公網(wǎng)IPsec+GRE+MPLS L2VC VPN技術(shù)實(shí)現(xiàn)研究

薛民華，宋建林

（1.西安鐵路公安局，陜西 西安 710054；2.鄭州鐵路公安局，河南 鄭州 450052）

公網(wǎng)IPsec+GRE+MPLS L2VC VPN技術(shù)實(shí)現(xiàn)研究

薛民華1，宋建林2

（1.西安鐵路公安局，陜西 西安 710054；2.鄭州鐵路公安局，河南 鄭州 450052）

專網(wǎng)是一個與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)系統(tǒng)，目前在專網(wǎng)上加密傳輸數(shù)據(jù)是專網(wǎng)內(nèi)部增強(qiáng)數(shù)據(jù)安全的未來發(fā)展方向。文章通過對專網(wǎng)現(xiàn)狀的分析和研究，采用虛擬專用網(wǎng)技術(shù)在專網(wǎng)實(shí)現(xiàn)了更加安全的數(shù)據(jù)傳輸VPN網(wǎng)系統(tǒng)。

公網(wǎng)安全；VPN技術(shù)；IPSEC；GER；MPLS L2VC；算法；協(xié)議。

1 專網(wǎng)信息安全

1.1 專網(wǎng)建設(shè)現(xiàn)狀

專網(wǎng)是專網(wǎng)通信密切結(jié)合行業(yè)特點(diǎn)，突出專用性和個性化服務(wù)，每個政府單位的專網(wǎng)都有自身不同的部署特點(diǎn)、管理屬性、特殊流程等。實(shí)際工作中專網(wǎng)與公網(wǎng)是完全物理隔離，依據(jù)每個職能差異、業(yè)務(wù)范圍不同，專網(wǎng)均采用通用的、專用的安全設(shè)備按照實(shí)際業(yè)務(wù)、辦公需求等增強(qiáng)其安全性。

1.2 專網(wǎng)信息安全現(xiàn)狀

專網(wǎng)的安全建設(shè)方法分為軟件方式：PPP協(xié)議加密、協(xié)議SDH加密、IPSEC VPN，GRE VPN，SSL VPN等；硬件方式則為密碼機(jī)、IPSEC專用密碼機(jī)、SSL VPN硬件設(shè)備等。專網(wǎng)安全防護(hù)建設(shè)的主要通過軟硬件技術(shù)保證專用網(wǎng)絡(luò)達(dá)到密級防護(hù)要求。建設(shè)專網(wǎng)中常規(guī)的安全防護(hù)系統(tǒng)基本由路由器ACL、交換機(jī)ACL、防火墻、入侵檢測IDS、入侵防御IPS，APT威脅感知、漏洞掃描、WAF、訪問行為審計(jì)、AAA、存儲安全NAS、文檔審計(jì)加密、防病毒等系統(tǒng)設(shè)備組成。專網(wǎng)安全設(shè)備選擇是一體化安全防護(hù)體系，達(dá)到實(shí)體安全、應(yīng)用安全、系統(tǒng)安全、管理安全，用以滿足專網(wǎng)等保、分保的信息系統(tǒng)安全防護(hù)要求。不同的專網(wǎng)，不同的規(guī)劃，不同的安全要求決定了如何建設(shè)一套完善的專網(wǎng)信息化安全防護(hù)體系。

1.3 VPN與專網(wǎng)安全

筆者所在的單位主要是利用專網(wǎng)完成日常辦公、管理流程、信息查詢、信息上報(bào)、文件歸檔等工作。專網(wǎng)建設(shè)包含眾多的路由器、交換機(jī)等軟硬件，如何在現(xiàn)有的設(shè)備資源下，提高數(shù)據(jù)的安全性，同時降低單位的現(xiàn)有投資，安全建設(shè)與投資降低始終存在矛盾論。通過對虛擬專用網(wǎng)（Virtual Private Network，VPN）的安全技術(shù)研究，這些技術(shù)都可以單個使用或者和多個嵌套模擬測試，最終實(shí)現(xiàn)了專網(wǎng)安全加密要求，投資沒有增加，反而降低很多。在實(shí)際應(yīng)用中單獨(dú)VPN應(yīng)用等有很多的案例，在這里不贅述。通過對專網(wǎng)安全信息系統(tǒng)的分析研究，從專網(wǎng)運(yùn)行安全、信息安全和安全保密管理等方面綜合考慮。依照等級化保護(hù)進(jìn)行安全防護(hù)體系設(shè)計(jì)與實(shí)現(xiàn)，保證涉密網(wǎng)中傳輸數(shù)據(jù)信息的安全性、完整性、真實(shí)性及抗抵賴性，形成事前防護(hù)，事中安全檢測，事后審計(jì)取證于一系列的安全方式，以滿足專網(wǎng)信息系統(tǒng)安全防護(hù)高標(biāo)準(zhǔn)要求。

2 解決公網(wǎng)安全的方法和策略

2.1 IPsec，GRE，MPLS L2VC的技術(shù)實(shí)現(xiàn)

IPsec不是一個單獨(dú)的協(xié)議應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH，ESP，密IKE和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSEC技術(shù)應(yīng)用這些協(xié)議用于提供數(shù)據(jù)認(rèn)證、數(shù)據(jù)完整性和加密性3種保護(hù)形式。

其次是GRE技術(shù)，GRE協(xié)議是對IP和IPX的數(shù)據(jù)包進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個IP層中傳輸。GRE 是VPN的第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱之為Tunnel的技術(shù)。Tunnel很適合點(diǎn)對點(diǎn)的應(yīng)用環(huán)境。

