IPSec雙中心動態(tài)多點VPN網絡的設計與實現(xiàn)

齊云飛, 程 飛

(河南財政稅務高等專科學校 現(xiàn)代教育技術中心, 河南 鄭州 450002)

隨著中國高等教育規(guī)模的不斷擴大與服務水平的不斷提升，社會在教學、科研和管理等方面對高校提出了更高的要求.目前，許多高校都有多個校區(qū)，根據(jù)一體化管理的要求，學校普遍采用分布式系統(tǒng)來實現(xiàn)數(shù)據(jù)的集中管理.分布式系統(tǒng)在運行過程中經常需要跨校區(qū)訪問，而缺少保護的公網傳輸會使數(shù)據(jù)面臨極大的安全威脅.針對上述情況，本文結合校園網絡建設實際，提出了基于IPSec的雙中心站點動態(tài)多點VPN解決方案.

1 背景分析

以某高校實際情況為例，學校有多個校區(qū)，包括一個主校區(qū)與多個分校區(qū)，每個校區(qū)內部都有獨立的校園網絡，對外都接入教育網.由于采用了分布式管理系統(tǒng)，多個校區(qū)之間經常需要進行訪問，更新數(shù)據(jù)，現(xiàn)需要一種解決方案來實現(xiàn)校區(qū)之間的數(shù)據(jù)安全傳輸.

2 方案的設計

針對上述情況，我們提出了雙中心站點雙動態(tài)多點VPN的設計方案.通過在校區(qū)網絡邊沿配置帶VPN功能、支持GRE與IPSec協(xié)議的路由器來實現(xiàn)VPN的連接和路由選擇，使用專門的CA和NTP服務器對傳輸設備進行證書認證，詳細方案見圖1.

圖1 雙中心站點動態(tài)多點GRE連接圖Fig.1 Double-center site dynamic multi-point GRE connection diagram

2.1 隧道VPN連接的實現(xiàn)

由于IPSec只支持IP單播流量，當使用OSPF動態(tài)路由選擇協(xié)議或組播協(xié)議時，會出現(xiàn)問題.對此方案，先選擇使用通用路由封裝(GRE)協(xié)議建立隧道，對流入數(shù)據(jù)進行封裝，隨后使用IPSec協(xié)議對數(shù)據(jù)包進行加密傳輸，從而實現(xiàn)從分校區(qū)到主校區(qū)的VPN連接.

2.2 動態(tài)多點VPN的實現(xiàn)

實現(xiàn)分校區(qū)之間的連接需要用到GRE的動態(tài)多點模式和下一跳解析協(xié)議(NHRP).校區(qū)間的VPN連接使用星型拓撲設計，主校區(qū)路由器作為中心站點，通過配置GRE為動態(tài)多點模式，可以在建立隧道連接時再獲得分校區(qū)的接口地址，從而實現(xiàn)一個接口與多個分校區(qū)隧道連接的建立.為了實現(xiàn)分校區(qū)間的隧道連接，必須在該校區(qū)路由器上選擇GRE多點模式，并使用NHRP協(xié)議，指定分校區(qū)啟動時必須在中心站點注冊自己的地址，當需要訪問分校區(qū)網絡時，向中心站點查詢，然后建立分校區(qū)間的隧道連接.

2.3 雙中心站點VPN的實現(xiàn)

為提高主校區(qū)連接的安全性，方案采用雙路由設計(A為主中心站點，B為冗余站點)，在A、B中心站點上分別建立一個隧道接口，并配置GRE為多點模式，這樣中心站點在不知道分校區(qū)隧道地址的情況下也可以與分校區(qū)建立隧道連接，從而簡化了隧道接口的配置，便于以后的網絡擴展.雙中心站點的設置使分校區(qū)有兩條路徑可供選擇，為確保不存在非對稱路由問題，在配置分校區(qū)隧道接口時，需要為連接到主中心的站點配置更好的帶寬,使分校區(qū)首先使用主中心站點.

2.4 設備驗證

在建立VPN管理連接時，需要進行設備驗證,以保證通信的保密性、完整性、可用性和不可否認性[1]，方案選擇使用專門的認證機構(CA)作為第三方提供證書服務.完整的CA包括簽發(fā)服務器、RA注冊申請簽發(fā)服務器、目錄服務器及密鑰管理中心等[2].NTP服務器提供時間服務.為了保證對服務器的訪問，需要在中心站點和主校區(qū)內網防火墻上允許對CA和NTP服務器的訪問.

3 方案的實施

3.1 設備選擇

路由器采用Cisco設備中支持GRE和IPSec協(xié)議的VPN路由器，CA、NTP服務器是運行Windows 2003相應服務的服務器，防火墻要能夠進行地址轉化和訪問控制.

