基于IPSEC 的VPN 技术实现多校区网络互联

摘要：实现全球性的计算机网络互联是世界发展的大趋势。同属一家学校但分布在不同地理位置上的多个校区，它们存在进行计算机网络通信的需要。IPSEC技术可以通过跨越Internet组建校区之间的VPN虚拟专用链路，实现在不同局域网间的安全而又有效的通信；是时下最为先进的、也是最为强大的计算机网络安全通信解决方案。与传统的专线网络相比，IPSEC VPN技术具有安全、高效、成本低的优点。

关键词：IPSEC；VPN

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）02-0236-04

计算机网络技术的快速发展使得人们步入了信息化的时代。在社会生活的各个环节，计算机网络起着越来越重要的作用。它缩短了现实的距离，并促使人们进行资源优化以提高工作效率和节约成本，这对社会发展和个人生活带来日益广泛和深远的影响。

1 需求分析

我校由于合并办学等原因，拥有两个校区：主校区和分校区，两个校区距离较远。由于历史原因，两个校区已经分别建设自己的内部网络，并实现Internet接入，但是校区之间没有建立网络互联。按照上级信息化建设的要求，学校规划了无纸化综合应用系统，包括：学校主页平台、学分制系统、后勤管理系统、网上教学平台、学习资源平台、视频点播系统等。根据目前网络互联现状，主校区的师生们可以利用内部IP地址及域名轻松访问这些校内网上应用平台。分校区由于没有与主校区之间的网络互联，无法像主校区的师生们一样访问校内应用平台。

两个校区师生们存在着进行无纸化网络办公、内部资源共享、安全访问等需求。通常解决此需求的一种做法是，在主要校区搭建起各种内部服务器，以提供网络服务，并向Internet发布这些服务，分校区则通过跨越Internet来实现对主校区的网络应用平台的访问。在该设计方案中，分校区用户与因特网上的其他用户在对主校区网络服务的访问权限是相同的。然而，学校内部网络向因特网开放网络服务所花费的成本很高，并lrgRJIQbdTltjiCSCm6rPg==且会对内部网络造成一定的安全威胁。基于降低网络运行成本和消除网络安全隐患的角度考虑，学校希望只有内部师生可以使用相关网络服务，而不是来自Internet的所有用户。另一种常规做法是使用专线技术搭建两个校区之间的物理链接。这可以实现两个校区之间的网络互连，满足师生进行通信和资源共享的需要。但是，搭建物理专用线路成本过高，学校难以承担。针对此种情况，可以使用基于IPSEC的VPN技术在现有公共网络上搭建多校区之间的虚拟私有网络。只有本校师生可以利用VPN虚拟链路跨越Internet安全而又高效地访问校内应用平台及网络资源、进行网络无纸化办公。IPSEC VPN虚拟链路可以将那些不相关的因特网用户安全隔离出去，同时可对两校区之间的通信数据进行加密和和检查，实现安全通信的目的。

2 技术描述

2.1 VPN技术简介

VPN（Virtual Private Network，虚拟私有网络）利用公共网络（如Internet）来搭建组织或企业的私有专用网络。VPN技术在现有的网络硬件基础上，创建一条连接位于不同地理位置的两个区域的逻辑链路，如同在不同区域的两个LAN（本地局域网）之间搭建了一条专用隧道。处于Internet上的VPN对于不相关的网络用户如透明般不可见，而对于内部用户而言就如同组织或企业内部的私有网络一样，具有安全、高效和可管理性。这为组织或企业节约了搭建一条专用物理线路的费用。

2.2 IPSEC技术简介

实现VPN的技术有多种，如PPTP（Point to Point Tunneling Protocol，点到点隧道协议）、L2TP（Layer 2 Tunneling Protocol，二层隧道协议）、GRE（Generic Routing Encapsulation，通用路由封装协议）、IPSEC（Internet Protocol Security，IP安全协议）。校区之间的网络访问通常只有IP单播数据流，且有较高的安全需求，据此，选择IPSEC技术来实现VPN连接。

IPSEC是一种由IETF（Internet Engineering Task Force，因特网工程任务组）设计的端到端的确保基于IP网络通讯的数据安全性的机制，包含一系列通信安全协议，它定义一种开放标准的框架结构，制定了隧道模式的数据包格式，实现了在公共网络上的安全传输，是一套比较完整的三层VPN隧道技术实现方案。IPSEC本身是一组协议方法的总称，创建VPN连接的双方在IP层通过对数据的验证与加密技术，保证了数据包在Internet网上传输时的私用性、完整性和真实性。IPSEC技术是确保VPN安全的主要方式。

3 功能实现

3.1 学校网络连接现状描述

学校网络服务器位于主校区的网络中心。主校区网络使用保留IP地址段10.153.0.0/16；其中内部服务器群使用10.153.10.0/24网段，校内各办公室信息点和计算机机房使用其它网段。主校区向ISP申请了专用公网IP地址，用于Internet接入，假设为：202.96.168.90。其IP地址规划如表1。

