齊云飛, 程 飛

(河南財(cái)政稅務(wù)高等?？茖W(xué)校 現(xiàn)代教育技術(shù)中心, 河南 鄭州 450002)

隨著中國高等教育規(guī)模的不斷擴(kuò)大與服務(wù)水平的不斷提升，社會(huì)在教學(xué)、科研和管理等方面對(duì)高校提出了更高的要求.目前，許多高校都有多個(gè)校區(qū)，根據(jù)一體化管理的要求，學(xué)校普遍采用分布式系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的集中管理.分布式系統(tǒng)在運(yùn)行過程中經(jīng)常需要跨校區(qū)訪問，而缺少保護(hù)的公網(wǎng)傳輸會(huì)使數(shù)據(jù)面臨極大的安全威脅.針對(duì)上述情況，本文結(jié)合校園網(wǎng)絡(luò)建設(shè)實(shí)際，提出了基于IPSec的雙中心站點(diǎn)動(dòng)態(tài)多點(diǎn)VPN解決方案.

1 背景分析

以某高校實(shí)際情況為例，學(xué)校有多個(gè)校區(qū)，包括一個(gè)主校區(qū)與多個(gè)分校區(qū)，每個(gè)校區(qū)內(nèi)部都有獨(dú)立的校園網(wǎng)絡(luò)，對(duì)外都接入教育網(wǎng).由于采用了分布式管理系統(tǒng)，多個(gè)校區(qū)之間經(jīng)常需要進(jìn)行訪問，更新數(shù)據(jù)，現(xiàn)需要一種解決方案來實(shí)現(xiàn)校區(qū)之間的數(shù)據(jù)安全傳輸.

2 方案的設(shè)計(jì)

針對(duì)上述情況，我們提出了雙中心站點(diǎn)雙動(dòng)態(tài)多點(diǎn)VPN的設(shè)計(jì)方案.通過在校區(qū)網(wǎng)絡(luò)邊沿配置帶VPN功能、支持GRE與IPSec協(xié)議的路由器來實(shí)現(xiàn)VPN的連接和路由選擇，使用專門的CA和NTP服務(wù)器對(duì)傳輸設(shè)備進(jìn)行證書認(rèn)證，詳細(xì)方案見圖1.

圖1 雙中心站點(diǎn)動(dòng)態(tài)多點(diǎn)GRE連接圖Fig.1 Double-center site dynamic multi-point GRE connection diagram

2.1 隧道VPN連接的實(shí)現(xiàn)

由于IPSec只支持IP單播流量，當(dāng)使用OSPF動(dòng)態(tài)路由選擇協(xié)議或組播協(xié)議時(shí)，會(huì)出現(xiàn)問題.對(duì)此方案，先選擇使用通用路由封裝(GRE)協(xié)議建立隧道，對(duì)流入數(shù)據(jù)進(jìn)行封裝，隨后使用IPSec協(xié)議對(duì)數(shù)據(jù)包進(jìn)行加密傳輸，從而實(shí)現(xiàn)從分校區(qū)到主校區(qū)的VPN連接.

2.2 動(dòng)態(tài)多點(diǎn)VPN的實(shí)現(xiàn)

實(shí)現(xiàn)分校區(qū)之間的連接需要用到GRE的動(dòng)態(tài)多點(diǎn)模式和下一跳解析協(xié)議(NHRP).校區(qū)間的VPN連接使用星型拓?fù)湓O(shè)計(jì)，主校區(qū)路由器作為中心站點(diǎn)，通過配置GRE為動(dòng)態(tài)多點(diǎn)模式，可以在建立隧道連接時(shí)再獲得分校區(qū)的接口地址，從而實(shí)現(xiàn)一個(gè)接口與多個(gè)分校區(qū)隧道連接的建立.為了實(shí)現(xiàn)分校區(qū)間的隧道連接，必須在該校區(qū)路由器上選擇GRE多點(diǎn)模式，并使用NHRP協(xié)議，指定分校區(qū)啟動(dòng)時(shí)必須在中心站點(diǎn)注冊(cè)自己的地址，當(dāng)需要訪問分校區(qū)網(wǎng)絡(luò)時(shí)，向中心站點(diǎn)查詢，然后建立分校區(qū)間的隧道連接.

