齊云飛, 程 飛
(河南財(cái)政稅務(wù)高等??茖W(xué)校 現(xiàn)代教育技術(shù)中心, 河南 鄭州 450002)
隨著中國高等教育規(guī)模的不斷擴(kuò)大與服務(wù)水平的不斷提升,社會(huì)在教學(xué)、科研和管理等方面對(duì)高校提出了更高的要求.目前,許多高校都有多個(gè)校區(qū),根據(jù)一體化管理的要求,學(xué)校普遍采用分布式系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的集中管理.分布式系統(tǒng)在運(yùn)行過程中經(jīng)常需要跨校區(qū)訪問,而缺少保護(hù)的公網(wǎng)傳輸會(huì)使數(shù)據(jù)面臨極大的安全威脅.針對(duì)上述情況,本文結(jié)合校園網(wǎng)絡(luò)建設(shè)實(shí)際,提出了基于IPSec的雙中心站點(diǎn)動(dòng)態(tài)多點(diǎn)VPN解決方案.
以某高校實(shí)際情況為例,學(xué)校有多個(gè)校區(qū),包括一個(gè)主校區(qū)與多個(gè)分校區(qū),每個(gè)校區(qū)內(nèi)部都有獨(dú)立的校園網(wǎng)絡(luò),對(duì)外都接入教育網(wǎng).由于采用了分布式管理系統(tǒng),多個(gè)校區(qū)之間經(jīng)常需要進(jìn)行訪問,更新數(shù)據(jù),現(xiàn)需要一種解決方案來實(shí)現(xiàn)校區(qū)之間的數(shù)據(jù)安全傳輸.
針對(duì)上述情況,我們提出了雙中心站點(diǎn)雙動(dòng)態(tài)多點(diǎn)VPN的設(shè)計(jì)方案.通過在校區(qū)網(wǎng)絡(luò)邊沿配置帶VPN功能、支持GRE與IPSec協(xié)議的路由器來實(shí)現(xiàn)VPN的連接和路由選擇,使用專門的CA和NTP服務(wù)器對(duì)傳輸設(shè)備進(jìn)行證書認(rèn)證,詳細(xì)方案見圖1.
圖1 雙中心站點(diǎn)動(dòng)態(tài)多點(diǎn)GRE連接圖Fig.1 Double-center site dynamic multi-point GRE connection diagram
由于IPSec只支持IP單播流量,當(dāng)使用OSPF動(dòng)態(tài)路由選擇協(xié)議或組播協(xié)議時(shí),會(huì)出現(xiàn)問題.對(duì)此方案,先選擇使用通用路由封裝(GRE)協(xié)議建立隧道,對(duì)流入數(shù)據(jù)進(jìn)行封裝,隨后使用IPSec協(xié)議對(duì)數(shù)據(jù)包進(jìn)行加密傳輸,從而實(shí)現(xiàn)從分校區(qū)到主校區(qū)的VPN連接.
實(shí)現(xiàn)分校區(qū)之間的連接需要用到GRE的動(dòng)態(tài)多點(diǎn)模式和下一跳解析協(xié)議(NHRP).校區(qū)間的VPN連接使用星型拓?fù)湓O(shè)計(jì),主校區(qū)路由器作為中心站點(diǎn),通過配置GRE為動(dòng)態(tài)多點(diǎn)模式,可以在建立隧道連接時(shí)再獲得分校區(qū)的接口地址,從而實(shí)現(xiàn)一個(gè)接口與多個(gè)分校區(qū)隧道連接的建立.為了實(shí)現(xiàn)分校區(qū)間的隧道連接,必須在該校區(qū)路由器上選擇GRE多點(diǎn)模式,并使用NHRP協(xié)議,指定分校區(qū)啟動(dòng)時(shí)必須在中心站點(diǎn)注冊(cè)自己的地址,當(dāng)需要訪問分校區(qū)網(wǎng)絡(luò)時(shí),向中心站點(diǎn)查詢,然后建立分校區(qū)間的隧道連接.
