田庆 陈炯栩
摘 要:随着网络应用的发展,很多用户需要在不同的环境接入安全性相对较高的专用网,这一需求造就了虚拟专用网络技术的诞生。高校是一个非常典型的应用案例,文章以某高校部署VPN需求为例,详细介绍如何利用GNS3等模拟软件快速部署校园的VPN。
关键词:IPSec VPN;模拟软件;GNS3
1 绪论
虚拟专用网络(Virtual Private Network,简称VPN)技术这种低价、安全、可靠的专用网络,能很好满足各行业的需求,由此VPN变得原来越重要。
以高校为例,校园网资源只能在校园网络内部才能访问,这远远不能满足用户对资源共享的需求。例如许多校内教师都不是居住在校园中或出差在外,当他们在校园外急切需要从校园网内部服务器进行资料搜索、维护等等操作时候,但由于校内资源的安全保密性问题,不能在公网上共享,这会导致教师无法及时对校园网内部资源进行操作。
文章以某高校为例,利用GNS3模拟软件研究VPN的部署方案,简化在部署VPN过程中的各种流程,提供高效快速的解决方案。
2 某高校的VPN构建需求
某高校的校园网主要由主校区和分校区构成,其地理位置相距较远,架设专线成本会相对较高,VPN可以在解决两个校区网络通信的同时保证数据传输的安全性问题。
另外校园外远程用户(不在校内的人员)需要一个能即时、安全访问校内资源的手段,但是其远程用户要访问校园网资源时,也需要通过公网的连接才能访问,同样的急需保障数据传输的安全性。同样的,此次设计利用远程访问VPN技术解决远程用户访问校园网内部资源时,保证数据在公网上传输的安全性。
总结来说,校外用户安全访问校园网资源需要解决一下问题:
分校区安全访问主校区的问题;远程用户安全访问校园网络内部资源问题。
3 模拟环境简介
GNS3是一款可以在Windows、Linux、MacOS等操作系统中使用的性能卓越的图形化界面网络模拟虚拟软件。它能够模拟使用思科系统的网络设备,并且能根据对设备加载的IOS不同,模拟配置效果也会有所不同,由此在设备选型中给我们更大的选择空间。用其进行网络构建,更接近使用真实设备效果,对于缺少真实设备进行架构网络实验和在配置真实设备前模拟测试网络可行性更提供了一种有效便捷的模拟平台。
VirtualBox是一款功能强大的虚拟机软件,它不仅具有丰富的特色,而且性能也很优异。VirtualBox是一款开源、免费的虚拟机软件,性能不比Vmware、VirtualPC差,支持系统环境也很丰富。用VirtualBox安装各类操作系统后还可以安装其增强工具,使鼠标在主机与虚拟机间自由移动、并且可共用剪切板。性能优异却占用很少的资源。
在GNS3中架构好接近实际的网络环境后,可根据在测试的性能的不同,配置所需要操作系统的虚拟机。再根据实际需要,在虚拟机内配置相关服务,成功搭建出一个具有模拟与实际网络互通互连的网络工程模拟实验环境,使模拟环境更接近于实际网络环境。
4 利用GNS部署校园网VPN
4.1 网络拓扑设计
由于本次课题需要解决某高校主校区与分校区园区网络之间通信安全性问题,故分别构建两个园区网络,分别代表主校区网络和分校区网络,并且两地之间通信经过公网Internet。由此在两个站点出口路由处构建站点到站点VPN,以达到数据在公网上安全传输。
另外,对于远程用户,即公网上的用户需要访问肇庆学院主校区校园网,故在增加VPN网关和VPN服务器,和利用一台连接公网Internet上的虚拟机模拟远程电脑,以此搭建远程访问VPN。图1为搭建好后的网络拓扑结构。
4.2 远程访问VPN设计
在校园网络VPN构建中,远程访问是十分重要的一部分。本次主要使用VPN业务中的VPDN在服务器内部署。由于VPDN会对传输的数据进行封装和加密,从而保障了传输数据的私密性,并使VPN达到私有安全网络的级别。同时VPDN部署不太复杂,远程用户在远程访问校园网时操作相对简单。
