薛民華，宋建林

（1.西安鐵路公安局，陜西 西安 710054；2.鄭州鐵路公安局，河南 鄭州 450052）

公網(wǎng)IPsec+GRE+MPLS L2VC VPN技術實現(xiàn)研究

薛民華1，宋建林2

（1.西安鐵路公安局，陜西 西安 710054；2.鄭州鐵路公安局，河南 鄭州 450052）

專網(wǎng)是一個與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡系統(tǒng)，目前在專網(wǎng)上加密傳輸數(shù)據(jù)是專網(wǎng)內(nèi)部增強數(shù)據(jù)安全的未來發(fā)展方向。文章通過對專網(wǎng)現(xiàn)狀的分析和研究，采用虛擬專用網(wǎng)技術在專網(wǎng)實現(xiàn)了更加安全的數(shù)據(jù)傳輸VPN網(wǎng)系統(tǒng)。

公網(wǎng)安全；VPN技術；IPSEC；GER；MPLS L2VC；算法；協(xié)議。

1 專網(wǎng)信息安全

1.1 專網(wǎng)建設現(xiàn)狀

專網(wǎng)是專網(wǎng)通信密切結合行業(yè)特點，突出專用性和個性化服務，每個政府單位的專網(wǎng)都有自身不同的部署特點、管理屬性、特殊流程等。實際工作中專網(wǎng)與公網(wǎng)是完全物理隔離，依據(jù)每個職能差異、業(yè)務范圍不同，專網(wǎng)均采用通用的、專用的安全設備按照實際業(yè)務、辦公需求等增強其安全性。

1.2 專網(wǎng)信息安全現(xiàn)狀

專網(wǎng)的安全建設方法分為軟件方式：PPP協(xié)議加密、協(xié)議SDH加密、IPSEC VPN，GRE VPN，SSL VPN等；硬件方式則為密碼機、IPSEC專用密碼機、SSL VPN硬件設備等。專網(wǎng)安全防護建設的主要通過軟硬件技術保證專用網(wǎng)絡達到密級防護要求。建設專網(wǎng)中常規(guī)的安全防護系統(tǒng)基本由路由器ACL、交換機ACL、防火墻、入侵檢測IDS、入侵防御IPS，APT威脅感知、漏洞掃描、WAF、訪問行為審計、AAA、存儲安全NAS、文檔審計加密、防病毒等系統(tǒng)設備組成。專網(wǎng)安全設備選擇是一體化安全防護體系，達到實體安全、應用安全、系統(tǒng)安全、管理安全，用以滿足專網(wǎng)等保、分保的信息系統(tǒng)安全防護要求。不同的專網(wǎng)，不同的規(guī)劃，不同的安全要求決定了如何建設一套完善的專網(wǎng)信息化安全防護體系。

1.3 VPN與專網(wǎng)安全

筆者所在的單位主要是利用專網(wǎng)完成日常辦公、管理流程、信息查詢、信息上報、文件歸檔等工作。專網(wǎng)建設包含眾多的路由器、交換機等軟硬件，如何在現(xiàn)有的設備資源下，提高數(shù)據(jù)的安全性，同時降低單位的現(xiàn)有投資，安全建設與投資降低始終存在矛盾論。通過對虛擬專用網(wǎng)（Virtual Private Network，VPN）的安全技術研究，這些技術都可以單個使用或者和多個嵌套模擬測試，最終實現(xiàn)了專網(wǎng)安全加密要求，投資沒有增加，反而降低很多。在實際應用中單獨VPN應用等有很多的案例，在這里不贅述。通過對專網(wǎng)安全信息系統(tǒng)的分析研究，從專網(wǎng)運行安全、信息安全和安全保密管理等方面綜合考慮。依照等級化保護進行安全防護體系設計與實現(xiàn)，保證涉密網(wǎng)中傳輸數(shù)據(jù)信息的安全性、完整性、真實性及抗抵賴性，形成事前防護，事中安全檢測，事后審計取證于一系列的安全方式，以滿足專網(wǎng)信息系統(tǒng)安全防護高標準要求。

2 解決公網(wǎng)安全的方法和策略

2.1 IPsec，GRE，MPLS L2VC的技術實現(xiàn)

IPsec不是一個單獨的協(xié)議應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構，包括網(wǎng)絡認證協(xié)議AH，ESP，密IKE和用于網(wǎng)絡認證及加密的一些算法等。IPSEC技術應用這些協(xié)議用于提供數(shù)據(jù)認證、數(shù)據(jù)完整性和加密性3種保護形式。

其次是GRE技術，GRE協(xié)議是對IP和IPX的數(shù)據(jù)包進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個IP層中傳輸。GRE 是VPN的第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱之為Tunnel的技術。Tunnel很適合點對點的應用環(huán)境。

