张焱 杨贵莲 徐柯 向梅梅 韦珊
【摘 要】论文介绍了VPN及IPSec-VPN的定义和应用,并提出了一种基于IPSec-VPN技术解决跨地域公司内网互访网络的设计和解决方案。使用GNS3模拟器设计网络拓扑进行仿真实验,并在全网运行OSPF路由协议。通过介绍和分析IPSec-VPN的关键技术和安全协议,以及比较详细的配置命令介绍,可为企业部署IPSec-VPN提供参考和借鉴。
【Abstract】The paper introduces the definition and application of VPN and IPSec - VPN , and puts forward an design and solution sceme to the intranet exchange visits of cross-regional corporate based on the IPSec-VPN technology. Using the GNS3 imitator to design the network topology for simulation experiment,and implementing the OSPF routing protocol across the network.By introducing and analyzing the key technologies and security protocols of IPSec-VPN, as well as the relatively detailed introduction of configuration commands,the references for enterprises to deploy IPSec-VPN can be provided.
【关键词】VPN;IPSec-VPN;网络安全;GNS3;企业网络
【Keywords】VPN;IPSec-VPN;network security ;GNS3;enterprise network
【中图分类号】TN915 【文献标志码】A 【文章编号】1673-1069(2018)05-0118-02
1 引言
当今信息时代,企业往往会在全国各地设立分公司,企业内部信息传递尤为重要,包括内部资源共享,邮件往来和综合信息应用等都要求各站点之间能互通。传统解决方法有以下两种:第一种是在每两个站点之间申请一条专线,两个站点之间的业务往来是通过专线传输。但是这种方案有明显的缺点,一是专线费用较高,二是专线只适应站点较少的情况,当分公司站点偏多的情况下专线的数量几何增长,造价太高。第二种解决方案是在每个站点之间使用VPN技术,在各站点之间建立逻辑的链路通道,通过动态路由协议把各内部网络和隧道链路互联。该方案缺点是企业业务数据在互联网上直接封装IP包传输,信息在传递过程中可能会被窃取。通过本方案设计,各站点出口部署隧道分离技术,保证内部网络和外网的分离,通过IPSec-VPN技术在数据前面加上一个加密的头部,这样数据在传递过程中即使被窃取,也无法还原真实数据,保证了网路安全[1]。
2 总体设计
2.1 系统方案分析及方案逻辑拓扑
使用GNS3网络模拟器进行模拟仿真。规划所有设备的连接,配置IP地址,在各站点出口部署NAT技术,保证所有站点能访问互联网。在各站点之间部署隧道技术,建立各分支站点的逻辑链路通道。在全网部署OSPF路由协议,骨干区域部署在隧道链路上,其他分公司部署在非骨干区域。利用IPsec-VPN技术和隧道分离技术,使内部网络回访流量通过隧道传输,访问外网资源通过NAT技术正常访问。综合各种条件我们认为此方案可行。
2.2 设计不足及解决方法
在使用GNS3模拟路由器功能的时候,会出现一些无法解释的bug。这与软件和模拟器设备使用的IOS版本有关。可以使用现在最新的eve模拟器来尽量避免类似问题的出现。在本项目中对数据使用了3DES进行加密,但随着新技术的不断涌现,此算法已经不能很好的保证数据安全,如果对数据加密有较高要求可以使用AES进行加密。
3 相关技术功能及分析
3.1 模拟器介绍与选择
网络模拟器的出现有着跨时代的意义,只需要通过简单地操作就可以设计出最优的网络架构,然后在真机上部署,大大提高了效率和方案可行性。现在可供使用的模拟器大概有Cisco Packet Tracer 、GNS3、IOU、EVE-ng等。根据我们项目的实际情况我们选择了使用难度中等的GNS3模拟器进行项目的实现。
3.2 IPSec-VPN概述
VPN(Virtual Private Network),即虚拟专用网络,它可以通过特殊的加密通信协议在连接Internet上的位于不同地方的两个或多个企业内部网络之 间建立一条专有通信线路。IPSec-VPN 指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,用以提供公用及专用网络端对端的加密和验证服务。IPSec是一套比较完整且成体系的VPN技术,它规定了一系列协议标准。
