基于IPSec的虛擬專用網實現研究

陳紅軍，周青云，張有順

（1. 鄭州職業技術學院，鄭州 450121；2. 鄭州大學，鄭州 450052）

0 引言

在構建一個VPN 時，常遇到的問題是如何選擇VPN的類型?如何設計一個具體解決方案、如何配置VPN?目前，IPSec VPN和SSL VPN 是流行的兩類互聯網遠程接人技術，市場上常見的產品也都支持它們。這兩種VPN 技術具有類似的功能特性，所采用的加密原理及其加密操作都能夠使原始明文變成密文在網絡中傳輸。常用的加密方法有對稱密鑰加密方法和非對稱密鑰加密法兩種，其主要區別在于密鑰的使用方面[1]。SSLVPN是應用層加密，用戶使用性、安裝部署比較方便，但性能比較差；而IPSec VPN在應用范圍上面較廣，其安全性也較高。IPSec是一種能為任何形式的互聯網通信提供安全保障的協議套件，它的目標是用適當的安全性和算法保護所要傳輸的數據，所采用的密鑰管理協議(ISAKMP)能夠提供用于應用層服務的通用格式；互聯網密鑰交換(IKE)通過提供額外的特性和靈活性，對IPSec進行了增強，并使IPSec易于配置。為此，以IPSec VPN為例，討論其具體解決方案的設計及其配置實現。

1 IPSec VPN方案設計

一個IPSec VPN方案一般包括以下幾個方面的內容。

1）總部接人方案。總部是整個機構的核心，有許多重要信息通過內部網絡傳輸、共享；其內部網絡譬如可通過電信網絡直接接人互聯網。在總部內部網絡安裝VPN服務器，在網絡出口處配置具有VPN功能的路由器。

2）分支機構及合作伙伴接人方案。由于各地分支機構需要與總部進行大量的信息交換，為了保障總部與分支機構、總部與合作伙伴之間數據傳輸的安全性，可以根據各分支機構的具體情況，分別對路由器進行配置。通常，分支機構可以擁有對總部訪問的全部權限，而合作伙伴只能查看部分資源。

3）移動用戶的遠程安全接入方案。在外出差的移動用戶可以通過安裝在便攜式計算機上的客戶端撥號軟件，隨時通過接入當地ISP。便攜機接人互聯網后，使用撥號軟件與總部機構的安全網關建立起加密隧道，安全接人總部或各個分支機構。

一個典型VPN 網絡拓撲結構示意圖，如圖1所示。

圖1 VPN 網絡拓撲結構示意圖

在如圖1所示的VPN方案中，主要是實現機構總部路由器1與分支機構路由器2，以及合作伙伴路由器3之間的VPN互連；通過VPN服務器和客戶端的相關設置，可實現移動辦公用戶與總部服務器之間的VPN連接。實際中，機構總部下屬分支機構和合作伙伴數量可能較多，在拓撲結構示意圖中只選擇了部分分支機構作為示例說明。表1所列為其相關的端口及IP地址規劃設置。

表1 路由器端口及lP地址設置

2 路由器到路由器的IPSec配置

在路由器到路由器之間采用IPSec方式連接，需要配置一條虛擬隧道，使兩個網絡能夠通過一個安全鏈接，進行安全可靠的通信。以采用預共享密鑰的IPsec加密方法為例[2]，其IPsec VPN 配置過程為：

1）配置IKE策略：內容有hash算法、加密算法、DH 組、生存時間；

2）配置預共享密鑰：需要選擇IP地址或者主機名來標識該密鑰；

3）配置IPSec參數：包括配置本端標識，本端標識有IP地址和主機名：以及配置數據流(Access—list)，以便在加密映射中引用該數據流；

4）設置加密轉換規則，轉換規則是某個對等方能接受的一組IPSec協議和密碼學算法，雙方要保持一致；

5）配置加密映射：為IPSec創建加密映射條目，使得用于建立IPSec安全聯盟的各個部件協調工作；

6）應用(激活)加密映射；

7）查看VPN 的配置。IPsec VPN具體配置一般需要以下三大步驟[3]。

2.1 確定ISAKMP(IKE階段1)策略

確定ISAKMP就是在遠程網絡的邊界路由器1上，定義管理連接的IKE策略，主要包括確定密鑰分發方法、確定認證方法，為對等體確定ISAKMP策略。ISAKMP策略定義IKE協商過程中使用的安全參數組合。一組策略形成一個多策略的保護套件，使IPSec對等體能夠以最小配置建立IKE會話和SA。

router1 (config) # crypto isakmp enable //啟用IKE協商

routerl (config) # crypto isakmp idwntity address

routerl (config) # erypto isakmp policy 10 //建立IKE協商策略(10是策略編號)

routerl (config—isakmap) # encryption des 128 //使用DES加密方式，密鑰長度為128

routerl (eonfig—isakmap) # hash md5 //指定Hash算法為MD5(其他方式如SHA、RSA)

router1 (eonfig—isakmap) # authentication preshare //告訴路由器使用預共享密鑰進行身份認證

router1 (config—isakmap) # group 1 //指定密鑰位數，group 2安全性更高，但更耗CPU

router1 (config-isakmap) # exit

然后，配置預共享密鑰，并指定VPN另一端路由器的IP地址。

router1 (config) # crypto isakmp key thisisatest address 192. 168. 99. 30 //thisisatest為共享密鑰，192. 168. 99. 30為對等端的路由器2的IP地址。

