VPN及IPSec技術的實現與校園應用

一、虛擬專用網概述

VPN即虛擬專用網 (Virtual Private Network) , 處于不同地理位置的用戶皆可通過VPN安全便捷地訪問某一機構的本地網絡。由于租用線路, 建立物理專線費時費力的弊端, 這一傳統方法逐漸被淘汰。而隧道技術的興起則是VPN普及的極大推動力, 使地理位置不同的計算機在邏輯上的建立互聯。

二、隧道技術

(一) 隧道技術的引出

由于公用網絡的復雜性, 公共性以及較低的安全性, 機構內部之間的數據傳輸會出現較多的不安全因素, 而通過建立虛擬專用網, 在公共網絡中鋪設一條“隧道”來封裝數據, 便可保證數據的安全傳輸, 這便是隧道技術。

隧道技術如何封裝數據, 這便引出了隧道協議。

(二) 隧道協議

對數據的封裝中, 第二層隧道技術和第三層隧道技術起著至關重要的作用。二者的區別就在于通過不同的隧道技術對數據包的封裝傳輸, 應用于協議棧的不同層。第二層隧道技術, 如PPTP, L2F, L2TP, 位于OSI模型中的數據鏈路層, 將數據封裝進PPP幀中, 并以數據幀為傳輸單元。第三層隧道技術, 如IPSec, GRE位于OSI模型中的網絡層, 將數據封裝在IP數據報中。下文以IPSec協議為例, 介紹如何實現虛擬專用網對數據的封裝及安全傳輸。

三、IPSec協議

(一) IPSec協議概述

IPSec協議 (Internet安全協議, 即Internet Protocol Security) 的核心特點是安全性, 所有性能均圍繞這一特點展開的。IPSec是第三層隧道技術應用于網絡層, 與其他協議不同的是IPSec并非單獨獨立的, 而是一系列用于保護數據在專用網中安全傳輸的協議族, 包括IKE, ESP, AH。在使用IPSec協議時, 首先對使用該協議的實體建立邏輯互聯即安全關聯SA (Security Association) 。兩個實體根據IKE協議 (Internet密鑰交換協議, 即Internet Key Exchange) 配置同一個安全策略, 并通過協商建立SA, 密鑰交換, 定義感興趣流。ESP (封裝安全載荷, 即Encapsulate Security Payload) 與AH (驗證頭, 即Authentication Header) 為IPSec提供兩個防范機制, ESP虛擬專用網中的數據提供加密服務, 在IP數據首部報首部與TCP首部增加ESP首部, 而在尾部增加ESP校驗;AH實現數據完整性檢測, 認證數據源身份, AH序列號可識別重復的數據包并將其丟棄。

(二) IPSec協議兩種封裝及工作模式

隧道模式與傳輸模式是IPSec協議兩種主要的工作模式。二者區別在于兩點, 一是封裝方式不同, 二是其IP地址是否允許數據包從一個網絡設備轉發到另一個網絡設備 (即是否可路由) 。當IP地址不可路由時使用隧道模式, 并將將原IP首部封裝起來, 并添加新的IP首部和ESP首部;反之使用傳輸模式, 并在原IP首部與TCP首部之間插入ESP首部。若IP地址不可路由仍使用傳輸模式, 數據包則會被目的路由所丟棄。

四、IPSec協議配置校園網

IPSec協議由一整套具有完整性, 安全性的標準協議構成, 支持大多數IP層協議, 并整合網絡防火墻功能, 因此作為校園網的基本協議較為合適。

R總校 (config) #crypto isakmp policy 01

R總校 (config) #encryption 3des//EPS加密算法3des

R總校 (config) #hash md5//AH加密算法md5

R總校 (config) #authentication pre-share

R總校 (config) #crypto isakmp key xxx address xxx.xxx.xxx.xxx//設置共享密鑰名稱及映射地址 (其中x可根據實際情況自定義)

總校區分校區均需對雙方各自路由器完成上述配置。首先進行IPSec第一階段協商, 配置同一IKE策略 (即SA) , 兩校區根據對方IP地址協商密鑰交換方式, 數據加密算法, 以上述代碼為例, AH采取md5加密算法, EPS采取3des加密算法。隨后進行第二階段協商定義感興趣流, 通過創建加密圖, 并將第一階段的配置關聯到加密圖中。此時VPN配置基本完成, 如需通過VPN訪問公用網絡, 則對各自路由器配置NAT便可實現對互聯網資源的正常訪問。

五、結語

IPSec協議可靠性, 私有性等特點保障了校園虛擬專用網數據的安全傳輸, 但IPSec需要完成路由器的配置, 并且用戶使用前需安裝相應客戶端, 因此會帶來一些不便。故產生了多個協議配合使用的方式如, L2TP與IPSec, GRE OVER IPSec, 彌補單一協議的缺點。

摘要：VPN作為一種便捷低廉的通訊方式逐漸進入人們的視野, 其中隧道技術的運用最為廣泛。本文分析了根據IPSec協議建立VPN隧道, 并以校園網為例, 介紹該技術在實際生活領域的應用。

關鍵詞：VPN,隧道技術,IPSec協議,數據傳輸,校園網絡

參考文獻

[1] 李睿.VPN隧道技術的研究及其實現[D].上海:同濟大學, 2007.

[2] 過林吉, 沈淺.VPN隧道協議的研究與探討[J].電腦知識與技術, 2010, 6 (3) :609-610.

[3] 孫光懿.基于GRE和IPSec協議的VPN仿真[J].陜西理工大學學報, 2018, 34 (1) :49-55.

[4] 梁澤海.基于IPSec的VPN在校園網中的研究與設計[J].信息與電腦, 2018 (4) :122-125.

[5] 周穎.兩種VPN隧道網路協議詳解與比較[J].電腦知識與技術, 2009, l5 (36) :10592-10593.