贵州江南航天信息网络通信有限公司
信息时代背景之下,数据的安全越来越成为组织关注的重点问题,尤其对于某些在地理环境上呈现分布特征的组织,更多关注数据传输领的安全实现。对应的,VPN技术开始涌入到这些组织的视线之中,经过多年的发展,已经成为广大企事业单位数据传输的重要保障力量。
一、IPSec VPN 技术浅析
IPSec VPN(Internet Protocol Security Virtual Private Network)通过在公共数据网上建立端对端的数据通信隧道,并且辅以加密,来实现包括访问控制、无连接完整性、数据源认证、拒绝重放包、保密性及限制传输流量的保密性等诸多安全特征。在IPv4环境下,IPSec属于可选协议,但是对于IPv6而言,IPSec就属于必选的强制性协议。虽然能够提供比较完善的安全服务,但是再这个技术框架之下,却存在一个不足之处,即无法实现对于组播报文的封装,也就是说那些动态的路由协议报文,都无法实现在IPSec协议之下的安全隧道里进行传输。
从IPSec内部安全结构的角度看,其包括三个基本协议,即AH协议(Authentication Header)、ESP协议(Encapsulating Security Payload)以及密钥管理协议(ISAKMP,Internet Security Association and Key Management Protocol),其中AH协议负责面向IP数据包提供完整的数据源身份,保证数据完整性并且提供抵抗重放攻击保护;ESP协议重点用于实现数据保密、数据源身份认证、无连接完整性,以及抵抗重放攻击保护和有限的数据流保密等几个功能;而密钥管理协议主要是为了在双方数据传输过程中提供可靠的密钥,成为安全信息的另一道保障。
IPSec VPN中,传输模式和隧道模式是两种主要的工作方式,其中前者主要用于保护数据包内容,对原来的数据包头部不做额外处理,而后者则用于保护整个数据包,对其头部同样需要进行处理。但是无论哪种工作模式,都可以对上述三种基本安全协议实现完全兼容。
二、GRE Tunnel 技术浅析
通用路由封装(GRE,Generic Routing Encapsulation),作为VPN第三层隧道协议,能够对网络层协议数据报进行封装,而封装置后的数据包,则能够在IP协议等的支持之下实现传输。从根本上看,GRE只提供封装,并未在封装的同时增加其他相关安全保障,诸如加密或者与网络监听和攻击防范的功能,都不能通过GRE来实现。GRE的存在,更多只是用来在公共数据网的环境中,构建起端对端的VPN逻辑隧道,实现数据的传输。而其对数据的这种较强的封装特征,则能够用于诸如OSPF、EIGRP、视频和VoIP等组播数据,因此尤其在需要实现路由信息隧道传输的情况下实现应用。
从实际应用的角度看,隧道建立起来之后,即由GRE开始参与数据包的封装和解封工作。一个相对典型的传输框架之下,如果运输协议为IP协议,而其上层的乘客协议为IPX协议,则GRE工作于二者之间。在展开数据封装的过程中,IPX协议首先对数据包头部的目标地址进行确定并且规划路由,而后将该数据包发送给对应的隧道端口,并且由隧道将该数据包交给GRE封装协议展开封装。在完成封装置后,再进一步交给传输协议,在此为IP协议进行处理,完成对应的传输工作。而在数据包解封的过程中,具体细节则与封装保持依次相反的特征。
期刊文章分类查询,尽在期刊图书馆首先由隧道将接收到的数据包交由运输协议处理,IP协议会对该数据包上对应的目标地址进行确定,而后将对应的IP数据包头部进行剥除,并且交由GRE进行解封,对应的GRE会就密钥的检查等细节展开处理,并且交给乘客协议。而后IPX协议会将此数据包进行接收,至此完成整个隧道传输。
三、IPSec与GRE的协同应用
IPSec与GRE两种技术,长短相补,在VPN的体系之下能够构建起完整的安全机制。其中GRE不能提供流量控制,但是却可以在交换路由信息的同时,支持起动态路由协议,并且在多播和广播穿越隧道方面也能够实现良好支持。与此同时,IPSec则对于多播和广播都无法实现良好支持,它仅能对单播进行支持,但是却能够为传输过程中的数据提供良好的安全保证。在这样的技术特征背景之下,可以对IPSec与GRE两种技术进行综合利用,利用GRE技术来对动态路由协议报文以及用户数据包展开对应的封装,实现点对点的隧道建设,然后通过 IPSec VPN技术提供的安全措施保护GRE隧道中数据的安全。在这种协同作用之下形成的技术框架,即为GRE over IPSec VPN技术。
如果设定有处于异地的两个站点,分别为R1以及R2,并且通过公共数据网建立其VPN,用于实现组织内部的信息传输,对应的这两个站点内部有用于展开数据交流的端,分别为PC1以及PC2。进一步设定对应的隧道两端IP分别为172.16.1.1/24以及172.16.1.2/24,并且R1和R2两个站点的IP地址分别为200.1.1.1/24以及202.2.2.2/24,则有常见的VPN配置命令如下:
在配置GRE隧道以及路由的时候:R1(config)#interfacetunnel1//在路由器R1上创建序号为1隧道R1(config)#tunnelmodeGREip//隧道模式为GRER1(config-if)#ipaddress172.16.1.1255.255.255.0//为隧道设置ip地址。
定义需要关注的数据流:R1(config)#access-list100permitGREhost200.1.1.1host202.2.2.2//IPSec感兴趣的流量为GRE流量。
配置网络环境中的密钥规则:R1(config)#cryptoisakmppolicy10。
配置变换集:R1(config)#cryptoisakmpkey12345address202.2.2.2(对等体站点公网IP地址)R1(cfg-crypto-trans)#modetransport//工作模式为传输模式。
加密映射集应用:R1(config)#cryptomapMAP10ipsec-isakmp//配置IPSec加密映射。
四、结论
在实际应用中,VPN为组织数据传输安全提供了极大的便利,成为诸多组织展开远程数据传输的重要支持力量。但是仍然需要注意到,VPN在安全方面还有诸多需要改进和完善的细节,只有不断关注加强建设,才能获取更好效果。
参考文献:
[1]张成,石雪萍,任林源.基于GREVPN的校园网接入方式及实现[J].现代电子技术,2010,(6):90-93.
[2]王丽娜,刘炎,何军.基于IPSec和GRE的VPN实验仿真[J].实验室研究与探索,2013,32(9):70-75.
[3]卢晓丽.IPSecVPN技术在企业网络安全中的应用[J].网络安全技术与应用,2013,35(9):35-36.
论文作者:杨晓勇 刘薇
论文发表刊物:《科技尚品》2019年第2期
论文发表时间:2019/7/18
标签:协议论文; 隧道论文; 数据包论文; 数据论文; 技术论文; 密钥论文; 数据传输论文; 《科技尚品》2019年第2期论文;