陳紅軍，周青云，張有順

（1. 鄭州職業(yè)技術(shù)學(xué)院，鄭州 450121；2. 鄭州大學(xué)，鄭州 450052）

0 引言

在構(gòu)建一個(gè)VPN 時(shí)，常遇到的問題是如何選擇VPN的類型?如何設(shè)計(jì)一個(gè)具體解決方案、如何配置VPN?目前，IPSec VPN和SSL VPN 是流行的兩類互聯(lián)網(wǎng)遠(yuǎn)程接人技術(shù)，市場(chǎng)上常見的產(chǎn)品也都支持它們。這兩種VPN 技術(shù)具有類似的功能特性，所采用的加密原理及其加密操作都能夠使原始明文變成密文在網(wǎng)絡(luò)中傳輸。常用的加密方法有對(duì)稱密鑰加密方法和非對(duì)稱密鑰加密法兩種，其主要區(qū)別在于密鑰的使用方面[1]。SSLVPN是應(yīng)用層加密，用戶使用性、安裝部署比較方便，但性能比較差；而IPSec VPN在應(yīng)用范圍上面較廣，其安全性也較高。IPSec是一種能為任何形式的互聯(lián)網(wǎng)通信提供安全保障的協(xié)議套件，它的目標(biāo)是用適當(dāng)?shù)陌踩院退惴ūＷo(hù)所要傳輸?shù)臄?shù)據(jù)，所采用的密鑰管理協(xié)議(ISAKMP)能夠提供用于應(yīng)用層服務(wù)的通用格式；互聯(lián)網(wǎng)密鑰交換(IKE)通過提供額外的特性和靈活性，對(duì)IPSec進(jìn)行了增強(qiáng)，并使IPSec易于配置。為此，以IPSec VPN為例，討論其具體解決方案的設(shè)計(jì)及其配置實(shí)現(xiàn)。

1 IPSec VPN方案設(shè)計(jì)

一個(gè)IPSec VPN方案一般包括以下幾個(gè)方面的內(nèi)容。

1）總部接人方案?？偛渴钦麄€(gè)機(jī)構(gòu)的核心，有許多重要信息通過內(nèi)部網(wǎng)絡(luò)傳輸、共享；其內(nèi)部網(wǎng)絡(luò)譬如可通過電信網(wǎng)絡(luò)直接接人互聯(lián)網(wǎng)。在總部?jī)?nèi)部網(wǎng)絡(luò)安裝VPN服務(wù)器，在網(wǎng)絡(luò)出口處配置具有VPN功能的路由器。

2）分支機(jī)構(gòu)及合作伙伴接人方案。由于各地分支機(jī)構(gòu)需要與總部進(jìn)行大量的信息交換，為了保障總部與分支機(jī)構(gòu)、總部與合作伙伴之間數(shù)據(jù)傳輸?shù)陌踩?，可以根?jù)各分支機(jī)構(gòu)的具體情況，分別對(duì)路由器進(jìn)行配置。通常，分支機(jī)構(gòu)可以擁有對(duì)總部訪問的全部權(quán)限，而合作伙伴只能查看部分資源。

3）移動(dòng)用戶的遠(yuǎn)程安全接入方案。在外出差的移動(dòng)用戶可以通過安裝在便攜式計(jì)算機(jī)上的客戶端撥號(hào)軟件，隨時(shí)通過接入當(dāng)?shù)豂SP。便攜機(jī)接人互聯(lián)網(wǎng)后，使用撥號(hào)軟件與總部機(jī)構(gòu)的安全網(wǎng)關(guān)建立起加密隧道，安全接人總部或各個(gè)分支機(jī)構(gòu)。

一個(gè)典型VPN 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖，如圖1所示。

圖1 VPN 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖

在如圖1所示的VPN方案中，主要是實(shí)現(xiàn)機(jī)構(gòu)總部路由器1與分支機(jī)構(gòu)路由器2，以及合作伙伴路由器3之間的VPN互連；通過VPN服務(wù)器和客戶端的相關(guān)設(shè)置，可實(shí)現(xiàn)移動(dòng)辦公用戶與總部服務(wù)器之間的VPN連接。實(shí)際中，機(jī)構(gòu)總部下屬分支機(jī)構(gòu)和合作伙伴數(shù)量可能較多，在拓?fù)浣Y(jié)構(gòu)示意圖中只選擇了部分分支機(jī)構(gòu)作為示例說明。表1所列為其相關(guān)的端口及IP地址規(guī)劃設(shè)置。

表1 路由器端口及l(fā)P地址設(shè)置

2 路由器到路由器的IPSec配置

在路由器到路由器之間采用IPSec方式連接，需要配置一條虛擬隧道，使兩個(gè)網(wǎng)絡(luò)能夠通過一個(gè)安全鏈接，進(jìn)行安全可靠的通信。以采用預(yù)共享密鑰的IPsec加密方法為例[2]，其IPsec VPN 配置過程為：

