基于IPSec—VPN解決跨地域公司內(nèi)網(wǎng)互訪網(wǎng)絡的設計

張焱 楊貴蓮 徐柯 向梅梅 韋珊

【摘 要】論文介紹了VPN及IPSec-VPN的定義和應用，并提出了一種基于IPSec-VPN技術(shù)解決跨地域公司內(nèi)網(wǎng)互訪網(wǎng)絡的設計和解決方案。使用GNS3模擬器設計網(wǎng)絡拓撲進行仿真實驗，并在全網(wǎng)運行OSPF路由協(xié)議。通過介紹和分析IPSec-VPN的關(guān)鍵技術(shù)和安全協(xié)議，以及比較詳細的配置命令介紹，可為企業(yè)部署IPSec-VPN提供參考和借鑒。

【Abstract】The paper introduces the definition and application of VPN and IPSec - VPN ， and puts forward an design and solution sceme to the intranet exchange visits of cross-regional corporate based on the IPSec-VPN technology. Using the GNS3 imitator to design the network topology for simulation experiment，and implementing the OSPF routing protocol across the network.By introducing and analyzing the key technologies and security protocols of IPSec-VPN， as well as the relatively detailed introduction of configuration commands，the references for enterprises to deploy IPSec-VPN can be provided.

【關(guān)鍵詞】VPN；IPSec-VPN；網(wǎng)絡安全；GNS3；企業(yè)網(wǎng)絡

【Keywords】VPN；IPSec-VPN；network security ；GNS3；enterprise network

【中圖分類號】TN915 【文獻標志碼】A 【文章編號】1673-1069（2018）05-0118-02

1 引言

當今信息時代，企業(yè)往往會在全國各地設立分公司，企業(yè)內(nèi)部信息傳遞尤為重要，包括內(nèi)部資源共享，郵件往來和綜合信息應用等都要求各站點之間能互通。傳統(tǒng)解決方法有以下兩種：第一種是在每兩個站點之間申請一條專線，兩個站點之間的業(yè)務往來是通過專線傳輸。但是這種方案有明顯的缺點，一是專線費用較高，二是專線只適應站點較少的情況，當分公司站點偏多的情況下專線的數(shù)量幾何增長，造價太高。第二種解決方案是在每個站點之間使用VPN技術(shù)，在各站點之間建立邏輯的鏈路通道，通過動態(tài)路由協(xié)議把各內(nèi)部網(wǎng)絡和隧道鏈路互聯(lián)。該方案缺點是企業(yè)業(yè)務數(shù)據(jù)在互聯(lián)網(wǎng)上直接封裝IP包傳輸，信息在傳遞過程中可能會被竊取。通過本方案設計，各站點出口部署隧道分離技術(shù)，保證內(nèi)部網(wǎng)絡和外網(wǎng)的分離，通過IPSec-VPN技術(shù)在數(shù)據(jù)前面加上一個加密的頭部，這樣數(shù)據(jù)在傳遞過程中即使被竊取，也無法還原真實數(shù)據(jù)，保證了網(wǎng)路安全[1]。

2 總體設計

2.1 系統(tǒng)方案分析及方案邏輯拓撲

使用GNS3網(wǎng)絡模擬器進行模擬仿真。規(guī)劃所有設備的連接，配置IP地址，在各站點出口部署NAT技術(shù)，保證所有站點能訪問互聯(lián)網(wǎng)。在各站點之間部署隧道技術(shù)，建立各分支站點的邏輯鏈路通道。在全網(wǎng)部署OSPF路由協(xié)議，骨干區(qū)域部署在隧道鏈路上，其他分公司部署在非骨干區(qū)域。利用IPsec-VPN技術(shù)和隧道分離技術(shù)，使內(nèi)部網(wǎng)絡回訪流量通過隧道傳輸，訪問外網(wǎng)資源通過NAT技術(shù)正常訪問。綜合各種條件我們認為此方案可行。

2.2 設計不足及解決方法

在使用GNS3模擬路由器功能的時候，會出現(xiàn)一些無法解釋的bug。這與軟件和模擬器設備使用的IOS版本有關(guān)?？梢允褂矛F(xiàn)在最新的eve模擬器來盡量避免類似問題的出現(xiàn)。在本項目中對數(shù)據(jù)使用了3DES進行加密，但隨著新技術(shù)的不斷涌現(xiàn)，此算法已經(jīng)不能很好的保證數(shù)據(jù)安全，如果對數(shù)據(jù)加密有較高要求可以使用AES進行加密。

3 相關(guān)技術(shù)功能及分析

3.1 模擬器介紹與選擇

網(wǎng)絡模擬器的出現(xiàn)有著跨時代的意義，只需要通過簡單地操作就可以設計出最優(yōu)的網(wǎng)絡架構(gòu)，然后在真機上部署，大大提高了效率和方案可行性。現(xiàn)在可供使用的模擬器大概有Cisco Packet Tracer 、GNS3、IOU、EVE-ng等。根據(jù)我們項目的實際情況我們選擇了使用難度中等的GNS3模擬器進行項目的實現(xiàn)。

