基于IPsec的站點間VPN部署方法

李春平 張淑榮 王 東 韋立梅 肖亞光

（廣東白云學院，廣東 廣州 510000）

1 引言

疫情期間，網(wǎng)上辦公、居家辦公成為常態(tài)。如何在現(xiàn)有基礎設施上解決用戶個人與公司、分支機構(gòu)與總部之間的通信，同時保證安全性和可靠性，是企業(yè)網(wǎng)絡工程師們需要解決的問題。一方面，用戶需要通過遠程方式隨時隨地訪問公司網(wǎng)絡，同時需要保證通信安全。另一方面，公司總部也需要和分支機構(gòu)通信，而總部和分支機構(gòu)可能相距遙遠，不在同一個地理位置。目前比較經(jīng)濟的接入方式是通過互聯(lián)網(wǎng)。由于互聯(lián)網(wǎng)是公共開放的平臺，如果沒有相應的安全保護機制，將導致數(shù)據(jù)被竊取、篡改或冒充等安全問題[1]。VPN是解決此類問題最常用的方案。在VPN的實施中，遠程訪問部署方式用來解決單個用戶訪問公司網(wǎng)絡的問題，而站點間的VPN通常用來解決總部和分支機構(gòu)之間的安全通信問題。

2 IPsec基本原理

2.1 VPN實施方式

VPN實施通常有兩種方式，一種是遠程訪問連接方式，一種是總部與分支機構(gòu)之間的連接。遠程訪問方式既可以采用安裝VPN客戶端的方式，也可以采用無客戶端的SSL方式進行。總部與分支機構(gòu)之間的安全通信，可以采用基于IPsec的站點間VPN實現(xiàn)[2]。VPN實施方式示意圖如圖1所示。

圖1 VPN示意圖

2.2 IPsec封裝格式

IPsec可以在互聯(lián)網(wǎng)中提供端到端的數(shù)據(jù)報通信安全，通過加密和認證方式保護IP數(shù)據(jù)報及其封裝的數(shù)據(jù)。IPsec是一個框架協(xié)議，包括AH、ESP、SA、IKE等協(xié)議[3]。

IPsec可以采用直接傳輸和隧道封裝兩種模式工作，在通過互聯(lián)網(wǎng)承載的站點間VPN中通常采用隧道模式。隧道模式是將原始IP數(shù)據(jù)報作為有效載荷封裝在IPsec報頭里，封裝格式如圖2所示。

圖2 IPsec隧道模式封裝格式

3 部署方法

當組織架構(gòu)位于不同地理位置，例如總部和分支機構(gòu)之間的網(wǎng)絡連接和保密通信時，可以在公司總部和分支機構(gòu)之間采用站點間的VPN部署方式。站點間IPsec采用隧道模式，通過公共開放的互聯(lián)網(wǎng)傳輸數(shù)據(jù)，利用現(xiàn)有資源節(jié)約成本，同時通過IPsec加密和認證實現(xiàn)站點間的安全通信。采用Packet Tracer進行仿真，拓撲如圖3所示[4]。

圖3 VPN Tunnel拓撲圖

拓撲圖中的IP地址規(guī)劃如表1所示。

3.1 基礎配置

按照表1中的地址規(guī)劃，分別在R1-LEE、R2-LEE、R3-LEE路由器設備上配置好接口IP地址，并配置好路由，保證網(wǎng)絡連通。在實施路由時，可以采用動態(tài)路由的方式進行部署，采用動態(tài)路由的好處是可以自動適應網(wǎng)絡拓撲的變化，自動更新和維護路由，缺點是占用路由器資源，另外在進行路由更新時容易產(chǎn)生安全性問題。靜態(tài)路由占用資源較少，安全性也較高。因此這里路由均采用靜態(tài)路由，方便檢驗測試。

表1 IP地址規(guī)劃

為了有效節(jié)約IP地址資源，在串行鏈路1和串行鏈路2中，均采用30位的地址掩碼。由于是點對點鏈路，因此鏈路中端點只需要2個IP地址即可，30位掩碼剛好滿足。

（1）路由配置

R1-LEE上的靜態(tài)路由配置：

R1-LEE(config)#ip route 0.0.0.0 0.0.0.0 172.22.69.2

R2-LEE上的靜態(tài)路由配置：

R2-LEE(config)#ip route 0.0.0.0 0.0.0.0 172.22.70.2

為了實現(xiàn)VPN，檢驗網(wǎng)絡通信是否由VPN工作實現(xiàn)的安全保密通信，在本實例中，R3-LEE路由器并不知道外部網(wǎng)絡情況，因此不必在上面部署路由。這樣，R1-LEE和R2-LEE路由器上連接的內(nèi)部網(wǎng)絡對R3-LEE路由器來說不可見，PC1到PC2的通信在VPN隧道內(nèi)進行。

（2）許可證檢查

在使用模擬器進行仿真時，需要注意路由器設備系統(tǒng)是否安裝有支持DES、3DES、AES等加密解密的模塊，這些模塊需要許可證支持。在R1-LEE、R2-LEE上分別檢查是否安裝有securityk9許可證，可通過show version命令檢查安全技術包許可證信息。如果沒有，則需要通過下列命令進行安裝。

