IPSec双中心动态多点VPN网络的设计与实现

齐云飞, 程 飞

(河南财政税务高等专科学校 现代教育技术中心, 河南 郑州 450002)

随着中国高等教育规模的不断扩大与服务水平的不断提升，社会在教学、科研和管理等方面对高校提出了更高的要求.目前，许多高校都有多个校区，根据一体化管理的要求，学校普遍采用分布式系统来实现数据的集中管理.分布式系统在运行过程中经常需要跨校区访问，而缺少保护的公网传输会使数据面临极大的安全威胁.针对上述情况，本文结合校园网络建设实际，提出了基于IPSec的双中心站点动态多点VPN解决方案.

1 背景分析

以某高校实际情况为例，学校有多个校区，包括一个主校区与多个分校区，每个校区内部都有独立的校园网络，对外都接入教育网.由于采用了分布式管理系统，多个校区之间经常需要进行访问，更新数据，现需要一种解决方案来实现校区之间的数据安全传输.

2 方案的设计

针对上述情况，我们提出了双中心站点双动态多点VPN的设计方案.通过在校区网络边沿配置带VPN功能、支持GRE与IPSec协议的路由器来实现VPN的连接和路由选择，使用专门的CA和NTP服务器对传输设备进行证书认证，详细方案见图1.

图1 双中心站点动态多点GRE连接图Fig.1 Double-center site dynamic multi-point GRE connection diagram

2.1 隧道VPN连接的实现

由于IPSec只支持IP单播流量，当使用OSPF动态路由选择协议或组播协议时，会出现问题.对此方案，先选择使用通用路由封装(GRE)协议建立隧道，对流入数据进行封装，随后使用IPSec协议对数据包进行加密传输，从而实现从分校区到主校区的VPN连接.

2.2 动态多点VPN的实现

实现分校区之间的连接需要用到GRE的动态多点模式和下一跳解析协议(NHRP).校区间的VPN连接使用星型拓扑设计，主校区路由器作为中心站点，通过配置GRE为动态多点模式，可以在建立隧道连接时再获得分校区的接口地址，从而实现一个接口与多个分校区隧道连接的建立.为了实现分校区间的隧道连接，必须在该校区路由器上选择GRE多点模式，并使用NHRP协议，指定分校区启动时必须在中心站点注册自己的地址，当需要访问分校区网络时，向中心站点查询，然后建立分校区间的隧道连接.

2.3 双中心站点VPN的实现

为提高主校区连接的安全性，方案采用双路由设计(A为主中心站点，B为冗余站点)，在A、B中心站点上分别建立一个隧道接口，并配置GRE为多点模式，这样中心站点在不知道分校区隧道地址的情况下也可以与分校区建立隧道连接，从而简化了隧道接口的配置，便于以后的网络扩展.双中心站点的设置使分校区有两条路径可供选择，为确保不存在非对称路由问题，在配置分校区隧道接口时，需要为连接到主中心的站点配置更好的带宽,使分校区首先使用主中心站点.

2.4 设备验证

在建立VPN管理连接时，需要进行设备验证,以保证通信的保密性、完整性、可用性和不可否认性[1]，方案选择使用专门的认证机构(CA)作为第三方提供证书服务.完整的CA包括签发服务器、RA注册申请签发服务器、目录服务器及密钥管理中心等[2].NTP服务器提供时间服务.为了保证对服务器的访问，需要在中心站点和主校区内网防火墙上允许对CA和NTP服务器的访问.

3 方案的实施

3.1 设备选择

路由器采用Cisco设备中支持GRE和IPSec协议的VPN路由器，CA、NTP服务器是运行Windows 2003相应服务的服务器，防火墙要能够进行地址转化和访问控制.

3.2 路由器基本配置

主校区和分校区路由器都需要进行如下基本配置：访问控制、ISAKMP配置、DPD配置、获取和使用证书、定义IPSec 传输集[3].