在VPN网关中,利用NAT静态映射,把VPN服务器映射到公网地址上,再在VPN服务器利用VPDN技术进行相关的安全性配置,然后让远程用户通过接入VPN服务器访问校园网资源。
5 方案验证
5.1 远端站点访问测试
5.1.1 使用ping命令在分校区学生宿舍中虚拟机xp(172.16.8.120)ping主校区公共文件服务器(192.168.0.120),能正常ping通。
5.1.2 基于应用层上,使用分校区学生宿舍中虚拟机xp(172.16.8.120)访问主校区公共文件服务器(192.168.0.120),在xp虚拟机上输入ftp://192.168.0.120,虚拟机xp能正常访问公共服务器;再在xp虚拟机上复制文件夹名为<172.16.8.120>的文件到公共FTP服务器上,经测试文件能复制到FTP服务器上。
5.1.3 利用远程移动用户虚拟机,访问私有文件服务器(ftp://172.17.1.120),测试结果显示远程移动用户能正常访问校园网内部资源。
5.2 站点到站点安全性测试
在本次研究中,主要目的是保证校外用户能安全访问校园网内部资源,即使在公网上被捕获到数据,也不能对其恢复成明文信息。
图2为分校区用户即IP地址为172.16.8.120的虚拟机访问肇庆学院主校区公共文件服务器(192.168.0.254)的时候,利用Wireshark是在Internet处捕获的数据包。
从捕获到的数据包,可以了解到以下几个问题。
即使没有进行地址转换,IPSec VPN不会把内网使用的私有地址暴露在Internet上,原地址和目的地址都会被公有地址所替换掉,从而保证了校园内网安全。
其所传输的数据流,都是经过封装加密的,在前面研究可以知道,ESP协议是能够为数据提供私密性、完整性和源认证3大方面保护,并且能够抵御重放攻击,从而能保障数据在公网上传输的安全问题,即使数据被截获,也不能对其恢复。
另外阴影标示的ISAKMP协议,它是IKE的核心协议,其主要用于双方之间的认证协商,其进行策略协商后,对加密策略、散列函数、认证方式等等进行进一步的安全性保护,保障双方在互相认证时的安全性,不会被第三方截获密钥。
5.3 远程访问安全性检验
利用远程移动虚拟机(172.18.166.120)访问校园网私有文件服务器(172.17.1.120)时候再Internet上捕获的数据包。
从捕获到的数据包可以知道在公网线路上的传输是经过GRE隧道的封装,数据都是加密后的报文,即使在传输的线路上被他人截获,也无法查看数据包内容。
可能以此与之前说 GRE没有采用任何的安全防护手段,如果在VPN连接技术中单独使用GRE,会造成较大的安全隐患;但是因为我们在配置VPN服务器时,为其配置了VPDN,VPDN主要利用PPTP、L2TP、PPP等协议进行数据传输,VPDN在传输数据时,都会对数据进行进一步封装和加密。所以GRE间接通过VPND的PPP数据加密技术,对其传输的数据进行加密,从而保证数据传输的安全性。
6 结束语
从以上的测试可以看出,利用GNS3部署的VPN具有良好的安全性和可用性,可以快速部署在实际网络中,为实际网络的部署提供了非常快速的模拟解决方案。
参考文献
[1]秦柯.Cisco IPSec VPN实战指南[M].北京:人民邮电出版社,2012:28.
[2]易建勋,姜腊林,史长琼.计算机网络设计[M].第二版.北京:人民邮电出版社,2011:109.
[3]范青.浅谈虚拟专用网(VPN)的技术研究与应用[D].北京:北京理工大学,2007.
[4]马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计期刊报,2007,21(3):11-16.
[5]中蓝工作室.局域网服务器安装与配置实战[M].北京:科学出版社,2004:126.