摘要：實(shí)現(xiàn)全球性的計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)是世界發(fā)展的大趨勢(shì)。同屬一家學(xué)校但分布在不同地理位置上的多個(gè)校區(qū)，它們存在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)通信的需要。IPSEC技術(shù)可以通過(guò)跨越Internet組建校區(qū)之間的VPN虛擬專用鏈路，實(shí)現(xiàn)在不同局域網(wǎng)間的安全而又有效的通信；是時(shí)下最為先進(jìn)的、也是最為強(qiáng)大的計(jì)算機(jī)網(wǎng)絡(luò)安全通信解決方案。與傳統(tǒng)的專線網(wǎng)絡(luò)相比，IPSEC VPN技術(shù)具有安全、高效、成本低的優(yōu)點(diǎn)。

關(guān)鍵詞：IPSEC；VPN

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）02-0236-04

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展使得人們步入了信息化的時(shí)代。在社會(huì)生活的各個(gè)環(huán)節(jié)，計(jì)算機(jī)網(wǎng)絡(luò)起著越來(lái)越重要的作用。它縮短了現(xiàn)實(shí)的距離，并促使人們進(jìn)行資源優(yōu)化以提高工作效率和節(jié)約成本，這對(duì)社會(huì)發(fā)展和個(gè)人生活帶來(lái)日益廣泛和深遠(yuǎn)的影響。

1 需求分析

我校由于合并辦學(xué)等原因，擁有兩個(gè)校區(qū)：主校區(qū)和分校區(qū)，兩個(gè)校區(qū)距離較遠(yuǎn)。由于歷史原因，兩個(gè)校區(qū)已經(jīng)分別建設(shè)自己的內(nèi)部網(wǎng)絡(luò)，并實(shí)現(xiàn)Internet接入，但是校區(qū)之間沒(méi)有建立網(wǎng)絡(luò)互聯(lián)。按照上級(jí)信息化建設(shè)的要求，學(xué)校規(guī)劃了無(wú)紙化綜合應(yīng)用系統(tǒng)，包括：學(xué)校主頁(yè)平臺(tái)、學(xué)分制系統(tǒng)、后勤管理系統(tǒng)、網(wǎng)上教學(xué)平臺(tái)、學(xué)習(xí)資源平臺(tái)、視頻點(diǎn)播系統(tǒng)等。根據(jù)目前網(wǎng)絡(luò)互聯(lián)現(xiàn)狀，主校區(qū)的師生們可以利用內(nèi)部IP地址及域名輕松訪問(wèn)這些校內(nèi)網(wǎng)上應(yīng)用平臺(tái)。分校區(qū)由于沒(méi)有與主校區(qū)之間的網(wǎng)絡(luò)互聯(lián)，無(wú)法像主校區(qū)的師生們一樣訪問(wèn)校內(nèi)應(yīng)用平臺(tái)。

兩個(gè)校區(qū)師生們存在著進(jìn)行無(wú)紙化網(wǎng)絡(luò)辦公、內(nèi)部資源共享、安全訪問(wèn)等需求。通常解決此需求的一種做法是，在主要校區(qū)搭建起各種內(nèi)部服務(wù)器，以提供網(wǎng)絡(luò)服務(wù)，并向Internet發(fā)布這些服務(wù)，分校區(qū)則通過(guò)跨越Internet來(lái)實(shí)現(xiàn)對(duì)主校區(qū)的網(wǎng)絡(luò)應(yīng)用平臺(tái)的訪問(wèn)。在該設(shè)計(jì)方案中，分校區(qū)用戶與因特網(wǎng)上的其他用戶在對(duì)主校區(qū)網(wǎng)絡(luò)服務(wù)的訪問(wèn)權(quán)限是相同的。然而，學(xué)校內(nèi)部網(wǎng)絡(luò)向因特網(wǎng)開(kāi)放網(wǎng)絡(luò)服務(wù)所花費(fèi)的成本很高，并lrgRJIQbdTltjiCSCm6rPg==且會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)造成一定的安全威脅?；诮档途W(wǎng)絡(luò)運(yùn)行成本和消除網(wǎng)絡(luò)安全隱患的角度考慮，學(xué)校希望只有內(nèi)部師生可以使用相關(guān)網(wǎng)絡(luò)服務(wù)，而不是來(lái)自Internet的所有用戶。另一種常規(guī)做法是使用專線技術(shù)搭建兩個(gè)校區(qū)之間的物理鏈接。這可以實(shí)現(xiàn)兩個(gè)校區(qū)之間的網(wǎng)絡(luò)互連，滿足師生進(jìn)行通信和資源共享的需要。但是，搭建物理專用線路成本過(guò)高，學(xué)校難以承擔(dān)。針對(duì)此種情況，可以使用基于IPSEC的VPN技術(shù)在現(xiàn)有公共網(wǎng)絡(luò)上搭建多校區(qū)之間的虛擬私有網(wǎng)絡(luò)。只有本校師生可以利用VPN虛擬鏈路跨越Internet安全而又高效地訪問(wèn)校內(nèi)應(yīng)用平臺(tái)及網(wǎng)絡(luò)資源、進(jìn)行網(wǎng)絡(luò)無(wú)紙化辦公。IPSEC VPN虛擬鏈路可以將那些不相關(guān)的因特網(wǎng)用戶安全隔離出去，同時(shí)可對(duì)兩校區(qū)之間的通信數(shù)據(jù)進(jìn)行加密和和檢查，實(shí)現(xiàn)安全通信的目的。