2.3 雙中心站點(diǎn)VPN的實(shí)現(xiàn)

為提高主校區(qū)連接的安全性，方案采用雙路由設(shè)計(jì)(A為主中心站點(diǎn)，B為冗余站點(diǎn))，在A、B中心站點(diǎn)上分別建立一個(gè)隧道接口，并配置GRE為多點(diǎn)模式，這樣中心站點(diǎn)在不知道分校區(qū)隧道地址的情況下也可以與分校區(qū)建立隧道連接，從而簡(jiǎn)化了隧道接口的配置，便于以后的網(wǎng)絡(luò)擴(kuò)展.雙中心站點(diǎn)的設(shè)置使分校區(qū)有兩條路徑可供選擇，為確保不存在非對(duì)稱路由問題，在配置分校區(qū)隧道接口時(shí)，需要為連接到主中心的站點(diǎn)配置更好的帶寬,使分校區(qū)首先使用主中心站點(diǎn).

2.4 設(shè)備驗(yàn)證

在建立VPN管理連接時(shí)，需要進(jìn)行設(shè)備驗(yàn)證,以保證通信的保密性、完整性、可用性和不可否認(rèn)性[1]，方案選擇使用專門的認(rèn)證機(jī)構(gòu)(CA)作為第三方提供證書服務(wù).完整的CA包括簽發(fā)服務(wù)器、RA注冊(cè)申請(qǐng)簽發(fā)服務(wù)器、目錄服務(wù)器及密鑰管理中心等[2].NTP服務(wù)器提供時(shí)間服務(wù).為了保證對(duì)服務(wù)器的訪問，需要在中心站點(diǎn)和主校區(qū)內(nèi)網(wǎng)防火墻上允許對(duì)CA和NTP服務(wù)器的訪問.

3 方案的實(shí)施

3.1 設(shè)備選擇

路由器采用Cisco設(shè)備中支持GRE和IPSec協(xié)議的VPN路由器，CA、NTP服務(wù)器是運(yùn)行Windows 2003相應(yīng)服務(wù)的服務(wù)器，防火墻要能夠進(jìn)行地址轉(zhuǎn)化和訪問控制.

3.2 路由器基本配置

主校區(qū)和分校區(qū)路由器都需要進(jìn)行如下基本配置：訪問控制、ISAKMP配置、DPD配置、獲取和使用證書、定義IPSec 傳輸集[3].

3.2.1 訪問控制

允許VPN使用UDP目標(biāo)端口500建立管理連接，允許ESP加密的數(shù)據(jù)通過，允許對(duì)CA服務(wù)器80端口和NTP服務(wù)器123端口的訪問.

3.2.2 ISAKMP配置

建立ISAKMP管理連接策略，指定設(shè)備驗(yàn)證方式為證書驗(yàn)證,設(shè)置數(shù)據(jù)加密方式和完整性驗(yàn)證方式.

3.2.3 死亡對(duì)等體檢測(cè)

配置#crypto isakmp keepalive 153命令，設(shè)定每隔15 s向?qū)Φ仍O(shè)備發(fā)送生存包，重試3次均未收到回復(fù)就認(rèn)定對(duì)等設(shè)備不可連接.

3.2.4 獲取和使用證書

在建立VPN管理連接時(shí)，需要對(duì)設(shè)備進(jìn)行驗(yàn)證，配置證書驗(yàn)證，按照下面的過程進(jìn)行：

(1)配置主機(jī)名和域名，生成密鑰；

(2)指定CA服務(wù)器屬性和與CA服務(wù)器交互的屬性，如CA服務(wù)器名稱、CA服務(wù)器URL、證書使用期限、申請(qǐng)次數(shù)等；

(3)下載、驗(yàn)證CA證書；

(4)向CA申請(qǐng)證書，路由器會(huì)自動(dòng)下載到本地.