再次是MPLS 技術，MPLS的誕生離不開ATM技術，沒有ATM的缺陷也就沒有MPLS的發(fā)展壯大。MPLS L2VPN提供基于MPLS網(wǎng)絡的二層VPN服務，使運營商可以在統(tǒng)一的MPLS網(wǎng)絡上提供基于不同數(shù)據(jù)鏈路層的二層VPN，包括ATM，VLAN，Ethernet，PPP等。

技術實現(xiàn)思路：專網(wǎng)部署IPSEC、專網(wǎng)部署GRE、通過定義MPLS L2VC的技術在專網(wǎng)中部署一個更加安全的單獨網(wǎng)絡系統(tǒng)。在部署IPSEC，GRE時，整網(wǎng)要實現(xiàn)地址可達，這兩個VPN的實現(xiàn)主要為MPLS L2VC的轉(zhuǎn)發(fā)起到“物理層”鏈路的安全性。定義MPLS VC時，為了保證實現(xiàn)VC的轉(zhuǎn)發(fā)同時降低對路由器物理端口的占用，建議啟用Dot1Q技術，這樣降低投資成本。

實現(xiàn)思路：主流廠商均支持L2VC技術。選擇一家廠商產(chǎn)品作為探討。特權模式下開啟MPLS LSR ID，MPLS LDP，MPLS L2VPN，開啟本地和遠程MPLS ldp remotepeer xascc。開啟MPLS TE和MPLS rsvp-te，這兩種技術都可以將數(shù)據(jù)的轉(zhuǎn)發(fā)提速，比IP的QOS技術的轉(zhuǎn)發(fā)效率健壯很多。數(shù)據(jù)包查看分析如表1所示。

表1 數(shù)據(jù)包查看分析表

續(xù)表1

2.2 MPLV L2VC VPN技術

IPSEC實現(xiàn)了最直接的端到端的IP包加密，中間傳輸過程透明，假設不安全的入侵者沒有對應密鑰，那么就無法解開數(shù)據(jù)內(nèi)容，即使解開也是N年以后了。GRP實現(xiàn)了GRE是VPN的第三層隧道協(xié)議，在協(xié)議層之間通過Tunnel進行的安全保護。

MPLS L2VC VPN的可擴展性強，MPLS L2VPN建立的是二層連接關系，路由表小，很好地降低了PE設備網(wǎng)絡的負擔，中低端設備的再利用性變得很彈性。MPLS L2VC VPN可靠性和私網(wǎng)路由的安全性得到保證。MPLS L2VPN不需要獲得和處理用戶路由，保證了用戶專網(wǎng)IP包安全。

2.3 攻防實驗分析

首先進入專網(wǎng)至少需要一個網(wǎng)線、一個IP、一個網(wǎng)關這是最基本的。在進入專網(wǎng)后，采集到IP包是加密的，IPSec的公鑰加密用身份認證和密鑰交換，這個在用的“不對稱加密法”使得獲取的數(shù)據(jù)包即使看到了源報文，解密過程與加密也是兩個不同的密鑰。一邊是產(chǎn)生數(shù)字簽名和加密數(shù)據(jù)，另一邊是驗證數(shù)字簽名和對數(shù)據(jù)進行解密，攻破相當不易。GRE的Tunnel的模式，將點對點的兩個網(wǎng)絡（專網(wǎng)上兩個不同的局域網(wǎng)、兩個不同的VLAN、兩個不同的網(wǎng)段或者應用等）互連起來，Tunnel模式依然很安全且健康。這個Tunnel是在IPSEC之上建立起來的，一定是安全的。

MPLS L2VC VPN技術，在每個網(wǎng)絡中分配了不同的VC號。3個不同的技術疊加，組建了一個更加安全、加密的網(wǎng)絡系統(tǒng)，想通過報文獲取真正的信息，這是不易的，攻防測試很成功。

3 結語

目前IPsec VPN，GRE VPN，MPLS L2/L3 VPN 3種技術均得到廣泛的規(guī)模化應用，保障了各種網(wǎng)絡和應用系統(tǒng)的安全。本文所實現(xiàn)的VPN技術是在工作中進行實際探索和研究的，將更好地保障信息化的安全，以此推動信息化建設的進程。

Research on implementation of IPsec+GRE+MPLS technology on the L2VC VPN network

Xue Minhua1, Song Jianlin2
（1.Xi’an Railway Public Security Bureau, Xi’an 710054, China; 2.Zhengzhou Railway Public Security Bureau, Zhengzhou 450052, China ）

The private network is a kind of network system physically isolated with internet.At present, the data encryption transmission network is the future development direction of internal enhanced data security in the network.This paper through the research and analysis of the status of the private network, implements more secure data transmission VPN network system by adopting virtual private network technology.

network security; VPN technology; IPSEC; GER; MPLS L2VC; algorithm; protocol

薛民華（1975— ），男，陜西固縣，本科，工程師，副處長；研究方向：信息通信和網(wǎng)絡安全管理。