1）配置IKE策略：內(nèi)容有hash算法、加密算法、DH 組、生存時(shí)間；

2）配置預(yù)共享密鑰：需要選擇IP地址或者主機(jī)名來標(biāo)識(shí)該密鑰；

3）配置IPSec參數(shù)：包括配置本端標(biāo)識(shí)，本端標(biāo)識(shí)有IP地址和主機(jī)名：以及配置數(shù)據(jù)流(Access—list)，以便在加密映射中引用該數(shù)據(jù)流；

4）設(shè)置加密轉(zhuǎn)換規(guī)則，轉(zhuǎn)換規(guī)則是某個(gè)對(duì)等方能接受的一組IPSec協(xié)議和密碼學(xué)算法，雙方要保持一致；

5）配置加密映射：為IPSec創(chuàng)建加密映射條目，使得用于建立IPSec安全聯(lián)盟的各個(gè)部件協(xié)調(diào)工作；

6）應(yīng)用(激活)加密映射；

7）查看VPN 的配置。IPsec VPN具體配置一般需要以下三大步驟[3]。

2.1 確定ISAKMP(IKE階段1)策略

確定ISAKMP就是在遠(yuǎn)程網(wǎng)絡(luò)的邊界路由器1上，定義管理連接的IKE策略，主要包括確定密鑰分發(fā)方法、確定認(rèn)證方法，為對(duì)等體確定ISAKMP策略。ISAKMP策略定義IKE協(xié)商過程中使用的安全參數(shù)組合。一組策略形成一個(gè)多策略的保護(hù)套件，使IPSec對(duì)等體能夠以最小配置建立IKE會(huì)話和SA。

router1 (config) # crypto isakmp enable //啟用IKE協(xié)商

routerl (config) # crypto isakmp idwntity address

routerl (config) # erypto isakmp policy 10 //建立IKE協(xié)商策略(10是策略編號(hào))

routerl (config—isakmap) # encryption des 128 //使用DES加密方式，密鑰長(zhǎng)度為128

routerl (eonfig—isakmap) # hash md5 //指定Hash算法為MD5(其他方式如SHA、RSA)

router1 (eonfig—isakmap) # authentication preshare //告訴路由器使用預(yù)共享密鑰進(jìn)行身份認(rèn)證

router1 (config—isakmap) # group 1 //指定密鑰位數(shù)，group 2安全性更高，但更耗CPU

router1 (config-isakmap) # exit

然后，配置預(yù)共享密鑰，并指定VPN另一端路由器的IP地址。

router1 (config) # crypto isakmp key thisisatest address 192. 168. 99. 30 //thisisatest為共享密鑰，192. 168. 99. 30為對(duì)等端的路由器2的IP地址。

2.2 定義IPSec (IKE階段2) 策略

IPSec策略定義了一個(gè)IPSec參數(shù)組合，用于IPSec協(xié)商過程。IPSec規(guī)劃也稱為1KE階段2，是在一臺(tái)路由器上配置IPSee應(yīng)該完成的又一個(gè)重要步驟。主要配置以下內(nèi)容。

1）配置IPSec參數(shù)。創(chuàng)建一條需要加密本地局域網(wǎng)流量的訪問表(ACL)，即定義哪些地址的報(bào)文加密或是不加密。例如，機(jī)構(gòu)總部的IP地址范圍是202. 119. 128. o / 24，遠(yuǎn)程用戶的IP地址范圍為192．168．99．0／24。

(4)缺乏培養(yǎng)新型人才的實(shí)踐環(huán)境。新時(shí)期新型人才的培養(yǎng)更加重視理論與實(shí)踐的結(jié)合，對(duì)于實(shí)踐環(huán)境的要求也更高。當(dāng)前，很多高校的理論課程內(nèi)實(shí)驗(yàn)或設(shè)計(jì)在計(jì)算機(jī)機(jī)房或者實(shí)驗(yàn)室就可以很好地完成。但是，這些實(shí)踐環(huán)境不能滿足企業(yè)的要求，需要和企業(yè)進(jìn)行更為緊密的合作。

router1 (config) # ip access-list extended Local

router l (config-ext-nac1) # permit ip 192. 168.99. 0 0. 0. 0. 255 202. 119. 128. 0 0. 0. 0. 255

2）設(shè)置加密轉(zhuǎn)換規(guī)則。配置用于定義與對(duì)等端通信使用的安全協(xié)議和算法的變換集，可以定義認(rèn)證使用AH，加密使用ESP或者是認(rèn)證使用ESP，用戶必須至少定義一個(gè)安全協(xié)議。

routerl (config) # crypto ipsec transform-settest esp-3des esp-md5 //為ESP加密選擇3DES，為ESP認(rèn)證選擇MD5作為Hash算法；test為傳輸模式的名稱。

