基于IPSec下的VPN組播問題的探究

◆陳若楠 胡曦明，2 馬 苗，2

（1.陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院 陜西 710119；2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室 陜西 710119)

基于IPSec下的VPN組播問題的探究

◆陳若楠1胡曦明1，2馬 苗1，2

（1.陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院 陜西 710119；2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室 陜西 710119)

本文基于IPSec對(duì)VPN進(jìn)行探究，在網(wǎng)絡(luò)模擬仿真實(shí)驗(yàn)平臺(tái)上對(duì)IPSec VPN進(jìn)行測(cè)試，提出了IPSec是否支持組播的疑問并進(jìn)行實(shí)驗(yàn)驗(yàn)證，然后提出VPN組播數(shù)據(jù)如何得到安全性保護(hù)的問題，最后提出與GRE相結(jié)合組建VPN的解決方案，使得子網(wǎng)內(nèi)的組播數(shù)據(jù)得到安全性保護(hù)。實(shí)驗(yàn)結(jié)果既保障了數(shù)據(jù)的組播功能，又保障了其安全性，可廣泛應(yīng)用于金融、媒體等多個(gè)行業(yè)領(lǐng)域。

IPSec；VPN；安全性；GRE；組播

0 引言

通信安全長(zhǎng)久以來都是一個(gè)重要的問題，IP本身不提供安全性，只提供通信服務(wù)。每當(dāng)數(shù)據(jù)在公網(wǎng)上進(jìn)行傳輸時(shí)，很容易受到安全性的威脅，使網(wǎng)絡(luò)上的黑客等不法分子趁虛而入。例如某企業(yè)的分公司和總公司之間傳輸公司內(nèi)部機(jī)密文件時(shí)，亦如某大學(xué)的兩個(gè)或多個(gè)校區(qū)之間傳輸重要信息數(shù)據(jù)時(shí)，如果跨越公網(wǎng)，很難保證信息的完整性、安全性、正確性等。如果我們?cè)谄髽I(yè)的分公司和總公司網(wǎng)關(guān)之間，或者大學(xué)的兩個(gè)或多個(gè)校區(qū)的網(wǎng)關(guān)之間建立起IPSec VPN，使數(shù)據(jù)和信息從中通過，這樣就能夠保證其安全性。IPSec（Internet Protocol Security）是一個(gè)集合了許多標(biāo)準(zhǔn)的體系結(jié)構(gòu)的網(wǎng)絡(luò)層安全保障機(jī)制，提供端到端和站點(diǎn)到站點(diǎn)的安全性。IPSec能夠在主機(jī)、路由器以及防火墻上實(shí)現(xiàn)，實(shí)現(xiàn)IPSec的中間設(shè)備被稱為“安全網(wǎng)關(guān)”。IPSec主要使用兩種安全協(xié)議，AH和ESP協(xié)議。IPSec有兩種工作模式：傳輸模式和隧道模式。傳輸模式（Transport Mode）用于保護(hù)端到端的安全性；隧道模式（Tunnel Mode）用于保護(hù)站點(diǎn)到站點(diǎn)的安全性。IPSec SA(Security Association，安全聯(lián)盟) ：安全聯(lián)盟是IPSec的基礎(chǔ)，IPSec對(duì)數(shù)據(jù)流提供的安全服務(wù)是通過 SA來實(shí)現(xiàn)的。ISAKMP（Internet Security Association and Key Management Protocol，密鑰管理協(xié)議)：定義了建立、協(xié)商、修改和刪除安全管理的程序和信息包格式。

