上述配置中, 在R1上配置crypto map为l2l, 序号为10, 即第10组策略, 其中指定加密数据发往的对端为110.10.1.3, 即和110.10.1.3建立IPsec隧道, 调用的IPsec transform为ptp, 并且指定ACL 100中的流量为被保护的流量。

R1 (config) #int s0/3/0

R1 (config-if) #crypto map 121

上述配置中, 将crypto map应用在去往北京总部的接口s0/3/0上。

至此, R1上配置全部完成, R3的配置和R1配置基本类似。

2.3 实验测试

在R1使用ping命令, 模拟北京总部的路由器向上海分公司的路由器发送流量, 如图2所示。从图中可以看出, 从R1向R3发送的11据包中, 有9个成功穿越internet, 说明双方建立了IPSEC隧道, 实现了VPN的功能。

上述实验结果表明, 总部的PC0可以直接和分部的PC1, 可以直接使用私网地址通信, 并且对数据进行了安全加密。

3 结语

本文采用思科的packet tracer软件提出了VPN的实验方案, 实验实现了私有网络在不使用网络地址转换的情况下通过IPSEC VPN实现点到点安全通信, 并且验证了方案的可行性, 该方案具有很高的扩展性, 可满足不同的设计需求。

参考文献

[1]周振斌, 唐剑琪, 邓辉, 常鹏.基于负载均衡的高吞吐量IPsec VPN系统[J].计算机工程与应用, 2012 (36) :85-89.

IPSecVPN技术 第6篇

1 技术层面分析

1.1 IPSec VPN的应用场景

IPSec VPN的应用场景分为3种:第1种是“Site-to-Site (站点到站点或者网关到网关) ”, 网关之间建立IPSec VPN, 实现企业内网之间的安全互联;第2种是“End-to-End (端到端或者PC到PC) ”, PC之间建立IPSec VPN, 实现安全会话;第3种是“End-to-Site (端到站点或者PC到网关) ”, PC之间的通信由远程PC与网关之间的IPSec进行保护。

1.2 IPSec VPN的封装模式

IPSec封装模式有传输模式和隧道模式2种。传输模式在主机到主机或端到端的环境中保护数据, 例如, 位于站点1的主机A和位于站点2的主机B通信就是这种情况。传输模式仅用于对等体到对等体的环境中, 也即是说, 在IPSec对等体之间加密流量。在传输模式中, IPSec保护原始IP包中的负载而不包括IP包头。传输模式保留原始的IP包头, 把IPSec头部插到原始IP包头和负载之间, 如图1所示。

隧道模式是在网络到网络或站点到站点的环境中保护数据, 比如, 从位于站点1的网络A到位于站点2的网络B的通信情况。在隧道模式中, IPSec可以为其他网络实体保护数据, 也就是说, 加密的流量会穿过IPSec对等体。隧道模式会封装并保护整个IP包, 该IP包的负载包括原始的IP包头和新的IP包头。

1.3 IPSec包头

IPSec向IP数据包添加了一个新的IPSec包头, 这个包头所含的信息可以对原始IP包内的数据形成保护作用[1]。IPSec包头有2种结构:AH头部结构和ESP头部结构。图2显示了传输模式和隧道模式的IPSec包头中哪些部分被认证, 哪些部分被加密。

2 IPSec VPN建立过程分析

IPSec VPN的建立过程需要安全的密钥生成机制和分发机制, 通常采用ISAKMP和IKE两种密钥机制。ISAKMP是互联网安全关联和密钥管理协议, 描述了密钥管理的架构, 定义了建立、协商、修改和删除安全关联 (SA) 的必要步骤和数据包格式, 为对等体提供身份验证, 不提供密钥交换机制。IKE是互联网密钥交换协议, 是一种混合协议, 定义了一个适当的密钥交换机制。它可以产生认证的密钥材料, 并协商用于ESP/AH的SA。

IKE在对等体之间进行协商, 协商出阶段1的SA和阶段2的SA。SA就是2台设备达成共识的策略参数, 是为保障双方通信安全而达成的协定。

阶段1确认远端对等体的身份, 为2个对等体建立一条安全的、需要认证的通道, 为阶段2的参数协商提供保护。阶段1协商:用来保护阶段1的技术 (加密或散列算法) , 生成密钥的参数, 身份认证方式 (预共享密钥、公钥加密或数字签名) , 在IKE阶段2中使用的密钥材料。阶段1协商模式有主模式和主动模式2种, 主动模式速度快, 但没有主模式安全, 携带的协商特性少于主模式, 也不提供对等体验证。