3.3 NAT技术
NAT就是网络地址转换,在路由器上配置NAT服务,可以解决IP地址紧缺的问题,同时,也能将内部网络和外部网络隔离,为网络提供一定的安全保障。NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。可以根据企业的大小和具体情况来选择在出口路由器上部署。
3.4 OSPF路由协议
Open Shortest Path First即开放式最短路径优先,是一个内部网关协议(IGP),用于在单一自治系统内决策路由,是对链路状态路由协议的一种实现。使用SPF算法,将每台路由器放在树的根节点,并根据累计开销计算到达每个目的地的最短路径。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络,OSPFv3用在IPv6网络。
4 相关原理及配置命令
4.1 NAT配置
在公司出口路由器上配置NAT。
R1(config)#interface f0/0
R1(config-if)#ip nat inside//f0/0设置为NAT的内部出口
R1(config)#interface s1/1
R1(config-if)#ip nat outside//s1/1设置为NAT的外部出口
R1(config)#access-list 1 permit 10.1.1.0 0.0.0.255
//写一条只允许10.1.1.0网段进入的ACL
R1(config)#ip nat inside source list 1 interface s1/1 overload
//将ACL list 1 运用在s1/1上
在R2和R3上部署类似配置。
4.2 静态路由及OSPF配置
在公司出口路由器上配置静态路由。
R1(config)#ip route 20.1.2.0 255.255.255.0 10.1.2.2
//配置去往公司二的静态路由
R1(config)#ip route 30.1.2.0 255.255.255.0 10.1.2.2
//配置去往公司三的静态路由
根据实际情况对R2和R3部署类似配置。
全网配置OSPF路由协议。
R1(config)#router ospf 1//创建OSPF1
R1(config-router)#network 10.1.1.2 0.0.0.0 area 1
//宣告公司一的私网网段
4.3 创建隧道并将其宣告到OSPF中
R1(config)#interface tunnel 1//创建隧道1
R1(config-if)#tunnel source 10.1.2.1//隧道源地址
R1(config-if)#tunnel destination 20.1.2.1
//隧道目的地址,也就是R2的公网IP地址
R1(config-if)#ip address 1.1.1.1 255.255.255.0//隧道接口IP地址
R1(config)#interface tunnel 2
R1(config-if)#tunnel source 10.1.2.1
R1(config-if)#tunnel destination 30.1.2.1
R1(config-if)#ip address 2.2.2.1 255.255.255.0
将隧道IP地址宣告进OSPF
R1(config)#router ospf 1
R1(config-router)#network 1.1.1.1 0.0.0.0 area 0
R1(config-router)#network 2.2.2.1 0.0.0.0 area 0
4.4 IPSec-VPN配置命令
一般而言,对等体之间建立IPSec-VPN连接需要3个步骤:①流量触发IPSec。IPSec建立过程从对等体之间发送的流量开始,一旦有VPN流量经过网关,连接过程便开始建立。②建立管理连接。IPSec使用ISAKMP/IKE 阶段一来构建一个安全的管理连接,该管理连接只是一个准备过程,不会用来传输实际数据。③建立数据连接。ISAKMP/IKE 阶段二用来完成该任务,数据连接用于传输真正的用户数据。经过IPSec建立的3个步骤后,VPN 流量便可以按照协商的结果进行加密和解密。
5 结论
IPSec-VPN技术在解决跨地域公司内网互访及相关需求中有着极为重要的作用与意义。IPSec协议能为所有基于IP的网络应用提供存取控制、数据源验证、数据完整性以及保密性等安全服务,在当前IPv4网络中得到了广泛应用。项目设计主要功能都基本实现,后期会在提高可用性上不断改进,并在真机上部署实施使之能应用到实际需求中。
【参考文献】
【1】肖蔚琪.IPSec-VPN技术在私有虚拟专网中的应用探讨[J].信息通信,2014(12):188-189.