3）配置加密映射。建立匹配訪問表與對(duì)等端交換集的crypto map(將IKE協(xié)商信息與IPSec參數(shù)整合，命名)，可以為每個(gè)映射表項(xiàng)定義多個(gè)對(duì)等端的IP地址，但每個(gè)匹配表項(xiàng)中只能定義一個(gè)變換集和一條訪問表。

router1 (eonfig) # crypto map testmap 1 ipsec-isakmp // testmap是erypto map的命名routerl(config-crypto-map)# set peer 192. 168. 2.1 //指定此VPN鏈路對(duì)等端的IP地址router 1 (config-crypto-map # set transform-set test //IPSec傳輸模式的名稱

router1 (config-crypto-map) # match address Local // Local是上面定義的ACL訪問表號(hào)。

4）應(yīng)用(激活)加密映射，即把上一步創(chuàng)建的映射(erypto map的名字)應(yīng)用到一個(gè)路由器端口上。一般應(yīng)用在距目的路由器最近的端口上。

routerl (config-if) # crypto map testmap //testmap：crypto map的名字

2.3 查看VPN 的配置

配置IPSec策略之后，要檢查路由器的當(dāng)前配置，以確定在已經(jīng)配置的IPSec策略中，是否有一些策略有助于或干擾了規(guī)劃的IPSee策略配置。

router1 # show crypto ipsec sa //查看安全聯(lián)盟

router1 # show crypto map //顯示crypto map內(nèi)配置的加密圖

routerl # show crypto isakmp policy //檢查默認(rèn)的IKE階段1策略及任何配置的IKE階段1策略

按照上述步驟，在路由器2、路由器3中進(jìn)行類似配置，就可以實(shí)現(xiàn)IPSec加密傳送。注意，在開始配置IPSec前，必須檢查對(duì)等體之間的基本連通性，確保網(wǎng)絡(luò)在沒有加密時(shí)也能工作。例如，可使用路由器的ping命令進(jìn)行檢查。否則，一旦激活I(lǐng)PSec后，安全配置可能會(huì)掩蓋網(wǎng)絡(luò)的某些基本問題，致使難以處理基本連通性類故障。

3 Windows 2003下VPN 的配置與實(shí)現(xiàn)

Windows 2003 Server服務(wù)器的配置和客戶端撥號(hào)軟件的設(shè)置主要有以下兩項(xiàng)內(nèi)容。

1）配置VPN服務(wù)器，使之能夠接受VPN接人。完成VPN服務(wù)器的配置后，還需要?jiǎng)?chuàng)建用戶、為用戶設(shè)置撥人權(quán)限，讓遠(yuǎn)程計(jì)算機(jī)可以通過VPN 服務(wù)器訪問機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)。

2）配置VPN客戶端（如Windows XP）并建立客戶端與服務(wù)器問的VPN 鏈接。通常，在客戶端使用PPTP撥號(hào)連人VPN服務(wù)器。當(dāng)VPN 客戶機(jī)通過PPTP撥號(hào)與VPN 服務(wù)器鏈接成功后，VPN 客戶機(jī)就成了VPN 服務(wù)器所在局域網(wǎng)的一個(gè)組成部分。在該局域網(wǎng)內(nèi)，任意一臺(tái)計(jì)算機(jī)均可以按照權(quán)限訪問其他計(jì)算機(jī)上的軟硬件共享資源，操作方法也與普通局域網(wǎng)完全一樣。

VPN 技術(shù)能夠較好地實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)訪問與管理等問題?；贗Psec的VPN，一般需要通過對(duì)雙方路由器的配置、Windows 2000 / 2003 Server服務(wù)器的配置，以及客戶端撥號(hào)軟件的設(shè)置之后，才能使得一個(gè)總部機(jī)構(gòu)與分支機(jī)構(gòu)或者是合作伙伴使用公網(wǎng)建立起虛擬隧道鏈接。有時(shí)，還可采用身份認(rèn)證譬如采用智能卡等多種形式，進(jìn)行遠(yuǎn)程辦公室到本地辦公室以及移動(dòng)用戶IPSec VPN撥人的身份認(rèn)證，以進(jìn)一步強(qiáng)化安全訪問控制。

[1] Hundley K. 前導(dǎo)工作室譯. Cisco訪問表配置指南[M]. 北京: 機(jī)械工業(yè)出版社, 2000.

[2] Antoon W Rufi著. 北京郵電大學(xué)Cisco網(wǎng)絡(luò)技術(shù)學(xué)院譯. 思科網(wǎng)絡(luò)技術(shù)學(xué)院教程[M]. 北京: 人民郵電出版社,2008.

[3] 王文. VPN 技術(shù)原理探析及實(shí)例[J] 軟件導(dǎo)刊, 2009,8(6): 134-136.

[4] 王二平, 王剛, 張興忠.支持多站點(diǎn)的網(wǎng)站內(nèi)容管理系統(tǒng)開發(fā)案例[J]. 電腦開發(fā)與應(yīng)用, 2009, 22(8): 15-16.