3.2 路由器基本配置

主校區(qū)和分校區(qū)路由器都需要進行如下基本配置：訪問控制、ISAKMP配置、DPD配置、獲取和使用證書、定義IPSec 傳輸集[3].

3.2.1 訪問控制

允許VPN使用UDP目標端口500建立管理連接，允許ESP加密的數(shù)據(jù)通過，允許對CA服務器80端口和NTP服務器123端口的訪問.

3.2.2 ISAKMP配置

建立ISAKMP管理連接策略，指定設備驗證方式為證書驗證,設置數(shù)據(jù)加密方式和完整性驗證方式.

3.2.3 死亡對等體檢測

配置#crypto isakmp keepalive 153命令，設定每隔15 s向對等設備發(fā)送生存包，重試3次均未收到回復就認定對等設備不可連接.

3.2.4 獲取和使用證書

在建立VPN管理連接時，需要對設備進行驗證，配置證書驗證，按照下面的過程進行：

(1)配置主機名和域名，生成密鑰；

(2)指定CA服務器屬性和與CA服務器交互的屬性，如CA服務器名稱、CA服務器URL、證書使用期限、申請次數(shù)等；

(3)下載、驗證CA證書；

(4)向CA申請證書，路由器會自動下載到本地.

3.2.5 定義傳輸集

傳輸集主要用來定義在VPN的數(shù)據(jù)連接階段，使用什么安全協(xié)議和算法保護數(shù)據(jù).使用#crypto ipsec transform-set line1 esp-aes-256 esp-sha-hmac命令指定了兩條規(guī)則與對等設備匹配；對于GRE的流量來說，它是一個點對點的連接，所以需要配置IPSec為點對點模式#mode transport.

3.3 雙中心站點隧道配置

3.3.1 隧道配置

為了實現(xiàn)雙中心站點需要在兩臺路由器上分別建立一條隧道，配置過程如下：使用#interface Tunnel 0命令建立隧道的虛擬接口；配置帶寬、延時、MTU 1436(防止產生碎片)；配置A路由器#ip address 10.0.0.1(B路由器為10.0.1.1)，指定隧道接口地址；#tunnel source fa0/0指定隧道數(shù)據(jù)包的發(fā)送端口；#tunnel mode gre multipoint配置隧道為多點模式；指定隧道密鑰，多點模式下可用于區(qū)分隧道；配置接口fa0/0地址和掩碼(A路由器為211.84.199.1，255.255.255.0，B路由器為211.84.198.1，255.255.255.0)；配置內網接口fa0/1地址(A路由器為211.84.197.1，255.255.255.0，B路由器為211.84.196.1，255.255.255.0).

3.3.2 OSPF的配置

配置路由選擇協(xié)議為OSPF，設定中心路由器A的priority值為2(B路由器值為1)，確定A路由器為指定路由器(DR),B為備份指定路由器(BDR)；在A、B路由器上設定隧子網與本地網絡在區(qū)域0.

3.3.3 NHRP配置

設定注冊密鑰；配置#ip nhrp map multicast dynamic命令，接受來自分支站點的注冊;配置NHRP網絡ID(A路由器為100000，B路由器為200000)；配置nhrp holdtime為600.

3.4 分校區(qū)路由器配置

在分校區(qū)路由器上，仍然需要進行隧道、OSPF和下一跳路由3個方面的配置.隧道配置，需要建立兩個隧道接口，并配置接口地址10.0.0.x和10.0.1.x，為實現(xiàn)分校區(qū)間的連接，接口配置為多點模式，配置NHRP ID、隧道ID和NHS服務器(10.0.0.1和10.0.1.1)；為確保不存在非對稱路由，需要為主路由器配置一個更低的隧道帶寬值；對于OSPF的配置，建立的兩個隧道子網都在區(qū)域0，本地網絡設為一個獨立的區(qū)域；配置fa0/0接口地址和內網接口地址.

4 結 語

在網絡技術飛速發(fā)展的今天，網絡安全的重要性日益凸顯，VPN作為解決現(xiàn)有網絡安全問題的重要手段，可以有效地解決多種網絡傳輸問題，為學校構建更加牢固的校園網絡.目前，除了IPSec，還有許多其他的VPN實施方案，如何結合學校的實際來應用這些技術，將是我們今后研究的重點.

參考文獻：

[1] Eric Maiwald.網絡安全實用指南[M].天宏工作室,譯.北京：清華大學出版社，2003:201.

[2] 關振勝.公鑰基礎設施PKI及其應用[M].北京：電子工業(yè)出版社，2007:107.

[3] Richard Deal.Cisco VPN完全配置指南[M].姚軍玲,譯.北京：人民郵電出版社，2009:733-734.