基于IPSec的VPN在校園網的應用研究

◆秦 勇

基于IPSec的VPN在校園網的應用研究

◆秦 勇

（北京青年政治學院計算機系 北京 100102）

基于IPSec的VPN技術為用戶提供了安全的內網資源訪問，在校園網應用中可以搭建基于IPSec的站點到站點的VPN和L2TP VPN，通過防火墻調試和抓包分析工具WireShark獲得流量數據包，確定IPSec的工作原理和安全特性。

IPSEC；VPN；數據分析

0 前言

網絡技術的發展,促進了社會的發展,企業擴展和校園合并都把園區網的功能做了升級,企業員工不管在哪里都希望能夠使用企業的網絡資源,特別是校園網的資源，然而限于安全和成本的考慮,很多資源只能在園區網絡內供用戶訪問。虛擬專用網VPN技術的應用，使得園區網絡資源能夠安全的為企業員工提供服務。

1 虛擬專用網VPN技術

虛擬專用網VPN是指將物理上分布在不同地點的網絡通過公用骨干網聯接而成邏輯上的虛擬子網,從實際應用效果看，對用戶是完全透明的,就好像在實際的園區網絡里訪問內部資源一樣。

VPN屬于遠程訪問技術，簡單地說就是利用公用網絡架設專用網絡。傳統的企業網絡配置中，要進行遠程訪問，傳統的方法是租用DDN（數字數據網）專線或幀中繼，這樣的通訊方案必然導致高昂的網絡通訊和維護費用。對于移動用戶（移動辦公人員）與遠端個人用戶而言，一般會通過撥號線路（Internet）進入企業的局域網，但這樣必然帶來安全上的隱患。為了保障網絡數據的傳輸安全，VPN技術采用了認證、存取控制、機密性、數據完整性等措施，以保證信息在傳輸中不被偷看、篡改、復制。有了數據加密，就可以認為數據是在一條專用的數據鏈路上進行安全傳輸，就如同專門架設了一個專用網絡一樣，但實際上VPN使用的是互聯網上的公用鏈路，因此VPN稱為虛擬專用網絡，其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術，用戶無論是在外地出差還是在家中辦公，只要能上互聯網就能利用VPN訪問內網資源，這就是VPN在企業中應用得如此廣泛的原因。

2 IPSec概述

IPSec是IETF IPSec工作組定義的一套安全協議，在RFC2401中，對IPSec基本架構和基本部件做了定義，其中包括驗證報頭（AH）和封裝安全有效負載（ESP）的安全協議，密鑰管理（ISAKMP、IKE、SKEME）和用于加密和身份驗證的算法。

圖1 IPSec體系結構

IPSec體系結構如圖1所示。AH（認證頭）和ESP（封裝安全載荷）是IPSec體系中的主體，其中定義了協議的載荷頭格式以及它們所能提供的服務，另外還定義了數據報的處理規則，正是這兩個安全協議為數據報提供了網絡層的安全服務。兩個協議在處理數據報文時都需要根據確定的數據變換算法來對數據進行轉換，以確保數據的安全，其中包括算法、密鑰大小、算法程序以及算法專用的任何信息。IKE（Internet 密鑰交換）利用ISAKMP語言來定義密鑰交換，是對安全服務進行協商的手段。IKE交換的最終結果是一個通過驗證的密鑰以及建立在通信雙方同意基礎上的安全服務,即 “IPSec安全關聯”。SA（安全關聯）是一套專門將安全服務/密鑰和需要保護的通信數據聯系起來的方案，它保證了IPSec數據報封裝及提取的正確性，同時將遠程通信實體和要求交換密鑰的IPSec數據傳輸聯系起來。即SA解決的是如何保護通信數據、保護什么樣的通信數據以及由誰來實行保護的問題。策略是一個非常重要的但又尚未成為標準的組件,它決定兩個實體之間是否能夠通信；如果允許通信，又采用什么樣的數據處理算法。如果策略定義不當，可能導致雙方不能正常通信。與策略有關的問題分別是表示與實施。“表示”負責策略的定義、存儲和獲取，“實施”強調的則是策略在實際通信中的應用。

3 VPN在校園網中的應用

校園網是一種非常典型的園區網絡，教師和學生基本都在校園內部訪問校園網資源，網絡的安全是在隔離外界的基礎上進行保證的。隨著院校規模的擴大，院校的合并帶來了多地辦學的形態，教師和學生都面臨在非校園網的環境進行遠程訪問，外部的網絡應用給校園網絡帶來很多安全隱患，IPSec與VPN技術的應用為校園網的遠程互訪提供了良好的安全保障。

3.1 多校區的IPSec VPN的實現

在校園網的出口，一般都使用防火墻來與外網連接。防火墻可根據數據包的IP地址、訪問狀態、深入數據包內部檢查數據等工作，來有效防范外網對內網的攻擊，同時可以協同其他安全工具和軟件，構成IDS和IPS系統。如圖2所示。

圖2 校區間網絡拓撲

在進行兩個校區的IPSecVPN應用時，要進行合理的內網地址規劃。信息中心的人員在進行地址應用時，兩個校區要通過的數據網段不能相同，這個是在基本的拓撲概念中要注意的，對于數據流的保護，在進行應用時必須把特定的保護流量規劃出來，通過訪問控制列表來做限定。