為提高主校區(qū)連接的安全性,方案采用雙路由設(shè)計(jì)(A為主中心站點(diǎn),B為冗余站點(diǎn)),在A、B中心站點(diǎn)上分別建立一個(gè)隧道接口,并配置GRE為多點(diǎn)模式,這樣中心站點(diǎn)在不知道分校區(qū)隧道地址的情況下也可以與分校區(qū)建立隧道連接,從而簡(jiǎn)化了隧道接口的配置,便于以后的網(wǎng)絡(luò)擴(kuò)展.雙中心站點(diǎn)的設(shè)置使分校區(qū)有兩條路徑可供選擇,為確保不存在非對(duì)稱路由問題,在配置分校區(qū)隧道接口時(shí),需要為連接到主中心的站點(diǎn)配置更好的帶寬,使分校區(qū)首先使用主中心站點(diǎn).
在建立VPN管理連接時(shí),需要進(jìn)行設(shè)備驗(yàn)證,以保證通信的保密性、完整性、可用性和不可否認(rèn)性[1],方案選擇使用專門的認(rèn)證機(jī)構(gòu)(CA)作為第三方提供證書服務(wù).完整的CA包括簽發(fā)服務(wù)器、RA注冊(cè)申請(qǐng)簽發(fā)服務(wù)器、目錄服務(wù)器及密鑰管理中心等[2].NTP服務(wù)器提供時(shí)間服務(wù).為了保證對(duì)服務(wù)器的訪問,需要在中心站點(diǎn)和主校區(qū)內(nèi)網(wǎng)防火墻上允許對(duì)CA和NTP服務(wù)器的訪問.
路由器采用Cisco設(shè)備中支持GRE和IPSec協(xié)議的VPN路由器,CA、NTP服務(wù)器是運(yùn)行Windows 2003相應(yīng)服務(wù)的服務(wù)器,防火墻要能夠進(jìn)行地址轉(zhuǎn)化和訪問控制.
主校區(qū)和分校區(qū)路由器都需要進(jìn)行如下基本配置:訪問控制、ISAKMP配置、DPD配置、獲取和使用證書、定義IPSec 傳輸集[3].
3.2.1 訪問控制
允許VPN使用UDP目標(biāo)端口500建立管理連接,允許ESP加密的數(shù)據(jù)通過,允許對(duì)CA服務(wù)器80端口和NTP服務(wù)器123端口的訪問.
3.2.2 ISAKMP配置
建立ISAKMP管理連接策略,指定設(shè)備驗(yàn)證方式為證書驗(yàn)證,設(shè)置數(shù)據(jù)加密方式和完整性驗(yàn)證方式.
3.2.3 死亡對(duì)等體檢測(cè)
配置#crypto isakmp keepalive 153命令,設(shè)定每隔15 s向?qū)Φ仍O(shè)備發(fā)送生存包,重試3次均未收到回復(fù)就認(rèn)定對(duì)等設(shè)備不可連接.
3.2.4 獲取和使用證書
在建立VPN管理連接時(shí),需要對(duì)設(shè)備進(jìn)行驗(yàn)證,配置證書驗(yàn)證,按照下面的過程進(jìn)行:
(1)配置主機(jī)名和域名,生成密鑰;
(2)指定CA服務(wù)器屬性和與CA服務(wù)器交互的屬性,如CA服務(wù)器名稱、CA服務(wù)器URL、證書使用期限、申請(qǐng)次數(shù)等;
(3)下載、驗(yàn)證CA證書;
(4)向CA申請(qǐng)證書,路由器會(huì)自動(dòng)下載到本地.