2 技術(shù)描述

2.1 VPN技術(shù)簡(jiǎn)介

VPN（Virtual Private Network，虛擬私有網(wǎng)絡(luò)）利用公共網(wǎng)絡(luò)（如Internet）來(lái)搭建組織或企業(yè)的私有專用網(wǎng)絡(luò)。VPN技術(shù)在現(xiàn)有的網(wǎng)絡(luò)硬件基礎(chǔ)上，創(chuàng)建一條連接位于不同地理位置的兩個(gè)區(qū)域的邏輯鏈路，如同在不同區(qū)域的兩個(gè)LAN（本地局域網(wǎng)）之間搭建了一條專用隧道。處于Internet上的VPN對(duì)于不相關(guān)的網(wǎng)絡(luò)用戶如透明般不可見(jiàn)，而對(duì)于內(nèi)部用戶而言就如同組織或企業(yè)內(nèi)部的私有網(wǎng)絡(luò)一樣，具有安全、高效和可管理性。這為組織或企業(yè)節(jié)約了搭建一條專用物理線路的費(fèi)用。

2.2 IPSEC技術(shù)簡(jiǎn)介

實(shí)現(xiàn)VPN的技術(shù)有多種，如PPTP（Point to Point Tunneling Protocol，點(diǎn)到點(diǎn)隧道協(xié)議）、L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）、GRE（Generic Routing Encapsulation，通用路由封裝協(xié)議）、IPSEC（Internet Protocol Security，IP安全協(xié)議）。校區(qū)之間的網(wǎng)絡(luò)訪問(wèn)通常只有IP單播數(shù)據(jù)流，且有較高的安全需求，據(jù)此，選擇IPSEC技術(shù)來(lái)實(shí)現(xiàn)VPN連接。

IPSEC是一種由IETF（Internet Engineering Task Force，因特網(wǎng)工程任務(wù)組）設(shè)計(jì)的端到端的確?；贗P網(wǎng)絡(luò)通訊的數(shù)據(jù)安全性的機(jī)制，包含一系列通信安全協(xié)議，它定義一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，制定了隧道模式的數(shù)據(jù)包格式，實(shí)現(xiàn)了在公共網(wǎng)絡(luò)上的安全傳輸，是一套比較完整的三層VPN隧道技術(shù)實(shí)現(xiàn)方案。IPSEC本身是一組協(xié)議方法的總稱，創(chuàng)建VPN連接的雙方在IP層通過(guò)對(duì)數(shù)據(jù)的驗(yàn)證與加密技術(shù)，保證了數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私用性、完整性和真實(shí)性。IPSEC技術(shù)是確保VPN安全的主要方式。

3 功能實(shí)現(xiàn)