3.2.1 访问控制

允许VPN使用UDP目标端口500建立管理连接，允许ESP加密的数据通过，允许对CA服务器80端口和NTP服务器123端口的访问.

3.2.2 ISAKMP配置

建立ISAKMP管理连接策略，指定设备验证方式为证书验证,设置数据加密方式和完整性验证方式.

3.2.3 死亡对等体检测

配置#crypto isakmp keepalive 153命令，设定每隔15 s向对等设备发送生存包，重试3次均未收到回复就认定对等设备不可连接.

3.2.4 获取和使用证书

在建立VPN管理连接时，需要对设备进行验证，配置证书验证，按照下面的过程进行：

(1)配置主机名和域名，生成密钥；

(2)指定CA服务器属性和与CA服务器交互的属性，如CA服务器名称、CA服务器URL、证书使用期限、申请次数等；

(3)下载、验证CA证书；

(4)向CA申请证书，路由器会自动下载到本地.

3.2.5 定义传输集

传输集主要用来定义在VPN的数据连接阶段，使用什么安全协议和算法保护数据.使用#crypto ipsec transform-set line1 esp-aes-256 esp-sha-hmac命令指定了两条规则与对等设备匹配；对于GRE的流量来说，它是一个点对点的连接，所以需要配置IPSec为点对点模式#mode transport.

3.3 双中心站点隧道配置

3.3.1 隧道配置

为了实现双中心站点需要在两台路由器上分别建立一条隧道，配置过程如下：使用#interface Tunnel 0命令建立隧道的虚拟接口；配置带宽、延时、MTU 1436(防止产生碎片)；配置A路由器#ip address 10.0.0.1(B路由器为10.0.1.1)，指定隧道接口地址；#tunnel source fa0/0指定隧道数据包的发送端口；#tunnel mode gre multipoint配置隧道为多点模式；指定隧道密钥，多点模式下可用于区分隧道；配置接口fa0/0地址和掩码(A路由器为211.84.199.1，255.255.255.0，B路由器为211.84.198.1，255.255.255.0)；配置内网接口fa0/1地址(A路由器为211.84.197.1，255.255.255.0，B路由器为211.84.196.1，255.255.255.0).

3.3.2 OSPF的配置

配置路由选择协议为OSPF，设定中心路由器A的priority值为2(B路由器值为1)，确定A路由器为指定路由器(DR),B为备份指定路由器(BDR)；在A、B路由器上设定隧子网与本地网络在区域0.

3.3.3 NHRP配置

设定注册密钥；配置#ip nhrp map multicast dynamic命令，接受来自分支站点的注册;配置NHRP网络ID(A路由器为100000，B路由器为200000)；配置nhrp holdtime为600.

3.4 分校区路由器配置

在分校区路由器上，仍然需要进行隧道、OSPF和下一跳路由3个方面的配置.隧道配置，需要建立两个隧道接口，并配置接口地址10.0.0.x和10.0.1.x，为实现分校区间的连接，接口配置为多点模式，配置NHRP ID、隧道ID和NHS服务器(10.0.0.1和10.0.1.1)；为确保不存在非对称路由，需要为主路由器配置一个更低的隧道带宽值；对于OSPF的配置，建立的两个隧道子网都在区域0，本地网络设为一个独立的区域；配置fa0/0接口地址和内网接口地址.

4 结 语

在网络技术飞速发展的今天，网络安全的重要性日益凸显，VPN作为解决现有网络安全问题的重要手段，可以有效地解决多种网络传输问题，为学校构建更加牢固的校园网络.目前，除了IPSec，还有许多其他的VPN实施方案，如何结合学校的实际来应用这些技术，将是我们今后研究的重点.

参考文献：

[1] Eric Maiwald.网络安全实用指南[M].天宏工作室,译.北京：清华大学出版社，2003:201.

[2] 关振胜.公钥基础设施PKI及其应用[M].北京：电子工业出版社，2007:107.

[3] Richard Deal.Cisco VPN完全配置指南[M].姚军玲,译.北京：人民邮电出版社，2009:733-734.