IPSec VPN實現的具體步驟是，由于校園網訪問外部網絡通常使用NAT（網絡地址轉換）技術，在應用VPN時，需要考慮把其中的流量進行NAT的穿越處理，當VPN設備發現數據需要被保護時，啟用安全協議IPSec，就是對數據進行加密、認證處理，密鑰管理協議階段1驗證IPSec對等方，在該階段中協商IKE安全關聯，為階段2中的協商IPSec安全關聯創建一條安全的通信信道；密鑰管理協議階段2協商IPSec安全關聯參數，創建的安全參數則用來保護端點之間交換的信息和數據，在對等方中創建匹配IPSec安全關聯；數據傳輸發生存儲在安全關聯數據庫中的密鑰和基于IPSec參數的IPSec對等方；通過超時發生或刪除安全關聯終止IPSec隧道。

思科設備的穩定性是業界比較知名的，一般處理過腳本的應用后，對于相關技術的掌握也就比較容易了，以思科ASA5520為例，使用ASA8.4版本系統進行IPSecVPN應用。

首先進行NAT和NAT穿越的應用nat（inside，outside）source static INSIDE- ADDRESS INSIDE- ADDRESS destination static VPN-ADDRESS VPN-ADDRESS，因為IPSecVPN應用時，需要在校園網的網絡地址上封裝IPSec協議及隧道地址，所以對于NAT來說必須進行穿越應用，即不讓這些VPN流量進行轉換，所以需要通過NAT配置旁路掉VPN感興趣流。

其次，進行IPSec安全提議應用，把IPSec應用定義在校園網的防火墻的外網crypto ikev1 enableoutside，在安全提議中指明加密和認證的算法，如3des、md5、sha等，為后續的第二階段的IPsec協商做準備，一般使用預共享密鑰方式authentication pre-share。

再次，進行IPSec策略的協商應用，在這個階段定義安全流應用的隧道類型tunnel-group OUT-ADDRESS type ipsec-l2l，制定安全訪問的預共享密鑰，并且進行第二階段的應用crypto ipsec ikev1transform-set ESP-3DES-SHA esp-3des esp-sha-hmac，在這里定義好VPN的應用隧道，即封裝外網端口地址，包括本地和外網的應用crypto map TEST 10 set peer 外網IP。

最后，把上面的IPSec安全關聯應用在防火墻的外網接口上，在兩個校區的外網應用中藥進行對稱應用，即雙方的安全流量要互訪，并且使用相同的共享秘鑰。

3.2 移動用戶IPSec VPN的應用

對于校園網的遠程用戶一般使用L2TP over IPSec的方式進行訪問，對于教師和學生來說，使用的外網地址是不固定的，所以在建立IPSec通道時不能象校區之間通過特定的設備來實現預共享密鑰的訪問，只能使用野蠻模式來進行IPSec VPN的應用，如圖3所示。

圖3 L2TP over IPSec VPN

用戶需要在移動終端上使用相應的撥號軟件，實現與校園網防火墻（VPN網關）通信。當撥號成功以后，VPN網關會給移動終端分配一個IP地址，這時候他們之間就可以通信了，這時移動終端用戶就是L2TP應用中的LAC（L2TP Access Concen trator），校園網防火墻就是LNS（L2TP Network Server），IPSec隧道在LAC與LNS之間建立，保護L2TP隧道數據流，L2TP隧道封裝包被封裝在IPSec隧道封裝包之中。在整個應用中，IP Sec協議對數據流提供了很好的保護，使得校園網與移動用戶之間處在安全的應用框架內。

3.3 IPSec數據包分析

多校區間IPSec VPN應用成功以后，可以從設備上可以進行功能應用查看，通過使用命令可以查看到IPSec SA的信息，如圖4所示。

圖4 IPSec SA

通過圖示可以看到數據流的私網地址是反應不出來的，都被應用在外網應用的隧道中，數據流被ESP協議進行保護，VPN網關上的進站流量和出站流量在兩個校區站點設備上是互相對應的，并且應用加密算法、認證算法都顯示出來，最重要的鏈路的預共享密鑰隱含在內部起作用。

使用Wireshark捕捉VPN網關的外部流量時，如圖5，可以看到設備為內網流量建立了SA（Security Association），并且顯示使用了身份驗證保護方式為Main Mode，這是IKE協商的第一階段，使用抓包分析軟件無法獲取流量應用的預共享密鑰。

圖5 Wirshark獲取SA數據

4 結束語

IPSec與VPN技術的拓展了校園網的應用范圍，為教師和學生訪問校園網資源提供了方便，保障了數據傳輸的安全，節省了網絡應用成本。然而，IPSec VPN的應用局限在站到到站點的訪問，特別是L2TP over IPSec VPN對用戶的應用訪問要求比較高，這就需要校園網的管理應用人員要對數據流進行良好的規劃，才能把IPSec VPN技術進行最大化的推廣。

[1]百度百科.虛擬專用網[J/OL].http://baike.baidu.com. [2]波拉普拉哥達.IPSec VPN設計[M].人民郵電出版社，2 012.

[3]陸敏鋒，平玲娣，李 卓.基于IPSec 網絡協議的VPN測試系統[J].計算機工程，2010.

[4]王鳳領.基于IPSec 的VPN 技術的應用研究[J].計算機技術與發展，2012.

[5]H3C通信技術有限公司.路由交換技術（第4卷）[M].清華大學出版社，2012.

[6]51CTO技術論壇.gns3模擬ASA8.4.2和ASA8.0.2之間做ipsec-l2lvpn，新老版本配置[J/OL].http://bbs.51cto.com/thr ead-1104422-1.html.

[7]百度文庫.l2tp over ipsec隧道[J/OL].http:// http://wen ku.baidu.com/.

[8]約拉姆·奧扎赫（Yoram Orzach），古宏霞，孫余強.Wi reshark網絡分析實戰[M].人民郵電出版社，2015.