一、虚拟专用网概述
VPN即虚拟专用网 (Virtual Private Network) , 处于不同地理位置的用户皆可通过VPN安全便捷地访问某一机构的本地网络。由于租用线路, 建立物理专线费时费力的弊端, 这一传统方法逐渐被淘汰。而隧道技术的兴起则是VPN普及的极大推动力, 使地理位置不同的计算机在逻辑上的建立互联。
二、隧道技术
(一) 隧道技术的引出
由于公用网络的复杂性, 公共性以及较低的安全性, 机构内部之间的数据传输会出现较多的不安全因素, 而通过建立虚拟专用网, 在公共网络中铺设一条“隧道”来封装数据, 便可保证数据的安全传输, 这便是隧道技术。
隧道技术如何封装数据, 这便引出了隧道协议。
(二) 隧道协议
对数据的封装中, 第二层隧道技术和第三层隧道技术起着至关重要的作用。二者的区别就在于通过不同的隧道技术对数据包的封装传输, 应用于协议栈的不同层。第二层隧道技术, 如PPTP, L2F, L2TP, 位于OSI模型中的数据链路层, 将数据封装进PPP帧中, 并以数据帧为传输单元。第三层隧道技术, 如IPSec, GRE位于OSI模型中的网络层, 将数据封装在IP数据报中。下文以IPSec协议为例, 介绍如何实现虚拟专用网对数据的封装及安全传输。
三、IPSec协议
(一) IPSec协议概述
IPSec协议 (Internet安全协议, 即Internet Protocol Security) 的核心特点是安全性, 所有性能均围绕这一特点展开的。IPSec是第三层隧道技术应用于网络层, 与其他协议不同的是IPSec并非单独独立的, 而是一系列用于保护数据在专用网中安全传输的协议族, 包括IKE, ESP, AH。在使用IPSec协议时, 首先对使用该协议的实体建立逻辑互联即安全关联SA (Security Association) 。两个实体根据IKE协议 (Internet密钥交换协议, 即Internet Key Exchange) 配置同一个安全策略, 并通过协商建立SA, 密钥交换, 定义感兴趣流。ESP (封装安全载荷, 即Encapsulate Security Payload) 与AH (验证头, 即Authentication Header) 为IPSec提供两个防范机制, ESP虚拟专用网中的数据提供加密服务, 在IP数据首部报首部与TCP首部增加ESP首部, 而在尾部增加ESP校验;AH实现数据完整性检测, 认证数据源身份, AH序列号可识别重复的数据包并将其丢弃。
(二) IPSec协议两种封装及工作模式
隧道模式与传输模式是IPSec协议两种主要的工作模式。二者区别在于两点, 一是封装方式不同, 二是其IP地址是否允许数据包从一个网络设备转发到另一个网络设备 (即是否可路由) 。当IP地址不可路由时使用隧道模式, 并将将原IP首部封装起来, 并添加新的IP首部和ESP首部;反之使用传输模式, 并在原IP首部与TCP首部之间插入ESP首部。若IP地址不可路由仍使用传输模式, 数据包则会被目的路由所丢弃。
四、IPSec协议配置校园网
IPSec协议由一整套具有完整性, 安全性的标准协议构成, 支持大多数IP层协议, 并整合网络防火墙功能, 因此作为校园网的基本协议较为合适。
R总校 (config) #crypto isakmp policy 01
R总校 (config) #encryption 3des//EPS加密算法3des
R总校 (config) #hash md5//AH加密算法md5
R总校 (config) #authentication pre-share
R总校 (config) #crypto isakmp key xxx address xxx.xxx.xxx.xxx//设置共享密钥名称及映射地址 (其中x可根据实际情况自定义)
总校区分校区均需对双方各自路由器完成上述配置。首先进行IPSec第一阶段协商, 配置同一IKE策略 (即SA) , 两校区根据对方IP地址协商密钥交换方式, 数据加密算法, 以上述代码为例, AH采取md5加密算法, EPS采取3des加密算法。随后进行第二阶段协商定义感兴趣流, 通过创建加密图, 并将第一阶段的配置关联到加密图中。此时VPN配置基本完成, 如需通过VPN访问公用网络, 则对各自路由器配置NAT便可实现对互联网资源的正常访问。
五、结语
IPSec协议可靠性, 私有性等特点保障了校园虚拟专用网数据的安全传输, 但IPSec需要完成路由器的配置, 并且用户使用前需安装相应客户端, 因此会带来一些不便。故产生了多个协议配合使用的方式如, L2TP与IPSec, GRE OVER IPSec, 弥补单一协议的缺点。
摘要:VPN作为一种便捷低廉的通讯方式逐渐进入人们的视野, 其中隧道技术的运用最为广泛。本文分析了根据IPSec协议建立VPN隧道, 并以校园网为例, 介绍该技术在实际生活领域的应用。
关键词:VPN,隧道技术,IPSec协议,数据传输,校园网络
参考文献
[1] 李睿.VPN隧道技术的研究及其实现[D].上海:同济大学, 2007.
[2] 过林吉, 沈浅.VPN隧道协议的研究与探讨[J].电脑知识与技术, 2010, 6 (3) :609-610.
[3] 孙光懿.基于GRE和IPSec协议的VPN仿真[J].陕西理工大学学报, 2018, 34 (1) :49-55.
[4] 梁泽海.基于IPSec的VPN在校园网中的研究与设计[J].信息与电脑, 2018 (4) :122-125.
[5] 周颖.两种VPN隧道网路协议详解与比较[J].电脑知识与技术, 2009, l5 (36) :10592-10593.