3.2 IPSec-VPN概述

VPN（Virtual Private Network），即虛擬專用網(wǎng)絡，它可以通過特殊的加密通信協(xié)議在連接Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)絡之 間建立一條專有通信線路。IPSec-VPN 指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，IPSec全稱為Internet Protocol Security，用以提供公用及專用網(wǎng)絡端對端的加密和驗證服務。IPSec是一套比較完整且成體系的VPN技術(shù)，它規(guī)定了一系列協(xié)議標準。

3.3 NAT技術(shù)

NAT就是網(wǎng)絡地址轉(zhuǎn)換，在路由器上配置NAT服務，可以解決IP地址緊缺的問題，同時，也能將內(nèi)部網(wǎng)絡和外部網(wǎng)絡隔離，為網(wǎng)絡提供一定的安全保障。NAT有三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。可以根據(jù)企業(yè)的大小和具體情況來選擇在出口路由器上部署。

3.4 OSPF路由協(xié)議

Open Shortest Path First即開放式最短路徑優(yōu)先，是一個內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），用于在單一自治系統(tǒng)內(nèi)決策路由，是對鏈路狀態(tài)路由協(xié)議的一種實現(xiàn)。使用SPF算法，將每臺路由器放在樹的根節(jié)點，并根據(jù)累計開銷計算到達每個目的地的最短路徑。OSPF分為OSPFv2和OSPFv3兩個版本，其中OSPFv2用在IPv4網(wǎng)絡，OSPFv3用在IPv6網(wǎng)絡。

4 相關(guān)原理及配置命令

4.1 NAT配置

在公司出口路由器上配置NAT。

R1（config）#interface f0/0

R1（config-if）#ip nat inside//f0/0設置為NAT的內(nèi)部出口

R1（config）#interface s1/1

R1（config-if）#ip nat outside//s1/1設置為NAT的外部出口

R1（config）#access-list 1 permit 10.1.1.0 0.0.0.255

//寫一條只允許10.1.1.0網(wǎng)段進入的ACL

R1（config）#ip nat inside source list 1 interface s1/1 overload

//將ACL list 1 運用在s1/1上

在R2和R3上部署類似配置。

4.2 靜態(tài)路由及OSPF配置

在公司出口路由器上配置靜態(tài)路由。

R1（config）#ip route 20.1.2.0 255.255.255.0 10.1.2.2

//配置去往公司二的靜態(tài)路由

R1（config）#ip route 30.1.2.0 255.255.255.0 10.1.2.2

//配置去往公司三的靜態(tài)路由

根據(jù)實際情況對R2和R3部署類似配置。

全網(wǎng)配置OSPF路由協(xié)議。

R1（config）#router ospf 1//創(chuàng)建OSPF1

R1（config-router）#network 10.1.1.2 0.0.0.0 area 1

//宣告公司一的私網(wǎng)網(wǎng)段

4.3 創(chuàng)建隧道并將其宣告到OSPF中

R1（config）#interface tunnel 1//創(chuàng)建隧道1

R1（config-if）#tunnel source 10.1.2.1//隧道源地址

R1（config-if）#tunnel destination 20.1.2.1

//隧道目的地址，也就是R2的公網(wǎng)IP地址

R1（config-if）#ip address 1.1.1.1 255.255.255.0//隧道接口IP地址

R1（config）#interface tunnel 2

R1（config-if）#tunnel source 10.1.2.1

R1（config-if）#tunnel destination 30.1.2.1

R1（config-if）#ip address 2.2.2.1 255.255.255.0

將隧道IP地址宣告進OSPF

R1（config）#router ospf 1

R1（config-router）#network 1.1.1.1 0.0.0.0 area 0

R1（config-router）#network 2.2.2.1 0.0.0.0 area 0

4.4 IPSec-VPN配置命令

一般而言，對等體之間建立IPSec-VPN連接需要3個步驟：①流量觸發(fā)IPSec。IPSec建立過程從對等體之間發(fā)送的流量開始，一旦有VPN流量經(jīng)過網(wǎng)關(guān)，連接過程便開始建立。②建立管理連接。IPSec使用ISAKMP/IKE 階段一來構(gòu)建一個安全的管理連接，該管理連接只是一個準備過程，不會用來傳輸實際數(shù)據(jù)。③建立數(shù)據(jù)連接。ISAKMP/IKE 階段二用來完成該任務，數(shù)據(jù)連接用于傳輸真正的用戶數(shù)據(jù)。經(jīng)過IPSec建立的3個步驟后，VPN 流量便可以按照協(xié)商的結(jié)果進行加密和解密。

5 結(jié)論

IPSec-VPN技術(shù)在解決跨地域公司內(nèi)網(wǎng)互訪及相關(guān)需求中有著極為重要的作用與意義。IPSec協(xié)議能為所有基于IP的網(wǎng)絡應用提供存取控制、數(shù)據(jù)源驗證、數(shù)據(jù)完整性以及保密性等安全服務，在當前IPv4網(wǎng)絡中得到了廣泛應用。項目設計主要功能都基本實現(xiàn)，后期會在提高可用性上不斷改進，并在真機上部署實施使之能應用到實際需求中。

【參考文獻】

【1】肖蔚琪.IPSec-VPN技術(shù)在私有虛擬專網(wǎng)中的應用探討[J].信息通信，2014（12）：188-189.