1、IPSEC-VPN 在企业网架构中的部署及应用论文信息学院 1104 班 11263406 费华珍摘要:IPsecVPN 是网络层的 VPN 技术,它独立于应用程序,以自己的封包封装原始 IP 信息,因此可隐藏所有应用协议的信息。一旦 IPSEC 建立加密隧道后,就可以实现各种类型的连接,如 Web、电子邮件、文件传输、VoIP 等,每个传输直接对应到 VPN 网关之后的相关服务器上。IPSEC 是与应用无关的技术,因此 IPSec VPN 的客户端支持所有 IP 层协议,对应用层协议完全透明。本文主要讲述了 IPSECVPN 安全可信网络的发展趋势、IPsec 的工作原理、企业网拓扑结构和
2、IPsec 的基本配置和具体应用。关键词:IPSEC-VPN 网络安全 远程接入 加密技术 企业网架构一、 VPN 简介(1)VPN 概念及原理VPN(Virtual Private Network,虚拟专用网络(网络就是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的),是指应用公共网 络(网络就是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的)创建私有专用网络(网络就是用物理链路将各个 孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的)(2)VPN 采用的技术VPN 主要采用了两种技术
3、:隧道技术和安全技术。隧道技术现在主要有三种协议支持:PPTP,L2TP 和 IPSec。隧道技术原因是完成 IP 数据包的二 次封装,以实现企业私有地址在公网上的传输。为了确保传输的安全,必要一定的安全加密本领,以确保数据的私密性和完整性。安全技术主要有 MPPE、 IPSec 等加密算法。(3 )VPN 的优势在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资
4、源利用率,有助于增加 ISP (Internet Service Provider ,Internet 服务提供商)的收益。只需要通过软件配置就可以增加、删除 VPN 用户,无需改动硬件设施。这使得 VPN 的应用具有很大灵活性。针对不一样的用户要求,VPN 有三种处理方案(进行工作的具体计划或对某一问题制定的规划):远程访问 虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的 VPN 分别与曾经的远程访问网络(网络就是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信 的目的)、
5、企业内部的 Intranet 和企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。二、 IPsec 简介(1)IPsec 概念及理IPSec(Security Architecture for IP network,IP 层协议安全结构),在 IP 层提供安全办事。在隧道和加密的技术上,IPSec 已成为 IP 安全的一个应用广泛、开放的 VPN 安全协议, 可确保运行在 TCP/IP 协议上的 VPN 之间的互操纵性。IPsec 定义了一套用于保护私有性和完整性的标准协议,支持相关系列加密算法如 DES、 3DES。他检查传输的数据包的完整性,以确保数据没有被修改,具有
6、数据源认证功能。(2)IPsec 目标IPSec 通过使用基于密码学的保护服务、安全协议和动态密钥管理,可以实现以下这几个目标:1、认证 IP 报文的来源基于 IP 地址的访问控制十分脆弱,因为攻击者可以很容易利用伪装的 IP 地址来发送IP 报文。许多攻击者利用机器间基于 IP 地址的信任,来伪装 IP 地址。IPSec 允许设备使用比源 IP 地址更安全的方式来认证 IP 数据报的来源。IPSec 的这一标准称为原始认证(OriginAuthentication)。2、保证 IP 数据报的完整性除了确认 IP 数据报的来源,还希望能确保报文在网络中传输时没有发生变化。使用IPSec,可以确
7、信在 IP 报文上没有发生任何变化。IPSec 的这一特性称为无连接完整性。3、确保 IP 报文的内容在传输过程中未被读取除了认证与完整性之外,还期望当报文在网上传播时,未授权方不能读取报文的内容。这可以通过在传输前,将报文加密来实现。通过加密报文,可以确保攻击者不能破解报文的内容,即使他们可以用侦听程序截获报文。4、确保认证报文没有重复最终,即使攻击者不能发送伪装的报文,不能改变报文,不能读取报文的内容,攻击者仍然可以通过重发截获的认证报文来干扰正常的通信,从而导致事务多次执行,或是使被复制报文的上层应用发生混乱。IPSec 能检测出重复报文并丢弃它们。这一特性称为反重传(antirepla
