蔡小丹，梅香香

(南通理工學(xué)院 計(jì)算機(jī)與信息工程學(xué)院，江蘇 南通 226000)

0 引言

在Internet的傳輸中，絕大部分?jǐn)?shù)據(jù)都是明文傳輸?shù)?，這樣就會(huì)存在很多潛在的危險(xiǎn)，比如：密碼、賬戶的信息被竊取、篡改，用戶的身份被冒充，遭受網(wǎng)絡(luò)惡意攻擊等[1]。網(wǎng)絡(luò)中部署IPSec后，可對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)處理，降低信息泄露的風(fēng)險(xiǎn)。

1 IPSec原理

IPSec通過在IPSec對(duì)等體間建立雙向安全聯(lián)盟形成一個(gè)安全互通的IPSec隧道，并通過定義IPSec保護(hù)的數(shù)據(jù)流將要保護(hù)的數(shù)據(jù)引入該IPSec隧道，然后對(duì)流經(jīng)IPSec隧道的數(shù)據(jù)通過安全協(xié)議進(jìn)行加密和驗(yàn)證，進(jìn)而實(shí)現(xiàn)在Internet上安全傳輸指定的數(shù)據(jù)[2]。

2 VRRP介紹

虛擬路由冗余協(xié)議VRRP通過把幾臺(tái)設(shè)備聯(lián)合組成一臺(tái)虛擬的路由設(shè)備，將虛擬設(shè)備的IP地址作為用戶的默認(rèn)網(wǎng)關(guān)實(shí)現(xiàn)與外部網(wǎng)絡(luò)通信。當(dāng)網(wǎng)關(guān)設(shè)備發(fā)生故障時(shí)，VRRP機(jī)制能夠選擇新的網(wǎng)關(guān)設(shè)備承擔(dān)數(shù)據(jù)流量，從而保障網(wǎng)絡(luò)的可靠通信[3]。

3 鏈路冗余方案

為提高網(wǎng)絡(luò)可靠性，企業(yè)分支一般通過兩條或多條鏈路與企業(yè)總部建立IPSec連接，如何在一條鏈路故障后將流量及時(shí)切換到其他鏈路，以保證業(yè)務(wù)的正常運(yùn)行就成為需要解決的問題。一般有IPSec主備鏈路冗余備份和IPSec多鏈路冗余備份兩種方案。本研究?jī)H對(duì)第一種方案做介紹，如圖1所示。

圖1 主備鏈路備份冗余

Router_C通過主備兩條鏈路連接Router_D，這樣可以創(chuàng)建主備兩條IPSec隧道。正常情況下，流量通過由主鏈路和Tunnel1接口建立的IPSec隧道傳輸；當(dāng)主鏈路故障時(shí)，Router_C感知變化，采用Tunnel2接口與Router_D的備份鏈路建立IPSec隧道，舊的IPSec隧道被拆除，流量切換也隨之完成。

4 實(shí)驗(yàn)教學(xué)設(shè)計(jì)

本研究結(jié)合VRRP機(jī)制設(shè)計(jì)如圖1所示的拓?fù)溥M(jìn)行實(shí)驗(yàn)，該拓?fù)浣Y(jié)構(gòu)圖用于模擬企業(yè)總部與分支結(jié)構(gòu)之間通過公網(wǎng)互聯(lián)，總部部署VRRP，分支使用VRRP虛地址與總部建立IPSec VPN。

網(wǎng)絡(luò)基本參數(shù)規(guī)劃：RouterA、RouterB、RouterC都連接在一臺(tái)交換機(jī)上，RouterA和RouterB組VRRP，虛地址是1.0.2.128，RouterA作為VRRP Master，RouterB作為Backup，RouterC和VRRP虛地址之間建立基于IKE的IPSec。

主要配置指令：完成網(wǎng)絡(luò)規(guī)劃之后，就可以分別在總部網(wǎng)關(guān)RouterA、RouterB以及分支網(wǎng)關(guān)RouterC上配置IPSec VPN，該部分的配置命令相似度很高，因此僅給出Router A的部分主要配置命令。主要指令配置如下：

#

acl number 3000

rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

ipsec proposal def

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-192

ike proposal 5

encryption-algorithm aes-cbc-128

dh group14

ike peer branch v1

pre-shared-key cipher test123

ike-proposal 5

local-address 1.0.2.128

remote-address 1.0.1.254

ipsec policy branch 1 isakmp

security acl 3000

ike-peer branch

proposal def

interface GigabitEthernet0/0/0

ip address 1.0.2.1 255.255.255.0

vrrp vrid 1 virtual-ip 1.0.2.128 //配置vrrp主接口

ipsec policy branch

#

5 實(shí)驗(yàn)驗(yàn)證及分析

在RouterA、RouterB或者RouterC上執(zhí)行命令display ike sa可以查看到安全聯(lián)盟的相關(guān)信息(見圖2)。

圖2 安全聯(lián)盟SA信息

在RouterA或者RouterB上執(zhí)行命令display vrrp brief命令，可以看到VRRP的相關(guān)狀態(tài)信息，如圖3所示。

圖3 VRRP建立狀態(tài)信息