基于IPSec-V PN解決跨地域公司內(nèi)網(wǎng)互訪網(wǎng)絡(luò)的設(shè)計

張焱，楊貴蓮，徐柯，向梅梅，韋珊

（大連民族大學(xué)，遼寧大連116600）

1 引言

當(dāng)今信息時代，企業(yè)往往會在全國各地設(shè)立分公司，企業(yè)內(nèi)部信息傳遞尤為重要，包括內(nèi)部資源共享，郵件往來和綜合信息應(yīng)用等都要求各站點(diǎn)之間能互通。傳統(tǒng)解決方法有以下兩種：第一種是在每兩個站點(diǎn)之間申請一條專線，兩個站點(diǎn)之間的業(yè)務(wù)往來是通過專線傳輸。但是這種方案有明顯的缺點(diǎn)，一是專線費(fèi)用較高，二是專線只適應(yīng)站點(diǎn)較少的情況，當(dāng)分公司站點(diǎn)偏多的情況下專線的數(shù)量幾何增長，造價太高。第二種解決方案是在每個站點(diǎn)之間使用VPN技術(shù)，在各站點(diǎn)之間建立邏輯的鏈路通道，通過動態(tài)路由協(xié)議把各內(nèi)部網(wǎng)絡(luò)和隧道鏈路互聯(lián)。該方案缺點(diǎn)是企業(yè)業(yè)務(wù)數(shù)據(jù)在互聯(lián)網(wǎng)上直接封裝IP包傳輸，信息在傳遞過程中可能會被竊取。通過本方案設(shè)計，各站點(diǎn)出口部署隧道分離技術(shù)，保證內(nèi)部網(wǎng)絡(luò)和外網(wǎng)的分離，通過IPSec-VPN技術(shù)在數(shù)據(jù)前面加上一個加密的頭部，這樣數(shù)據(jù)在傳遞過程中即使被竊取，也無法還原真實數(shù)據(jù)，保證了網(wǎng)路安全[1]。

2 總體設(shè)計

2.1 系統(tǒng)方案分析及方案邏輯拓?fù)?/h3>

使用GNS3網(wǎng)絡(luò)模擬器進(jìn)行模擬仿真。規(guī)劃所有設(shè)備的連接，配置IP地址，在各站點(diǎn)出口部署NAT技術(shù)，保證所有站點(diǎn)能訪問互聯(lián)網(wǎng)。在各站點(diǎn)之間部署隧道技術(shù)，建立各分支站點(diǎn)的邏輯鏈路通道。在全網(wǎng)部署OSPF路由協(xié)議，骨干區(qū)域部署在隧道鏈路上，其他分公司部署在非骨干區(qū)域。利用IPsec-VPN技術(shù)和隧道分離技術(shù)，使內(nèi)部網(wǎng)絡(luò)回訪流量通過隧道傳輸，訪問外網(wǎng)資源通過NAT技術(shù)正常訪問。綜合各種條件我們認(rèn)為此方案可行。

2.2 設(shè)計不足及解決方法

在使用GNS3模擬路由器功能的時候，會出現(xiàn)一些無法解釋的bug。這與軟件和模擬器設(shè)備使用的IOS版本有關(guān)?？梢允褂矛F(xiàn)在最新的eve模擬器來盡量避免類似問題的出現(xiàn)。在本項目中對數(shù)據(jù)使用了3DES進(jìn)行加密，但隨著新技術(shù)的不斷涌現(xiàn)，此算法已經(jīng)不能很好的保證數(shù)據(jù)安全，如果對數(shù)據(jù)加密有較高要求可以使用AES進(jìn)行加密。

3 相關(guān)技術(shù)功能及分析

3.1 模擬器介紹與選擇

網(wǎng)絡(luò)模擬器的出現(xiàn)有著跨時代的意義，只需要通過簡單地操作就可以設(shè)計出最優(yōu)的網(wǎng)絡(luò)架構(gòu)，然后在真機(jī)上部署，大大提高了效率和方案可行性?，F(xiàn)在可供使用的模擬器大概有Cisco Packet Tracer、GNS3、IOU、EVE-ng等。根據(jù)我們項目的實際情況我們選擇了使用難度中等的GNS3模擬器進(jìn)行項目的實現(xiàn)。

3.2 IPSec-VPN概述

VPN（Virtual Private Network）,即虛擬專用網(wǎng)絡(luò)，它可以通過特殊的加密通信協(xié)議在連接Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)絡(luò)之 間建立一條專有通信線路。IPSec-VPN指采用IPSec協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，IPSec全稱為Internet Protocol Security，用以提供公用及專用網(wǎng)絡(luò)端對端的加密和驗證服務(wù)。IPSec是一套比較完整且成體系的VPN技術(shù)，它規(guī)定了一系列協(xié)議標(biāo)準(zhǔn)。