8、y)。IPSec 建立在终端到终端的模式上,这意味着只有识别 IPSec 的计算机才能作为发送和接收计算机。IPSec 并不是一个单一的协议或算法,它是一系列加密实现中使用的加密标准定义的集合。IPSec 实现在 IP 层的安全,因而它与任何上层应用或传输层的协议无关。上层不需要知道在 IP 层实现的安全,所以在 IP 层不需要做任何修改。三、 IPSEC-VPN 在企业网路中的优势和应用 IPSec VPN 技术在 IP 传输上经过加密隧道,在用公网传送内部专网的内容的并且,包管内部数据的安全性,从而实现企业总部与各分支机构之间的数据、语音、视频业务互通。如今,许多企业已经把 VPN 作为远
9、端 分支和移动用户连接的主要本领,建立企业虚拟业务网,而国内大量企业也已开始考虑现在这种方式,并逐渐开始实施(实际的行为)。四、 IPSEC-VPN 案例某企业在中国有三个分公司,分别坐落在北京、上海、广州,要求总公司与分公司之间建立不同的安全通道。(1) 总公司对网络的要求:总公司跟广州分公司建立严格的验证功能,对数据进行加密和完整性验证。总部与分公司之间通过两台路由器互联并运行 OSPF 多区域路由协议。(2) 网络拓扑图:(3)实验环境:使用 DynamipsGUI 2.8 模拟器,路由器 IOS 使用 c3640-jk9o3s-mz.122-26.bin(带有 VPN功能)。(4)具体
10、配置:1)配置模拟公网的具体网络参数(R2 和 R3 之间的级联)在 R2 上配置各个端口的 IP 地址,启用 OSPF 协议,进程号为 200,将直连的网络宣告到对应的区域里2)在 R3 上配置各个端口的 IP 地址,启用 OSPF 协议,进程号为 300,将直连的网络宣告到对应的区域里3)使用 show ip route 命令在 R2 或 R3 上查看是否学习到不同区域之间的路由条目4)配置总部和分公司的具体网络参数5)配置总部的三条 IPSEC-VPN,分别指向不同的分公司6)配置 IKE 协商6.1 启用 IKE6.2 建立 IKE 协商策略并配置参数6.3 设置 IPSEC 对等体的
11、验证方法7)配置 IPSEC 相关参数7.1 指定 Crypto map 加密用的访问列表7.2 配置 IPSEC 工作模式并配置交换集7.3 配置全局 IPSEC 安全关联生命期8)配置加密映射并安全关联9)应用 Crypto Map 到端口其他路由器配置相仿10)配置 PC1,PC2,PC3,PC4 的 IP 地址,子网掩码以及网关五、 IPSEC-VPN 案列测试1. IKE 方式建立 IPSEC 隧道在 PC1 上分别 ping 分公司主机的 IP 地址在 PC4 上 ping 公网的 IP 地址,可以看出 ping 不同,公网对于 VPN 是一条透明链路2. IPSEC-VPN 配置
12、的查看六、 配置说明思科 VPN3005:Cisco VPN 3000 集中器系列是适用于企业部署的最佳远程访问 VPN 解决方案。该解决方案包括一种基于标准的易用 VPN 客户机和可扩展的 VPN 隧道终端设备,另外还包括一种使企业对自己的远程访问 VPN 实施轻松安装、配置和监视的管理系统。网络协议:IPsec应用级别:IPSEC VPN七、 案例小结配置多条 VPN 隧道的时候,注意在端口只能应用一个 Crypto Map,如果有多条 VPN,应该将所有的 crypto map 定义相同的名称。配置 Crypto Map 时候所使用的密钥交换方式应该与 IKE 阶段所配置的密钥交换方式相
13、同。 配置交换集的时候,每种类型只能选择一种参数。 定义 Crypto 加密访问列表时候,注意应用的先后次序,记得将特殊的放到前面,然后再将一般的放到后面。最后加上 access-list access-list-number deny ip any any,拒绝其它没有数据通过。检查 Crypto 加密访问列表出错,应该重新定义访问列表,删除或者添加某一条都不会生效的。检查错误的时候,如果内容较多,也可以使用 show running 将两个结果进行对比排错。使用 DynamipsGUI 2.8 的时候,如果路由器启动起来,最好让路由器一直处于当前会话状态,千万别退出会话,这样会消耗更多内存
14、造成对实验的干扰。可以在全局模式下使用命令 line console 0,然后进去使用 exec-time 0 0 就可以了。在配置 VPN IPSec 之前最后让全网都互通,可以使用 ping 命令,让各自路由器里都学习到其它路由器的路由条目,以免造成对实验的干扰。配置 IKE 协商参数应该与对应的交换集保持一直。八、 结束语在实现 VPN 的过程中,应该到目前为止,IPSec 仍然不能算是适用于所有配置的一套极为完整的方案,其中仍然存在一些需要解决的问题,如 IPSec 能力上的薄弱,多播环境中密钥管理,以及在多播环境中保证提供源验证及抗重播攻击服务不失效等问题。此外,同 PPTP 集成在操作系统中不同,采用 IPSec 协议,需要在应用端安装额外的软件。目前,IETF 工作组中已制定的与 IPSec 相关的 12 个 RFC 文档:RFC2104、RFC2401-RFC2409 和 RFC2451。随着对 Internet 的安全性要求的日益增高,VPN 的应用的日趋广泛以及移动 IP 数量的剧增,能够支持端到端的安全传输、构筑高可靠安全隧道的 IPSec 的应用必然普及,它更能成为新一代的网络安全协议与标准。