3.1 學(xué)校網(wǎng)絡(luò)連接現(xiàn)狀描述

學(xué)校網(wǎng)絡(luò)服務(wù)器位于主校區(qū)的網(wǎng)絡(luò)中心。主校區(qū)網(wǎng)絡(luò)使用保留IP地址段10.153.0.0/16；其中內(nèi)部服務(wù)器群使用10.153.10.0/24網(wǎng)段，校內(nèi)各辦公室信息點(diǎn)和計(jì)算機(jī)機(jī)房使用其它網(wǎng)段。主校區(qū)向ISP申請(qǐng)了專用公網(wǎng)IP地址，用于Internet接入，假設(shè)為：202.96.168.90。其IP地址規(guī)劃如表1。

表1

分校區(qū)主要信息點(diǎn)為教職工辦公用計(jì)算機(jī)、各計(jì)算機(jī)機(jī)房用PC等。分校區(qū)規(guī)模較小，信息點(diǎn)總數(shù)約為150個(gè)，使用保留IP地址段192.168.10.0/24。分校區(qū)向ISP申請(qǐng)了公網(wǎng)專用IP地址，假設(shè)其為：202.96.188.80，用于Internet訪問(wèn)接入。

主校區(qū)與分校區(qū)網(wǎng)絡(luò)大致結(jié)構(gòu)如圖1。

圖1 學(xué)校兩校區(qū)網(wǎng)絡(luò)結(jié)構(gòu)圖

3.2 VPN通信方案設(shè)計(jì)

虛擬私有網(wǎng)絡(luò)（VPN）利用現(xiàn)有的公共網(wǎng)絡(luò)（例如因特網(wǎng)），通過(guò)資源配置，而生成一個(gè)虛擬的、臨時(shí)的、安全的網(wǎng)絡(luò)連接。VPN通常由兩種傳輸模式：訪問(wèn)模式和隧道模式。訪問(wèn)模式多用于終端到終端以及終端到站點(diǎn)之間的訪問(wèn)；隧道模式則多見(jiàn)于站點(diǎn)與站點(diǎn)之間的連接，大多使用加密技術(shù)、身份驗(yàn)證技術(shù)等安全策略，以實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的安全傳輸。VPN隧道模式通信模型如圖2所示。

在公共網(wǎng)絡(luò)中，構(gòu)建主校區(qū)與分校區(qū)之間的VPN隧道。在此虛擬鏈路中，需要解決以下幾個(gè)問(wèn)題：

怎樣描述需要受保護(hù)的數(shù)據(jù)流？

如何確定數(shù)據(jù)發(fā)送者的身份？

當(dāng)跨越公共網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，怎樣判斷數(shù)據(jù)是否經(jīng)過(guò)修改、損壞？

如何保證數(shù)據(jù)的隱私性？

基于IPSEC的VPN隧道可提供幾種主要安全功能，來(lái)解決上述問(wèn)題。

通過(guò)定義ACL，來(lái)定義受保護(hù)的數(shù)據(jù)流。

對(duì)數(shù)據(jù)來(lái)源進(jìn)行驗(yàn)證，可以確定數(shù)據(jù)發(fā)送者的身份，保證數(shù)據(jù)來(lái)自于正確的地點(diǎn)。

對(duì)數(shù)據(jù)完整性進(jìn)行檢驗(yàn)，可以檢查數(shù)據(jù)傳輸過(guò)程中是否被修改。

對(duì)數(shù)據(jù)進(jìn)行加密、可以有效防止非授權(quán)人員的竊聽(tīng)、窺測(cè)。

IPSEC隧道模式對(duì)原始IP數(shù)據(jù)包進(jìn)行封裝和加密，然后對(duì)經(jīng)過(guò)加密的內(nèi)容進(jìn)行再次封裝到明文IP數(shù)據(jù)包內(nèi)，通過(guò)公共網(wǎng)絡(luò)發(fā)送到VPN隧道對(duì)端，收到該數(shù)據(jù)包的設(shè)備對(duì)數(shù)據(jù)報(bào)進(jìn)行處理，取出明文IP包頭，對(duì)負(fù)載內(nèi)容進(jìn)行解密之后，得到原始IP數(shù)據(jù)包。經(jīng)過(guò)路由設(shè)備正常處理后，原始數(shù)據(jù)包將被發(fā)送給目標(biāo)主機(jī)。