表1

分校区主要信息点为教职工办公用计算机、各计算机机房用PC等。分校区规模较小，信息点总数约为150个，使用保留IP地址段192.168.10.0/24。分校区向ISP申请了公网专用IP地址，假设其为：202.96.188.80，用于Internet访问接入。

主校区与分校区网络大致结构如图1。

图1 学校两校区网络结构图

3.2 VPN通信方案设计

虚拟私有网络（VPN）利用现有的公共网络（例如因特网），通过资源配置，而生成一个虚拟的、临时的、安全的网络连接。VPN通常由两种传输模式：访问模式和隧道模式。访问模式多用于终端到终端以及终端到站点之间的访问；隧道模式则多见于站点与站点之间的连接，大多使用加密技术、身份验证技术等安全策略，以实现站点到站点的安全传输。VPN隧道模式通信模型如图2所示。

在公共网络中，构建主校区与分校区之间的VPN隧道。在此虚拟链路中，需要解决以下几个问题：

怎样描述需要受保护的数据流？

如何确定数据发送者的身份？

当跨越公共网络进行传输时，怎样判断数据是否经过修改、损坏？

如何保证数据的隐私性？

基于IPSEC的VPN隧道可提供几种主要安全功能，来解决上述问题。

通过定义ACL，来定义受保护的数据流。

对数据来源进行验证，可以确定数据发送者的身份，保证数据来自于正确的地点。

对数据完整性进行检验，可以检查数据传输过程中是否被修改。

对数据进行加密、可以有效防止非授权人员的窃听、窥测。

IPSEC隧道模式对原始IP数据包进行封装和加密，然后对经过加密的内容进行再次封装到明文IP数据包内，通过公共网络发送到VPN隧道对端，收到该数据包的设备对数据报进行处理，取出明文IP包头，对负载内容进行解密之后，得到原始IP数据包。经过路由设备正常处理后，原始数据包将被发送给目标主机。

IPSEC的加密与验证工作是通过两个安全协议来完成的，AH（Authentication Header，验证包头）和ESP（Encapsulating Security Payload，封装安全负载）。当通信双方不需要对数据本身进行加密时，使用AH协议方法来提供对IP数据包的完整性和身份认证，以保证数据在发送过程中没有被修改和来自于正确的地址。当通信双方需要对数据进行加密时，必须使用ESP协议方法。ESP不仅提供对数据的完整性检验机制和身份验证方法，还提供了对数据进行加密的机制，以保证数据的隐私性。

IPSEC对数据的保护最终需要通过SA（Security Association，安全联盟）来实现。安全联盟是IPSEC的基础，也是IPSEC的根本。它本质上是VPN通信对等体之间的策略约定，例如使用的协议类型、加密算法、共享的口令以及密钥的生命周期等。

需要为IPSEC隧道定义要保护的敏感数据流。定义受保护的数据流可以由配置ACL（Access Control List访问控制列表）来实现。在ACL中通过对源地址、目的地址、协议、端口、时间等参数的设定来描述受保护数据流的特征。ACL配置完毕后，要与IPSEC的加密映射集建立关联。当VPN设备收到这些敏感数据包时，IPSEC通常自动触发IKE协商产生IPSEC的安全联盟。安全联盟将外出数据包进行加密或填写验证信息并发送给VPN对端设备，收到相应数据包的对端设备则查找对应的安全联盟，并对此数据包进行解密、验证后还原，最终发送给目标主机。

3.4 结果检验

在分校区的PC上访问主校区服务器资源，如能够成功，即可证实IPSEC VPN隧道创建成功，分校区与主校区可实现安全通信。

4 结束语

同属一家学校位于不同地理位置的两个校区，存在着建设一体化网络、进行通信和资源同享的需要。传统意义上的使用专线连接两个校区以构建一体化网络的做法花费成本太高。使用IPSEC VPN方式利用现有公共网络搭建一条虚拟的专用线路，不仅可实现两校区之间网络的安全有效的数据传输，而且还大大节约了成本。

参考文献：

[1] Ivan Pepelnjak，Jim Guichard. MPLS和VPN体系结构[M].北京：人民邮电出版社，2012.

[2] Vijay Bollapragada，Mohamed Khalid.XML，Scott Wainner IPSec VPN设计[M].北京：人民邮电出版社，2012.

[3] Jeff Doyle，Jennifer Dehaven Carroll.TCP/IP路由技术：2卷[M].北京：人民邮电出版社，2009.

[4] 贾铁军.网络安全技术及应用[M].北京：机械工业出版社，2009.

[5] 王达.路由器配置与管理完全手册：Cisco篇[M].武汉：华中科技大学出版社，2011.