阶段2保护用户数据并为IPSec建立SA, 协商以下参数:保护集 (ESP和AH) , 保护集使用的算法 (DES3DESAESSHA等) , 需要被保护的网络或IP流量, 可供协商出的协议选择的密钥材料。阶段2协商结束后, 会建立2条单向的IPSec SA, 一条用来发送加密数据, 另一条用来接收加密数据。

3 IPSec协议中涉及到的内容

IPSec协议的实现涉及到兴趣流、发起方与响应方的协商参数等内容, 需要准确定义, 否则会导致IPSec协商不成功。

3.1 兴趣流

需要IPSec进行保护的流量称为兴趣流, 这个数据流需要对等体之间的协商来确定。对等体各自定义了自己认为要保护的数据, 协商的结果是由发起方和响应方所指定的需要保护数据的交集。如发起方指定兴趣流为192.168.1.0/24到10.0.0.0/8, 而响应方的兴趣流为10.0.0.0/8到192.168.0.0/16, 那么其交集是192.168.1.0/24往返10.0.0.0/8, 这就是最后会被IPSec所保护的兴趣流。由于是各自定义的, 所以协商的结果可能会出现没有共同认为要保护的数据。

3.2 发起方与响应方的协商参数

发起方是IPSec会话协商的触发方, 触发后会去寻找网络上的响应方, 响应方是IPSec会话协商的接收方, 双方需要有去往各自对端的路由。双方的协商内容除了上述兴趣流外, 还包括双方身份的确认和密钥种子刷新周期、AH/ESP的组合方式及各自使用的算法、兴趣流、封装模式等, 需要在对等体上正确设置这些参数, 使得双方可以协商一致。

4 IPSec VPN建立的关键要素

(1) 正确配置对等体和对等体身份验证

除了正确配置阶段1和阶段2的协商内容外, 还应特别注意正确配置对等体及对等体的身份验证。IPSec VPN是在IPSec对等体站点之间建立的, 所以必须正确设置对等体;对等体还要进行身份认证, 必须正确设置对等体密钥。

(2) AH提供数据来源确认, 无法穿越NAT

IPSec的AH包头和ESP包头的作用不同, AH包头可以提供数据完整性确认、数据来源确认、防重放等安全特性;而ESP包头提供数据完整性确认、数据加密、防重放等安全特性。由于AH协议是Authentication Header协议, 实现了数据来源确认, 一旦源地址发生改变, AH认证将会失败, 所以, 选择AH协议, 将无法穿越NAT (网络地址转换) 。

(3) 站点到站点IPSec VPN只能采用隧道封装模式

传输模式对原始IP数据进行AH、ESP处理后, 仍然保留原先的IP头部, 数据包得到端到端安全保护, 因此适用于End-to-End的应用场景。使用传输模式的充分必要条件是兴趣流必须完全是在发起方、响应方IP地址范围内的流量。譬如, 发起方IP地址为15.200.1.1, 响应方IP地址为16.100.1.1, 那么兴趣流只能是源地址15.200.1.1/32、目的地址16.100.1.1/32。

隧道模式对原始IP数据进行AH、ESP处理后, 再封装了一个外网IP头, 所以, 被保护的原始IP数据的源和目的地址与外网IP头中的地址不一样, 安全保护也只是发生在外网IP头中源地址到目的地址之间, 因此, 较适用于Site-to-Site的应用场景, Site-to-Site应用场景, 只是在网关之间建立IPSec VPN, 数据在进入网关之前和离开网关之后, 都不能得到IPSec安全保护, 因此不能使用传输模式。

当然, 隧道模式可以适用于任何场景, 不过隧道模式需要多一层IP头开销, 所以在End-to-End场景, 最好使用传输模式。

(4) 正确定义感兴趣的数据流

IPSec是需要消耗资源的保护措施, 所以要正确定义感兴趣的数据流, 既要保证关键数据的安全性, 又要达到节约资源的目的。兴趣流一般是通过访问控制列表指定的, 指定的兴趣流只是用于触发IPSec会话协商, 如果定义的兴趣流不正确或者定义后不能够生效, 就不能触发IPSec会话协商, 当然也就不能够建立IPSec VPN。

图3所示是一个典型的站点到站点IPSec VPN应用, 路由器R1和R2之间建立IPSec VPN, 2个路由器都进行地址转换, 以便内网用户访问互联网。

这时需要在路由器上定义访问控制列表, 来定义兴趣流。例如, 在R1定义兴趣流如下:

表面上看, 这样定义没有问题, 但是, 如果在定义地址转换时, 没有排除对兴趣流中的目的地址访问, 就会出现所有IP包的源地址都被转换的情况, 导致指定的兴趣流不起作用, 无法触发IPSec会话协商。