IPSEC的加密與驗(yàn)證工作是通過(guò)兩個(gè)安全協(xié)議來(lái)完成的，AH（Authentication Header，驗(yàn)證包頭）和ESP（Encapsulating Security Payload，封裝安全負(fù)載）。當(dāng)通信雙方不需要對(duì)數(shù)據(jù)本身進(jìn)行加密時(shí)，使用AH協(xié)議方法來(lái)提供對(duì)IP數(shù)據(jù)包的完整性和身份認(rèn)證，以保證數(shù)據(jù)在發(fā)送過(guò)程中沒(méi)有被修改和來(lái)自于正確的地址。當(dāng)通信雙方需要對(duì)數(shù)據(jù)進(jìn)行加密時(shí)，必須使用ESP協(xié)議方法。ESP不僅提供對(duì)數(shù)據(jù)的完整性檢驗(yàn)機(jī)制和身份驗(yàn)證方法，還提供了對(duì)數(shù)據(jù)進(jìn)行加密的機(jī)制，以保證數(shù)據(jù)的隱私性。

IPSEC對(duì)數(shù)據(jù)的保護(hù)最終需要通過(guò)SA（Security Association，安全聯(lián)盟）來(lái)實(shí)現(xiàn)。安全聯(lián)盟是IPSEC的基礎(chǔ)，也是IPSEC的根本。它本質(zhì)上是VPN通信對(duì)等體之間的策略約定，例如使用的協(xié)議類型、加密算法、共享的口令以及密鑰的生命周期等。

需要為IPSEC隧道定義要保護(hù)的敏感數(shù)據(jù)流。定義受保護(hù)的數(shù)據(jù)流可以由配置ACL（Access Control List訪問(wèn)控制列表）來(lái)實(shí)現(xiàn)。在ACL中通過(guò)對(duì)源地址、目的地址、協(xié)議、端口、時(shí)間等參數(shù)的設(shè)定來(lái)描述受保護(hù)數(shù)據(jù)流的特征。ACL配置完畢后，要與IPSEC的加密映射集建立關(guān)聯(lián)。當(dāng)VPN設(shè)備收到這些敏感數(shù)據(jù)包時(shí)，IPSEC通常自動(dòng)觸發(fā)IKE協(xié)商產(chǎn)生IPSEC的安全聯(lián)盟。安全聯(lián)盟將外出數(shù)據(jù)包進(jìn)行加密或填寫(xiě)驗(yàn)證信息并發(fā)送給VPN對(duì)端設(shè)備，收到相應(yīng)數(shù)據(jù)包的對(duì)端設(shè)備則查找對(duì)應(yīng)的安全聯(lián)盟，并對(duì)此數(shù)據(jù)包進(jìn)行解密、驗(yàn)證后還原，最終發(fā)送給目標(biāo)主機(jī)。

3.4 結(jié)果檢驗(yàn)

在分校區(qū)的PC上訪問(wèn)主校區(qū)服務(wù)器資源，如能夠成功，即可證實(shí)IPSEC VPN隧道創(chuàng)建成功，分校區(qū)與主校區(qū)可實(shí)現(xiàn)安全通信。

4 結(jié)束語(yǔ)

同屬一家學(xué)校位于不同地理位置的兩個(gè)校區(qū)，存在著建設(shè)一體化網(wǎng)絡(luò)、進(jìn)行通信和資源同享的需要。傳統(tǒng)意義上的使用專線連接兩個(gè)校區(qū)以構(gòu)建一體化網(wǎng)絡(luò)的做法花費(fèi)成本太高。使用IPSEC VPN方式利用現(xiàn)有公共網(wǎng)絡(luò)搭建一條虛擬的專用線路，不僅可實(shí)現(xiàn)兩校區(qū)之間網(wǎng)絡(luò)的安全有效的數(shù)據(jù)傳輸，而且還大大節(jié)約了成本。

參考文獻(xiàn)：

[1] Ivan Pepelnjak，Jim Guichard. MPLS和VPN體系結(jié)構(gòu)[M].北京：人民郵電出版社，2012.

[2] Vijay Bollapragada，Mohamed Khalid.XML，Scott Wainner IPSec VPN設(shè)計(jì)[M].北京：人民郵電出版社，2012.

[3] Jeff Doyle，Jennifer Dehaven Carroll.TCP/IP路由技術(shù)：2卷[M].北京：人民郵電出版社，2009.

[4] 賈鐵軍.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2009.

[5] 王達(dá).路由器配置與管理完全手冊(cè)：Cisco篇[M].武漢：華中科技大學(xué)出版社，2011.