再次是MPLS 技術(shù)，MPLS的誕生離不開ATM技術(shù)，沒有ATM的缺陷也就沒有MPLS的發(fā)展壯大。MPLS L2VPN提供基于MPLS網(wǎng)絡(luò)的二層VPN服務(wù)，使運(yùn)營商可以在統(tǒng)一的MPLS網(wǎng)絡(luò)上提供基于不同數(shù)據(jù)鏈路層的二層VPN，包括ATM，VLAN，Ethernet，PPP等。

技術(shù)實(shí)現(xiàn)思路：專網(wǎng)部署IPSEC、專網(wǎng)部署GRE、通過定義MPLS L2VC的技術(shù)在專網(wǎng)中部署一個更加安全的單獨(dú)網(wǎng)絡(luò)系統(tǒng)。在部署IPSEC，GRE時，整網(wǎng)要實(shí)現(xiàn)地址可達(dá)，這兩個VPN的實(shí)現(xiàn)主要為MPLS L2VC的轉(zhuǎn)發(fā)起到“物理層”鏈路的安全性。定義MPLS VC時，為了保證實(shí)現(xiàn)VC的轉(zhuǎn)發(fā)同時降低對路由器物理端口的占用，建議啟用Dot1Q技術(shù)，這樣降低投資成本。

實(shí)現(xiàn)思路：主流廠商均支持L2VC技術(shù)。選擇一家廠商產(chǎn)品作為探討。特權(quán)模式下開啟MPLS LSR ID，MPLS LDP，MPLS L2VPN，開啟本地和遠(yuǎn)程MPLS ldp remotepeer xascc。開啟MPLS TE和MPLS rsvp-te，這兩種技術(shù)都可以將數(shù)據(jù)的轉(zhuǎn)發(fā)提速，比IP的QOS技術(shù)的轉(zhuǎn)發(fā)效率健壯很多。數(shù)據(jù)包查看分析如表1所示。

表1 數(shù)據(jù)包查看分析表

續(xù)表1

2.2 MPLV L2VC VPN技術(shù)

IPSEC實(shí)現(xiàn)了最直接的端到端的IP包加密，中間傳輸過程透明，假設(shè)不安全的入侵者沒有對應(yīng)密鑰，那么就無法解開數(shù)據(jù)內(nèi)容，即使解開也是N年以后了。GRP實(shí)現(xiàn)了GRE是VPN的第三層隧道協(xié)議，在協(xié)議層之間通過Tunnel進(jìn)行的安全保護(hù)。

MPLS L2VC VPN的可擴(kuò)展性強(qiáng)，MPLS L2VPN建立的是二層連接關(guān)系，路由表小，很好地降低了PE設(shè)備網(wǎng)絡(luò)的負(fù)擔(dān)，中低端設(shè)備的再利用性變得很彈性。MPLS L2VC VPN可靠性和私網(wǎng)路由的安全性得到保證。MPLS L2VPN不需要獲得和處理用戶路由，保證了用戶專網(wǎng)IP包安全。

2.3 攻防實(shí)驗(yàn)分析

首先進(jìn)入專網(wǎng)至少需要一個網(wǎng)線、一個IP、一個網(wǎng)關(guān)這是最基本的。在進(jìn)入專網(wǎng)后，采集到IP包是加密的，IPSec的公鑰加密用身份認(rèn)證和密鑰交換，這個在用的“不對稱加密法”使得獲取的數(shù)據(jù)包即使看到了源報(bào)文，解密過程與加密也是兩個不同的密鑰。一邊是產(chǎn)生數(shù)字簽名和加密數(shù)據(jù)，另一邊是驗(yàn)證數(shù)字簽名和對數(shù)據(jù)進(jìn)行解密，攻破相當(dāng)不易。GRE的Tunnel的模式，將點(diǎn)對點(diǎn)的兩個網(wǎng)絡(luò)（專網(wǎng)上兩個不同的局域網(wǎng)、兩個不同的VLAN、兩個不同的網(wǎng)段或者應(yīng)用等）互連起來，Tunnel模式依然很安全且健康。這個Tunnel是在IPSEC之上建立起來的，一定是安全的。

MPLS L2VC VPN技術(shù)，在每個網(wǎng)絡(luò)中分配了不同的VC號。3個不同的技術(shù)疊加，組建了一個更加安全、加密的網(wǎng)絡(luò)系統(tǒng)，想通過報(bào)文獲取真正的信息，這是不易的，攻防測試很成功。

3 結(jié)語

目前IPsec VPN，GRE VPN，MPLS L2/L3 VPN 3種技術(shù)均得到廣泛的規(guī)?；瘧?yīng)用，保障了各種網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全。本文所實(shí)現(xiàn)的VPN技術(shù)是在工作中進(jìn)行實(shí)際探索和研究的，將更好地保障信息化的安全，以此推動信息化建設(shè)的進(jìn)程。

Research on implementation of IPsec+GRE+MPLS technology on the L2VC VPN network

Xue Minhua1, Song Jianlin2
（1.Xi’an Railway Public Security Bureau, Xi’an 710054, China; 2.Zhengzhou Railway Public Security Bureau, Zhengzhou 450052, China ）

The private network is a kind of network system physically isolated with internet.At present, the data encryption transmission network is the future development direction of internal enhanced data security in the network.This paper through the research and analysis of the status of the private network, implements more secure data transmission VPN network system by adopting virtual private network technology.

network security; VPN technology; IPSEC; GER; MPLS L2VC; algorithm; protocol

薛民華（1975— ），男，陜西固縣，本科，工程師，副處長；研究方向：信息通信和網(wǎng)絡(luò)安全管理。