基于防火墻雙機(jī)熱備IPsec VPN穿越仿真實(shí)驗(yàn)設(shè)計(jì)

曾麗娟，楊平，徐涢基，吳雙

（南昌交通學(xué)院，江西 南昌 330100）

0 引 言

實(shí)驗(yàn)中總部防火墻工作在網(wǎng)絡(luò)層，上下行連接路由器，防火墻與路由器OSPF連通。總部防火墻處于主備備份工作模式的雙機(jī)熱備。利用防火墻的Tunnel接口與分部出口防火墻穿越總部NAT設(shè)備建立IPsec VPN隧道，PC1、PC2可以正常訪問公網(wǎng)，同時PC1與PC2之間通過IPsec VPN實(shí)現(xiàn)加密通信。當(dāng)設(shè)備或鏈路故障時可以自動進(jìn)行主備流量切換，不影響VPN隧道兩端用戶的正常通信。

1 IPsec和VPN的基本概念

IPsec（Internet Protocol Security）是一個保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族，其功能是對IP協(xié)議的分組進(jìn)行加密和認(rèn)證。IPsec安全框架是網(wǎng)絡(luò)層使用的一組安全I(xiàn)P協(xié)議集，提供訪問控制、對等體身份驗(yàn)證、無連接數(shù)據(jù)包完整性校驗(yàn)、數(shù)據(jù)加密與抗重放的安全通信服務(wù)。

VPN（Virtual Private Network）是在公共網(wǎng)絡(luò)中搭建專用的加密虛擬網(wǎng)絡(luò)進(jìn)行通信，主要采用隧道（Tunnel）、封裝（Encapsulation）、加密（Encryption）和解密（Decryption）、驗(yàn)證（Authentication）和授權(quán)（Authorization）四個方面的安全技術(shù)來保障數(shù)據(jù)傳輸?shù)耐暾浴?/p>

1.1 對IPsec VPN協(xié)議族的討論

IPsec協(xié)議族包含了3個最重要的協(xié)議[5，6]：認(rèn)證頭AH（Authentication Header）、密鑰交換協(xié)議IKE（Internet Key Exchange）以及封裝安全載荷ESP（Encapsulating Security Payload）。

1.2 IPsec VPN兩種通信協(xié)議——AH協(xié)議和ESP協(xié)議

AH協(xié)議是確認(rèn)所提供數(shù)據(jù)的完整性，但是不能對其進(jìn)行加密。ESP協(xié)議可以同時對數(shù)據(jù)的完整性進(jìn)行確認(rèn)和對數(shù)據(jù)進(jìn)行加密。AH協(xié)議會對整個IP報(bào)文進(jìn)行完整性檢驗(yàn)，穿越NAT設(shè)備后原HASH值被破壞，所以AH報(bào)文無法穿越NAT設(shè)備。ESP協(xié)議只對IP報(bào)文的數(shù)據(jù)部分進(jìn)行完整性檢驗(yàn)，IP報(bào)文在穿越NAT設(shè)備時，內(nèi)部源端口號和源IP地址已經(jīng)被加密無法被修改，不會造成HASH值改變導(dǎo)致IPsec SA建立失敗。……