1 Packet Tracer模擬器實(shí)驗(yàn)

1.1 Packet Tracer模擬器實(shí)驗(yàn)

圖1 Packet Tracer模擬器實(shí)驗(yàn)拓?fù)鋱D

PC0 192.168.1.1/24（源IP地址）

PC1 192.168.2.1/24（目標(biāo)IP地址）

（1）使用IKE協(xié)商方式配置路由器1、路由器2，用PC0 ping PC1，見圖2。

圖2 Packet Tracer模擬器實(shí)驗(yàn)PC0 ping PC1

（2）通過抓包得到一組ISAKMP的包，源IP地址和目的IP地址在路由器上由于IPSec VPN的作用發(fā)生了變化。見圖3、圖4、圖5。

圖3 Packet Tracer模擬器實(shí)驗(yàn)一組ISAKMP的包

圖4 Packet Tracer模擬器實(shí)驗(yàn)抓到的ISAKMP的包（源和目的IP由于IPSec VPN的作用發(fā)生了變化）

圖5 Packet Tracer模擬器實(shí)驗(yàn)ISAKMP協(xié)議

（3） 還抓到一組ICMP的包，打開后發(fā)現(xiàn)包含AH和ESP協(xié)議。見圖6、圖7。

圖6 Packet Tracer模擬器實(shí)驗(yàn)抓到的ICMP包

圖7 Packet Tracer模擬器實(shí)驗(yàn)ICMP包中包含的AH和ESP協(xié)議

（4） 得出AH和ESP在報(bào)文中的封裝格式。見圖8。

圖8 Packet Tracer模擬器實(shí)驗(yàn)AH和ESP封裝格式

1.2 H3C模擬器實(shí)驗(yàn)抓包分析

圖9 H3C模擬器實(shí)驗(yàn)拓?fù)鋱D

路由器4 192.168.1.1/24（源IP地址）

路由器5 192.168.2.1/24（目標(biāo)IP地址）

（1） 使用手動(dòng)配置方式配置路由器 2、路由器 3，用路由器4 ping路由器5，結(jié)果見圖10。

圖10 H3C模擬器實(shí)驗(yàn)路由器4 ping路由器5

（2） 通過抓包的到一組ESP的包，目的地址和源地址同樣發(fā)生變化，見圖11。

圖11 H3C模擬器實(shí)驗(yàn)抓到一組ESP的包

（3） 打開抓到的ESP包，可以看到詳細(xì)信息，以及手工配置的進(jìn)VPN密鑰(12345)和出VPN密鑰（54321），見圖12、圖13。

圖12 H3C模擬器實(shí)驗(yàn)手工配置的進(jìn)VPN密鑰(12345)

圖13 H3C模擬器實(shí)驗(yàn)手工配置的出VPN密鑰(54321)

2 IPSec VPN深入探究

2.1 IPSec組播支持性問題研究

IPSec 可以對(duì)點(diǎn)對(duì)點(diǎn)數(shù)據(jù)進(jìn)行保護(hù)，那是否支持組播呢？

實(shí)驗(yàn)過程：

圖14 IPSec組播問題實(shí)驗(yàn)拓?fù)鋱D

（1）用路由器 4 ping未配置組播的路由器下的 IP：192.168.2.1，見圖15。[5]

圖15 IPSec組播問題實(shí)驗(yàn)ping未配置組播的路由器下的IP：192.168.2.1

（2）抓到的是一組ESP的包，見圖16。

圖16 IPSec組播問題實(shí)驗(yàn)ping未配置組播路由器下IP：192.168.2.1抓到ESP包

（3）打開ESP的包，可以發(fā)現(xiàn)源地址和目的地址因?yàn)镮PSec VPN的作用發(fā)生了變化，說明數(shù)據(jù)經(jīng)過了IPSec VPN 的保護(hù)，并且可以看到進(jìn)IPSec VPN 的密鑰（12345）。見圖17。

圖17 IPSec組播問題實(shí)驗(yàn)ping未配置組播路由器下的IP發(fā)現(xiàn)數(shù)據(jù)經(jīng)過IPSec VPN

（4）用路由器 5 ping 配置了組播的路由器下的 IP：192.168.1.1，見圖18。

圖18 IPSec組播問題實(shí)驗(yàn)ping配置了組播的路由器下的IP：192.168.1.1

（5）抓到的是一組IGMP的包，見圖19。

圖19 IPSec組播問題實(shí)驗(yàn)ping配置組播路由器下IP：192.168.1.1抓到IGMP包

（6）打開IGMP的包，發(fā)現(xiàn)只有IGMP的報(bào)文，沒有ESP，從地址看，數(shù)據(jù)沒有走IPSec VPN。見圖20。得出結(jié)論：IPSec 不支持組播！

圖20 IPSec組播問題實(shí)驗(yàn)ping配置組播路由器下的IP發(fā)現(xiàn)數(shù)據(jù)未經(jīng)過IPSec VPN

2.2 IPSec組播數(shù)據(jù)關(guān)鍵技術(shù)研究

如果要使用IPSec技術(shù)，組播數(shù)據(jù)要如何保證安全性？

分析：由于IPSec VPN不支持組播，但是還有其他的支持組播的VPN，可以與其他支持組播的VPN組合。GRE是一種支持組播的VPN，可以讓GRE技術(shù)和IPSec技術(shù)相結(jié)合。

圖21 GRE over IPSec實(shí)驗(yàn)拓?fù)鋱D

路由器4 172.16.1.254/24（源IP地址）

路由器3 59.61.1.1/24（目標(biāo)IP地址）

（1）用路由器4 ping配置了組播的路由器3的IP：59.61.1.1，見圖22。

圖22 GRE over IPSec實(shí)驗(yàn)ping 59.61.1.1

（2）抓到了一組ICMP的包，從地址來看，源IP地址發(fā)生變化，變成隧道端口的IP地址，說明數(shù)據(jù)是通過GRE Over IPSec隧道傳送的。見圖23。

圖23 GRE over IPSec實(shí)驗(yàn)抓到的一組ICMP的包

（3）還抓到一組ESP的包，有ESP包，說明數(shù)據(jù)經(jīng)過了IPSec的安全性保護(hù)，說明目前的組播并沒有影響IPSec VPN。見圖24、圖25。