3.2.5 定義傳輸集

傳輸集主要用來定義在VPN的數(shù)據(jù)連接階段，使用什么安全協(xié)議和算法保護(hù)數(shù)據(jù).使用#crypto ipsec transform-set line1 esp-aes-256 esp-sha-hmac命令指定了兩條規(guī)則與對(duì)等設(shè)備匹配；對(duì)于GRE的流量來說，它是一個(gè)點(diǎn)對(duì)點(diǎn)的連接，所以需要配置IPSec為點(diǎn)對(duì)點(diǎn)模式#mode transport.

3.3 雙中心站點(diǎn)隧道配置

3.3.1 隧道配置

為了實(shí)現(xiàn)雙中心站點(diǎn)需要在兩臺(tái)路由器上分別建立一條隧道，配置過程如下：使用#interface Tunnel 0命令建立隧道的虛擬接口；配置帶寬、延時(shí)、MTU 1436(防止產(chǎn)生碎片)；配置A路由器#ip address 10.0.0.1(B路由器為10.0.1.1)，指定隧道接口地址；#tunnel source fa0/0指定隧道數(shù)據(jù)包的發(fā)送端口；#tunnel mode gre multipoint配置隧道為多點(diǎn)模式；指定隧道密鑰，多點(diǎn)模式下可用于區(qū)分隧道；配置接口fa0/0地址和掩碼(A路由器為211.84.199.1，255.255.255.0，B路由器為211.84.198.1，255.255.255.0)；配置內(nèi)網(wǎng)接口fa0/1地址(A路由器為211.84.197.1，255.255.255.0，B路由器為211.84.196.1，255.255.255.0).

3.3.2 OSPF的配置

配置路由選擇協(xié)議為OSPF，設(shè)定中心路由器A的priority值為2(B路由器值為1)，確定A路由器為指定路由器(DR),B為備份指定路由器(BDR)；在A、B路由器上設(shè)定隧子網(wǎng)與本地網(wǎng)絡(luò)在區(qū)域0.

3.3.3 NHRP配置

設(shè)定注冊(cè)密鑰；配置#ip nhrp map multicast dynamic命令，接受來自分支站點(diǎn)的注冊(cè);配置NHRP網(wǎng)絡(luò)ID(A路由器為100000，B路由器為200000)；配置nhrp holdtime為600.

3.4 分校區(qū)路由器配置

在分校區(qū)路由器上，仍然需要進(jìn)行隧道、OSPF和下一跳路由3個(gè)方面的配置.隧道配置，需要建立兩個(gè)隧道接口，并配置接口地址10.0.0.x和10.0.1.x，為實(shí)現(xiàn)分校區(qū)間的連接，接口配置為多點(diǎn)模式，配置NHRP ID、隧道ID和NHS服務(wù)器(10.0.0.1和10.0.1.1)；為確保不存在非對(duì)稱路由，需要為主路由器配置一個(gè)更低的隧道帶寬值；對(duì)于OSPF的配置，建立的兩個(gè)隧道子網(wǎng)都在區(qū)域0，本地網(wǎng)絡(luò)設(shè)為一個(gè)獨(dú)立的區(qū)域；配置fa0/0接口地址和內(nèi)網(wǎng)接口地址.

4 結(jié) 語

在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，網(wǎng)絡(luò)安全的重要性日益凸顯，VPN作為解決現(xiàn)有網(wǎng)絡(luò)安全問題的重要手段，可以有效地解決多種網(wǎng)絡(luò)傳輸問題，為學(xué)校構(gòu)建更加牢固的校園網(wǎng)絡(luò).目前，除了IPSec，還有許多其他的VPN實(shí)施方案，如何結(jié)合學(xué)校的實(shí)際來應(yīng)用這些技術(shù)，將是我們今后研究的重點(diǎn).

參考文獻(xiàn)：

[1] Eric Maiwald.網(wǎng)絡(luò)安全實(shí)用指南[M].天宏工作室,譯.北京：清華大學(xué)出版社，2003:201.

[2] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用[M].北京：電子工業(yè)出版社，2007:107.

[3] Richard Deal.Cisco VPN完全配置指南[M].姚軍玲,譯.北京：人民郵電出版社，2009:733-734.