2.2 定義IPSec (IKE階段2) 策略

IPSec策略定義了一個IPSec參數組合，用于IPSec協商過程。IPSec規劃也稱為1KE階段2，是在一臺路由器上配置IPSee應該完成的又一個重要步驟。主要配置以下內容。

1）配置IPSec參數。創建一條需要加密本地局域網流量的訪問表(ACL)，即定義哪些地址的報文加密或是不加密。例如，機構總部的IP地址范圍是202. 119. 128. o / 24，遠程用戶的IP地址范圍為192．168．99．0／24。

(4)缺乏培養新型人才的實踐環境。新時期新型人才的培養更加重視理論與實踐的結合，對于實踐環境的要求也更高。當前，很多高校的理論課程內實驗或設計在計算機機房或者實驗室就可以很好地完成。但是，這些實踐環境不能滿足企業的要求，需要和企業進行更為緊密的合作。

router1 (config) # ip access-list extended Local

router l (config-ext-nac1) # permit ip 192. 168.99. 0 0. 0. 0. 255 202. 119. 128. 0 0. 0. 0. 255

2）設置加密轉換規則。配置用于定義與對等端通信使用的安全協議和算法的變換集，可以定義認證使用AH，加密使用ESP或者是認證使用ESP，用戶必須至少定義一個安全協議。

routerl (config) # crypto ipsec transform-settest esp-3des esp-md5 //為ESP加密選擇3DES，為ESP認證選擇MD5作為Hash算法；test為傳輸模式的名稱。

3）配置加密映射。建立匹配訪問表與對等端交換集的crypto map(將IKE協商信息與IPSec參數整合，命名)，可以為每個映射表項定義多個對等端的IP地址，但每個匹配表項中只能定義一個變換集和一條訪問表。

router1 (eonfig) # crypto map testmap 1 ipsec-isakmp // testmap是erypto map的命名routerl(config-crypto-map)# set peer 192. 168. 2.1 //指定此VPN鏈路對等端的IP地址router 1 (config-crypto-map # set transform-set test //IPSec傳輸模式的名稱

router1 (config-crypto-map) # match address Local // Local是上面定義的ACL訪問表號。

4）應用(激活)加密映射，即把上一步創建的映射(erypto map的名字)應用到一個路由器端口上。一般應用在距目的路由器最近的端口上。

routerl (config-if) # crypto map testmap //testmap：crypto map的名字

2.3 查看VPN 的配置

配置IPSec策略之后，要檢查路由器的當前配置，以確定在已經配置的IPSec策略中，是否有一些策略有助于或干擾了規劃的IPSee策略配置。

router1 # show crypto ipsec sa //查看安全聯盟

router1 # show crypto map //顯示crypto map內配置的加密圖

routerl # show crypto isakmp policy //檢查默認的IKE階段1策略及任何配置的IKE階段1策略

按照上述步驟，在路由器2、路由器3中進行類似配置，就可以實現IPSec加密傳送。注意，在開始配置IPSec前，必須檢查對等體之間的基本連通性，確保網絡在沒有加密時也能工作。例如，可使用路由器的ping命令進行檢查。否則，一旦激活IPSec后，安全配置可能會掩蓋網絡的某些基本問題，致使難以處理基本連通性類故障。

3 Windows 2003下VPN 的配置與實現

Windows 2003 Server服務器的配置和客戶端撥號軟件的設置主要有以下兩項內容。

1）配置VPN服務器，使之能夠接受VPN接人。完成VPN服務器的配置后，還需要創建用戶、為用戶設置撥人權限，讓遠程計算機可以通過VPN 服務器訪問機構內部網絡。

2）配置VPN客戶端（如Windows XP）并建立客戶端與服務器問的VPN 鏈接。通常，在客戶端使用PPTP撥號連人VPN服務器。當VPN 客戶機通過PPTP撥號與VPN 服務器鏈接成功后，VPN 客戶機就成了VPN 服務器所在局域網的一個組成部分。在該局域網內，任意一臺計算機均可以按照權限訪問其他計算機上的軟硬件共享資源，操作方法也與普通局域網完全一樣。

VPN 技術能夠較好地實現遠程網絡訪問與管理等問題。基于IPsec的VPN，一般需要通過對雙方路由器的配置、Windows 2000 / 2003 Server服務器的配置，以及客戶端撥號軟件的設置之后，才能使得一個總部機構與分支機構或者是合作伙伴使用公網建立起虛擬隧道鏈接。有時，還可采用身份認證譬如采用智能卡等多種形式，進行遠程辦公室到本地辦公室以及移動用戶IPSec VPN撥人的身份認證，以進一步強化安全訪問控制。

[1] Hundley K. 前導工作室譯. Cisco訪問表配置指南[M]. 北京: 機械工業出版社, 2000.

[2] Antoon W Rufi著. 北京郵電大學Cisco網絡技術學院譯. 思科網絡技術學院教程[M]. 北京: 人民郵電出版社,2008.

[3] 王文. VPN 技術原理探析及實例[J] 軟件導刊, 2009,8(6): 134-136.

[4] 王二平, 王剛, 張興忠.支持多站點的網站內容管理系統開發案例[J]. 電腦開發與應用, 2009, 22(8): 15-16.