圖24 GRE over IPSec實(shí)驗(yàn)抓到的一組ESP的包

圖25 GRE over IPSec實(shí)驗(yàn)抓到ESP包說明數(shù)據(jù)經(jīng)過IPSec的保護(hù)

得出結(jié)論：要想使組播的數(shù)據(jù)得到IPSec的安全性保護(hù)，可以結(jié)合其他支持組播的 VPN技術(shù)，比如這里實(shí)驗(yàn)的 GRE Over IPSec ，這樣IPSec就可以在組播上應(yīng)用了。

3 總結(jié)

通過實(shí)驗(yàn)可以看出，在組播環(huán)境下無法抓到IPSec的數(shù)據(jù)包，說明傳統(tǒng)的IPSec VPN是不支持組播的，這使得組播傳輸面臨很大的安全性威脅。VPN傳輸?shù)囊淮髢?yōu)點(diǎn)就是可以將多種不同的VPN技術(shù)結(jié)合使用，GRE VPN是一種支持組播卻不保證數(shù)據(jù)安全性的技術(shù)，目前同樣廣泛應(yīng)用于各種環(huán)境下的VPN，尤其多用于需要對(duì)數(shù)據(jù)進(jìn)行組播的VPN環(huán)境，將IPSec和GRE技術(shù)相結(jié)合運(yùn)用在VPN上，則可以實(shí)現(xiàn)IPSec在組播數(shù)據(jù)上應(yīng)用，解決了IPSec VPN不支持組播數(shù)據(jù)安全性保護(hù)的問題，即公網(wǎng)上的數(shù)據(jù)通過此方法，建立GRE OVER IPSec VPN，使得無論是點(diǎn)對(duì)點(diǎn)數(shù)據(jù)還是組播數(shù)據(jù)，都可以得到安全性保護(hù)。

4 對(duì)IPSec VPN的評(píng)價(jià)和展望

4.1 IPSec VPN 的優(yōu)點(diǎn)

IPSec VPN可以保證數(shù)據(jù)的安全性、保證數(shù)據(jù)傳輸過程中的機(jī)密性、對(duì)數(shù)據(jù)的來源進(jìn)行身份驗(yàn)證、保證了數(shù)據(jù)的完整性。

4.2 IPSec VPN 的不足

（1）IPSec自身協(xié)議體系復(fù)雜難以部署。

（2）高強(qiáng)度的加密算法運(yùn)算消耗大量資源。

（3）身份驗(yàn)證增加了數(shù)據(jù)傳輸?shù)难舆t，不利于語音視頻等實(shí)時(shí)性較強(qiáng)的應(yīng)用。

（4）IPSec自身不能獨(dú)立支持組播，需要借助其他協(xié)議幫助。

（5）IPSec中驗(yàn)證頭AH的MAC計(jì)算要用到數(shù)據(jù)報(bào)的IP地址，當(dāng)使用 NAT地址轉(zhuǎn)換時(shí)，會(huì)因?yàn)椴荒芨膶懙刂范鴮?dǎo)致 AH失效。（但ESP仍有效）。

（6）如果使用 IPSec對(duì)數(shù)據(jù)的完整性保護(hù)或加密，傳統(tǒng)的NAT將無法修改IP地址。

[1]Kevin R. Fall[美] W. Richard Stevens[美].TCP/IP詳解卷一：協(xié)議（第二版）[M].北京：機(jī)械工業(yè)出版社，2016.

[2]David Hucaby[美] Steve McQuerry[美].Cisco路由器配置手冊(cè)（第二版）.北京：人民郵電出版社，2012.

[3]杭州華三通信技術(shù)有限公司.H3C路由器典型配置指導(dǎo).北京：清華大學(xué)出版社，2013.

[4]杭州華三通信技術(shù)有限公司.路由與交換技術(shù)第三卷.北京：清華大學(xué)出版社，2011.

[5]Behrouz A.Forouzan[美].TCP/IP協(xié)議族（第四版）.北京：清華大學(xué)出版社，2011.

[6]劉春艷.基于IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[7]唐燈平.基于Packet Tracer 的IPSec VPN 配置實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].蘇州：張家口職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011.

[8]李建光.淺談IPSec VPN技術(shù)及應(yīng)用過程[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[9]盧曉麗.IPSec VPN 技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[10]王建明.IPSec協(xié)議在 VPN中的應(yīng)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[11]林冠男.GRE over IPsec VPN在企業(yè)網(wǎng)中的應(yīng)用探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[12]秦勇.基于IPSec的VPN在校園網(wǎng)的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

中央高校基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金資助項(xiàng)目（GK201503065），現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室開放課題資助項(xiàng)目（SYSK201501），陜西師范大學(xué)非師范拔尖創(chuàng)新人才培養(yǎng)計(jì)劃2017年度項(xiàng)目。