3.3 NAT技術(shù)

NAT就是網(wǎng)絡(luò)地址轉(zhuǎn)換，在路由器上配置NAT服務(wù)，可以解決IP地址緊缺的問題,同時,也能將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離,為網(wǎng)絡(luò)提供一定的安全保障。NAT有三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT）和端口 NAT（PAT）?？梢愿鶕?jù)企業(yè)的大小和具體情況來選擇在出口路由器上部署。

3.4 OSPF路由協(xié)議

Open Shortest Path First即開放式最短路徑優(yōu)先，是一個內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），用于在單一自治系統(tǒng)內(nèi)決策路由,是對鏈路狀態(tài)路由協(xié)議的一種實現(xiàn)。使用SPF算法，將每臺路由器放在樹的根節(jié)點(diǎn)，并根據(jù)累計開銷計算到達(dá)每個目的地的最短路徑。OSPF分為OSPFv2和OSPFv3兩個版本,其中OSPFv2用在IPv4網(wǎng)絡(luò)，OSPFv3用在IPv6網(wǎng)絡(luò)。

4 相關(guān)原理及配置命令

4.1 NAT配置

在公司出口路由器上配置NAT。

R1(config)#interface f0/0

R1(config-if)#ip nat inside//f0/0設(shè)置為NAT的內(nèi)部出口

R1(config)#interface s1/1

R1(config-if)#ip nat outside//s1/1設(shè)置為NAT的外部出口

R1(config)#access-list 1 permit 10.1.1.0 0.0.0.255

//寫一條只允許10.1.1.0網(wǎng)段進(jìn)入的ACL

R1(config)#ip nat inside source list 1 interface s1/1 overload

//將ACL list 1運(yùn)用在s1/1上

在R2和R3上部署類似配置。

4.2 靜態(tài)路由及OSPF配置

在公司出口路由器上配置靜態(tài)路由。

R1(config)#ip route 20.1.2.0 255.255.255.0 10.1.2.2

//配置去往公司二的靜態(tài)路由

R1(config)#ip route 30.1.2.0 255.255.255.0 10.1.2.2

//配置去往公司三的靜態(tài)路由

根據(jù)實際情況對R2和R3部署類似配置。

全網(wǎng)配置OSPF路由協(xié)議。

R1(config)#router ospf 1//創(chuàng)建OSPF1

R1(config-router)#network 10.1.1.2 0.0.0.0 area 1

//宣告公司一的私網(wǎng)網(wǎng)段

4.3 創(chuàng)建隧道并將其宣告到OSPF中

R1(config)#interface tunnel 1//創(chuàng)建隧道1

R1(config-if)#tunnel source 10.1.2.1//隧道源地址

R1(config-if)#tunnel destination 20.1.2.1

//隧道目的地址，也就是R2的公網(wǎng)IP地址

R1(config-if)#ip address 1.1.1.1 255.255.255.0//隧道接口IP地址

R1(config)#interface tunnel 2

R1(config-if)#tunnel source 10.1.2.1

R1(config-if)#tunnel destination 30.1.2.1

R1(config-if)#ip address 2.2.2.1 255.255.255.0

將隧道IP地址宣告進(jìn)OSPF

R1(config)#router ospf 1

R1(config-router)#network 1.1.1.1 0.0.0.0 area 0 R1(config-router)#network 2.2.2.1 0.0.0.0 area 0

4.4 IPSec-VPN配置命令

一般而言，對等體之間建立IPSec-VPN連接需要3個步驟：①流量觸發(fā)IPSec。IPSec建立過程從對等體之間發(fā)送的流量開始，一旦有VPN流量經(jīng)過網(wǎng)關(guān)，連接過程便開始建立。②建立管理連接。IPSec使用ISAKMP／IKE階段一來構(gòu)建一個安全的管理連接，該管理連接只是一個準(zhǔn)備過程，不會用來傳輸實際數(shù)據(jù)。③建立數(shù)據(jù)連接。ISAKMP／IKE階段二用來完成該任務(wù)，數(shù)據(jù)連接用于傳輸真正的用戶數(shù)據(jù)。經(jīng)過IPSec建立的3個步驟后，VPN流量便可以按照協(xié)商的結(jié)果進(jìn)行加密和解密。

5 結(jié)論

IPSec-VPN技術(shù)在解決跨地域公司內(nèi)網(wǎng)互訪及相關(guān)需求中有著極為重要的作用與意義。IPSec協(xié)議能為所有基于IP的網(wǎng)絡(luò)應(yīng)用提供存取控制、數(shù)據(jù)源驗證、數(shù)據(jù)完整性以及保密性等安全服務(wù)，在當(dāng)前IPv4網(wǎng)絡(luò)中得到了廣泛應(yīng)用。項目設(shè)計主要功能都基本實現(xiàn)，后期會在提高可用性上不斷改進(jìn)，并在真機(jī)上部署實施使之能應(yīng)用到實際需求中。