3.2.5 定義傳輸集
傳輸集主要用來定義在VPN的數(shù)據(jù)連接階段,使用什么安全協(xié)議和算法保護(hù)數(shù)據(jù).使用#crypto ipsec transform-set line1 esp-aes-256 esp-sha-hmac命令指定了兩條規(guī)則與對(duì)等設(shè)備匹配;對(duì)于GRE的流量來說,它是一個(gè)點(diǎn)對(duì)點(diǎn)的連接,所以需要配置IPSec為點(diǎn)對(duì)點(diǎn)模式#mode transport.
3.3.1 隧道配置
為了實(shí)現(xiàn)雙中心站點(diǎn)需要在兩臺(tái)路由器上分別建立一條隧道,配置過程如下:使用#interface Tunnel 0命令建立隧道的虛擬接口;配置帶寬、延時(shí)、MTU 1436(防止產(chǎn)生碎片);配置A路由器#ip address 10.0.0.1(B路由器為10.0.1.1),指定隧道接口地址;#tunnel source fa0/0指定隧道數(shù)據(jù)包的發(fā)送端口;#tunnel mode gre multipoint配置隧道為多點(diǎn)模式;指定隧道密鑰,多點(diǎn)模式下可用于區(qū)分隧道;配置接口fa0/0地址和掩碼(A路由器為211.84.199.1,255.255.255.0,B路由器為211.84.198.1,255.255.255.0);配置內(nèi)網(wǎng)接口fa0/1地址(A路由器為211.84.197.1,255.255.255.0,B路由器為211.84.196.1,255.255.255.0).
3.3.2 OSPF的配置
配置路由選擇協(xié)議為OSPF,設(shè)定中心路由器A的priority值為2(B路由器值為1),確定A路由器為指定路由器(DR),B為備份指定路由器(BDR);在A、B路由器上設(shè)定隧子網(wǎng)與本地網(wǎng)絡(luò)在區(qū)域0.
3.3.3 NHRP配置
設(shè)定注冊(cè)密鑰;配置#ip nhrp map multicast dynamic命令,接受來自分支站點(diǎn)的注冊(cè);配置NHRP網(wǎng)絡(luò)ID(A路由器為100000,B路由器為200000);配置nhrp holdtime為600.
在分校區(qū)路由器上,仍然需要進(jìn)行隧道、OSPF和下一跳路由3個(gè)方面的配置.隧道配置,需要建立兩個(gè)隧道接口,并配置接口地址10.0.0.x和10.0.1.x,為實(shí)現(xiàn)分校區(qū)間的連接,接口配置為多點(diǎn)模式,配置NHRP ID、隧道ID和NHS服務(wù)器(10.0.0.1和10.0.1.1);為確保不存在非對(duì)稱路由,需要為主路由器配置一個(gè)更低的隧道帶寬值;對(duì)于OSPF的配置,建立的兩個(gè)隧道子網(wǎng)都在區(qū)域0,本地網(wǎng)絡(luò)設(shè)為一個(gè)獨(dú)立的區(qū)域;配置fa0/0接口地址和內(nèi)網(wǎng)接口地址.
在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天,網(wǎng)絡(luò)安全的重要性日益凸顯,VPN作為解決現(xiàn)有網(wǎng)絡(luò)安全問題的重要手段,可以有效地解決多種網(wǎng)絡(luò)傳輸問題,為學(xué)校構(gòu)建更加牢固的校園網(wǎng)絡(luò).目前,除了IPSec,還有許多其他的VPN實(shí)施方案,如何結(jié)合學(xué)校的實(shí)際來應(yīng)用這些技術(shù),將是我們今后研究的重點(diǎn).
參考文獻(xiàn):
[1] Eric Maiwald.網(wǎng)絡(luò)安全實(shí)用指南[M].天宏工作室,譯.北京:清華大學(xué)出版社,2003:201.
[2] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用[M].北京:電子工業(yè)出版社,2007:107.
[3] Richard Deal.Cisco VPN完全配置指南[M].姚軍玲,譯.北京:人民郵電出版社,2009:733-734.