R1-LEE(config)# license boot module c1900 technologypackage securityk9

R2-LEE(config)# license boot module c1900 technologypackage securityk9

安裝完畢后需要保存并重啟。

（3）定義需要關注的流量

為了防止不必要的流量通過VPN，減少帶寬占用以及非授權訪問，需要定義需要關注的流量，即允許授權的流量通過VPN隧道。通過在全局模式下配置訪問控制列表來定義需要關注的流量，這里需要關注的流量指來自內(nèi)部網(wǎng)絡192.168.69.0和192.168.70.0的流量。使用擴展的訪問控制列表，編號采用111。

R2- LEE(config)# access- list 111 permit ip 192.168.70.0 0.0.0.255 192.168.69.0 0.0.0.255

注意R2-LEE上的流量方向和R1-LEE上的流量方向正好相反。

3.2 ISAKMP策略部署

IPsec工作過程可分為兩個階段：第一階段主要是IKE的ISAKMP協(xié)商[5]，主要包括加密策略定義、密鑰算法、認證方式、密鑰分配等策略；第二階段是IKE的IPsec策略。

（1）R1-LEE的配置

在R1-LEE上配置IKE第1階段ISAKMP策略。參照表2的配置參數(shù)，加密ISAKMP配置為策略10，加密算法采用增強的AES算法，密鑰長度為256，可增強安全性，身份驗證采用預共享密鑰，密鑰設置為sitevpn99，采用DH密鑰分配方法[6]，DH組設置為5。

表2 IPsec第1階段策略參數(shù)

R1-LEE(config)# crypto isakmp policy 10 //定義isakmp策略

①采用拜安康血糖儀型血糖儀，分別于餐前、餐后2 h采指血測患者血糖并記錄；采用乳膠免疫凝集法測定HbA1c；②心理狀態(tài)采用漢密頓焦慮量表（HAMA）、漢密頓抑郁量表（HAMD）評定患者心理狀態(tài),得分越低說明心理狀態(tài)越好，反之得分越高，說明心理狀態(tài)差。③觀察并記錄兩組并發(fā)癥發(fā)生率。

R1-LEE(config-isakmp)# encryption aes 256 //定義加密算法

R1-LEE(config-isakmp)# authentication pre-share //定義預共享密鑰身份驗證方式

R1-LEE(config-isakmp)# group 5 //DH組號設置為5

R1-LEE(config-isakmp)# exit

R1- LEE(config)# crypto isakmp key sitevpn99 address 172.22.70.1 //設置密鑰及對等體IP地址

（2）R2-LEE的配置

R1-LEE上配置好ISAKMP屬性后，需要在VPN對等體上進行鏡像，即在R2-LEE上配置同樣的ISAKMP策略參數(shù)。R2-LEE上配置IKE第1階段ISAKMP參數(shù)如下，注意對等體IP地址需要設置為對方的IP地址。

R2-LEE(config)# crypto isakmp policy 10 //定義isakmp策略

R2-LEE(config-isakmp)# encryption aes 256 //定義加密算法

R2-LEE(config-isakmp)# authentication pre-share //定義預共享密鑰身份驗證方式

R2-LEE(config-isakmp)# group 5 //DH組號設置為5

R2-LEE(config-isakmp)# exit

R2- LEE(config)# crypto isakmp key sitevpn99 address 172.22.69.1 //設置密鑰及對等體IP地址

3.3 IPsec策略部署

IKE第二階段的IPsec策略主要包括定義轉(zhuǎn)換集、數(shù)據(jù)加密、完整性驗證、對等體設置、加密映射等。

（1）R1-LEE的配置

根據(jù)表3，配置IPsec第2階段的策略參數(shù)。在R1-LEE上配置IKE第2階段IPsec策略，創(chuàng)建轉(zhuǎn)換集SITE-VPNSET，采用esp-aes 256加密數(shù)據(jù)，使用esp-sha-hmac[7]進行完整性檢查。

表3 IPsec第2階段的策略參數(shù)

R1-LEE(config)# crypto ipsec transform-set SITE-VPNSET esp-aes 256 esp-sha-hmac

創(chuàng)建加密映射SITE-VPN-MAP，序號為10，定義為ipsecisakmp映射，將第2階段所有策略參數(shù)綁定在一起。

R1-LEE(config)# crypto map SITE-VPN-MAP 10 ipsecisakmp //定義加密映射集

R1-LEE(config-crypto-map)# set peer 172.22.70.1 //配置對等體IP地址

R1- LEE(config- crypto- map)# set transform- set SITEVPN-SET //配置轉(zhuǎn)換集

R1-LEE(config-crypto-map)# match address 111 //綁定ACL定義的流量

R1-LEE(config-crypto-map)# exit

在傳出接口上配置加密映射。將SITE-VPN-MAP加密映射綁定到傳出串行接口s0/0/0。

R1-LEE(config)# interface s0/0/0

R1-LEE(config-if)# crypto map SITE-VPN-MAP //綁定加密映射

（2）R2-LEE的配置

和第一階段一樣，同樣需要設置好VPN鏡像。R2-LEE的配置可參照R1-LEE進行，在R2-LEE上配置IKE第2階段IPsec策略如下：

R2-LEE(config)# crypto ipsec transform-set SITE-VPNSET esp-aes 256 esp-sha-hmac //創(chuàng)建轉(zhuǎn)換集SITE-VPN-SET