正确的做法是在做NAT时, 定义一个扩展访问控制列表, 对内网通过VPN访问的数据不进行NAT, 只对访问互联网的数据进行NAT。

摘要：通过对IPSec VPN技术、建立过程、方案制定内容进行分析, 得出站点到站点IPSec VPN的建立要素, 包括对等体、对等体密钥、数据源认证、封装模式的应用场景和兴趣流等因素。

关键词：IPSec VPN,对等体,兴趣流,要素

参考文献

IPSecVPN技术 第7篇

1 IPsec VPN简介

IPsec是目前广泛采用的一种通用的网络安全协议族。VPN是个人虚拟网络, 其应用隧道技术在通信双方之间采用公共网络传输信息, VPN并不一定是加密的。IPsec VPN在VPN虚拟网络上应用IPsec协议上, 从而能够更好的保证气象信息传输的安全、机密以及可靠性。

IPsec VPN是IP层的VPN, 主要是通过IKE协商出IPsec SA, 并保存到SADB数据库当中。SA当中获得的信息对IP数据包来操作。IP主要采用了ESP和AH协议, AH协议用来保证数据的完整和有效性, ESP协议当中包含了验证和加密算法, 在加密的同时还能够保证数据的完整和独立性。这两种协议既能够单独的使用, 也能够同时使用, 但是在采用IP-sec协议的时候, 不能够将这两种算法同时设置为NULL。在数据的传送过程当中, 不同的加密算法都能够利用IPSec定义体系结构在网络传输过程的实施。IPSec几乎能够为所有的应用提供相应的访问, 包含服务器/客户端, 甚至一些传统的应用, IPSec是基于网络层, 不能穿越通常的防火墙, 能够为互联网提供最强的安全功能, 和其他的隧道技术相比, 其优越性在安全性以及管理性方面都相对复杂。

2 IPsec VPN技术在气象网络数据报送当中的应用

为了完成数据的私密性, 需要在现在的网络的设备的基础上进行重新的设置, 从而实现VPN的功能, 图1是目前省级气象专网的拓扑图。

2.1 IPSec的实现方案

IPSec的实现方案主要有在层和链路之间插入IPSec以及将IPSec和IP层融合两种方式, 传统的实现方案是采用插入IPSec, 这种方式的优点在于其处理模块独立内核之外, 并且对内核都没有修改, 但是这种方式大大增加了IP包的处理时间, 影响了处理的效率, 如果出现业务繁忙的时候, 将会影响到正常的通信, 严重的时候将会丢失大量的数据包, 阻碍业务。

接送和发送数据包的流程如下:

(1) 接收包的处理, 对于链路层传送的气象数据包, 首先进行路由对于本地的气象数据包分片重组, 然后检查SAD看该数据包是否是经过IPSec处理, 如果已经经过处理, 那么就检查SA的状态以及生存期, 再根据SA认证加密数据包, 处理结束后再交接给传输层。如果没有经过处理, 再查询该气象数据包时候允许能够进入, 若是允许进入, 仍然将该气象数据包传送给传输层, 否则就需要丢弃该气象数据传送包。对于外地的气象数据包, 则手下需要进行策略库的检查, 如果策略库要求对该气象数据包进行IPSEC处理, 那么就需要进一步的进行SAD库的查找, 找到对应的SA, 然后根据SA对转发包进行加密认证, 然后再对处理后的气象数据包进行分片处理, 并且发送到相应的物理接口当中。反之, 如果策略库要求对该气象数据包进行丢弃处理, 那么就丢弃该气象数据包, 然后进行报错。

(2) 发送包的处理, 对于传输层传递过来的包, 也是首先进行检查, 看是否有进行IPSec的需要, 如果有这样的需要, 那么就进行SAD查找, 并且找到SA进行处理, 处理后分片路由出去, 发送给链路层。同样的, 如果不需要进行IPSec的处理, 那么就直接将气象数据包发送到链路层。

3结论

本文通过介绍了一种IPSec VPN配置技术, 用来解决气象网络数据报送过程当中的安全问题, 从信息安全的角度, 从而保障了气象数据的网络的安全, 能够支持气象数据的准确可靠的传输, 实现气象数据的私密性。

参考文献

[1]Doraswamy, 京京工作室译.IPsec:新一代因特网安全标准[M].北京:机械工业出版社, 2001:89.

[2]Vijavbollapragada, Mohamed khalid.IPsec vpn设计[M].袁国忠译.北京:人民邮电出版社2006:288.