R2-LEE(config)# crypto map SITE-VPN-MAP 10 ipsecisakmp //定義加密映射集

R2-LEE(config-crypto-map)# set peer 172.22.69.1 //配置對等體IP地址

R2- LEE(config- crypto- map)# set transform- set SITEVPN-SET //配置轉(zhuǎn)換集

R2-LEE(config-crypto-map)# match address 111 //綁定ACL定義的流量

R2-LEE(config-crypto-map)# exit

在傳出接口上配置加密映射。將SITE-VPN-MAP加密映射綁定到傳出串行接口s0/0/1。

R2-LEE(config)# interface s0/0/1

R2-LEE(config-if)# crypto map SITE-VPN-MAP //綁定加密映射

4 驗證與測試

VPN是否正常工作，可通過對無關注流量時的隧道情況和有關注流量時的隧道情況進行檢驗。在沒有流量通過VPN隧道時，VPN中封裝、解封、加密、解密的數(shù)據(jù)流量應為空。而在有關注流量通過VPN隧道時，可以通過VPN中封裝、解封、加密、解密的數(shù)據(jù)流量和實際發(fā)送的數(shù)據(jù)包是否匹配，來檢驗VPN的工作狀態(tài)是否正常。

（1）無關注流量時隧道情況

檢驗需要關注的流量之前的隧道。在R1-LEE上發(fā)出show crypto ipsec sa命令以檢查IPsec工作狀況。

R1-LEE#show crypto ipsec sa

interface: Serial0/0/0

Crypto map tag: SITE-VPN-MAP, local addr 172.22.69.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.69.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.70.0/255.255.255.0/0/0)

current_peer 172.22.70.1 port 500

PERMIT, flags={origin_is_acl,}

local crypto endpt.: 172.22.69.1, remote crypto endpt.:172.22.70.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0

current outbound spi: 0x0(0)

從以上顯示結(jié)果可以看出，在沒有發(fā)出IPsec VPN關注的流量之前，所有封裝、加密、解封和解密的數(shù)據(jù)包數(shù)量均為0。

（2）有關注流量時隧道情況

可以通過從PC1對PC2執(zhí)行ping操作創(chuàng)建需要關注的流量。執(zhí)行ping操作后，流量將通過隧道進行安全傳輸。檢驗需要關注的流量之后的隧道。在R1-LEE上，再次發(fā)出show crypto ipsec sa命令，檢驗隧道工作狀況。

R1-LEE#show crypto ipsec sa

interface: Serial0/0/0

Crypto map tag: SITE-VPN-MAP, local addr 172.22.69.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.69.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.70.0/255.255.255.0/0/0)

current_peer 172.22.70.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 0

#pkts decaps: 6, #pkts decrypt: 6, #pkts verify: 0

local crypto endpt.: 172.22.69.1, remote crypto endpt.:172.22.70.1

current outbound spi: 0x1ECE37AE(516831150)

inbound esp sas:

spi: 0x9E85E261(2659574369)

conn id: 2000, flow_id: FPGA:1, crypto map: SITE-VPNMAP

sa timing: remaining key lifetime (k/sec): (4525504/3565)

IV size: 16 bytes

replay detection support: N

Status: ACTIVE

outbound esp sas:

conn id: 2001, flow_id: FPGA:1, crypto map: SITE-VPNMAP

sa timing: remaining key lifetime (k/sec): (4525504/3565)

IV size: 16 bytes

replay detection support: N

Status: ACTIVE

從以上顯示結(jié)果可以看出，隧道狀態(tài)已變?yōu)榧せ顮顟B(tài)，封裝、加密、解封和解密的數(shù)據(jù)包與實際情況是一致的，表明隧道正在工作。通過數(shù)據(jù)包分析工具[8]進一步研究，不難發(fā)現(xiàn)，數(shù)據(jù)包有效載荷部分已經(jīng)被加密，在沒有獲得解密密鑰的情況下，無法讀出密文所對應的明文，從而保證了數(shù)據(jù)通信的保密性。由此可見，采用基于IPsec的站點間的VPN部署是正確的，工作狀態(tài)正常。

5 結(jié)語

采用基于IPsec的框架協(xié)議，實現(xiàn)站點間的VPN通信。在部署模型中，將復雜的物理網(wǎng)絡抽象為簡單直觀的邏輯拓撲，根據(jù)IP地址規(guī)劃和定義好的IKE策略屬性，對網(wǎng)絡中的VPN設備進行部署。將通信實體雙方身份驗證、密鑰參數(shù)、數(shù)據(jù)內(nèi)容加密、完整性檢查等屬性封裝在加密映射策略中，可以簡化VPN通信中對等實體和鏡像配置過程，保證VPN數(shù)據(jù)通信的可用性、可靠性和安全性。