基于動(dòng)態(tài)多點(diǎn)VPN與防火墻的安全網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)

金恩實(shí)

（遼寧民族師范高等專科學(xué)校，遼寧沈陽(yáng) 110032）

由于互聯(lián)網(wǎng)行業(yè)的變更，網(wǎng)絡(luò)信息變得尤為重要，企業(yè)內(nèi)部的信息數(shù)據(jù)隨時(shí)都有可能處在網(wǎng)絡(luò)攻擊者的獠牙之下。從上個(gè)世紀(jì)末期起，在VPN 模式下利用IPSEC 的加密結(jié)構(gòu)進(jìn)入人們的視野，慢慢地取代原有的VPN 市場(chǎng)[1]。IETF 機(jī)構(gòu)定義兩種VPN，分別為IPSEC VPN 和MPLS VPN[2]。其中市場(chǎng)占有率比較高的VPN 是MPLS VPN，主要是國(guó)內(nèi)的三大運(yùn)營(yíng)商優(yōu)先向客戶推薦的專線VPN[3]。本世紀(jì)以來(lái)，SSL VPN 出現(xiàn)了，它是利用了SSL 協(xié)議來(lái)定義的。SSL 協(xié)議采用的是和OSI一樣的七層模型，SSL協(xié)議能夠達(dá)到安全地在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)流量[4]。唯一的不足之處在于它是搭建在WEB 下的一種協(xié)議，所以它只能在WEB 的訪問中進(jìn)行加密，不是WEB 的訪問無(wú)法對(duì)數(shù)據(jù)加密操作。就因?yàn)檫@個(gè)原因?qū)е卢F(xiàn)在無(wú)法和IPSEC VPN 相比，現(xiàn)在大部分的企業(yè)使用的VPN模式是IPSEC VPN[5]。從現(xiàn)在企業(yè)的使用的情況來(lái)看，國(guó)內(nèi)還沒有一個(gè)系統(tǒng)的對(duì)于企業(yè)數(shù)據(jù)保護(hù)的一種意識(shí)。現(xiàn)在市面上比較主流的防火墻品牌有fortinet、cisco 等。而在許多國(guó)內(nèi)的企業(yè)使用的主流VPN 還停留在SSL VPN、L2TP、PPTP[6]，主要原因在于國(guó)內(nèi)的企業(yè)只是享受網(wǎng)絡(luò)搭建上的便捷性，而對(duì)于數(shù)據(jù)信息的安全沒有防范意識(shí)導(dǎo)致的。反之國(guó)際上的一些發(fā)達(dá)國(guó)家都采用3 層及以上的VPN，來(lái)保護(hù)數(shù)據(jù)的安全性[7]。DMVPN 是一種使用IPSEC 加密機(jī)制的一項(xiàng)VPN 技術(shù)，它可以保證企業(yè)內(nèi)的數(shù)據(jù)流量在公網(wǎng)上安全地傳輸[8]。相比之前所提到的VPN 技術(shù)而言，DMVPN 的使用減少設(shè)備對(duì)于密鑰的管理及后期企業(yè)擴(kuò)大而造成網(wǎng)絡(luò)的拓展引發(fā)的網(wǎng)絡(luò)問題[9]?；诖?，本文通過VPN 和防火墻的技術(shù)來(lái)滿足客戶所提出的需求。在GNS3 的模擬器上完成了動(dòng)態(tài)多點(diǎn)VPN 技術(shù)的整個(gè)組網(wǎng)架構(gòu)的設(shè)計(jì)，利用DMVPN 和思科的防火墻進(jìn)行搭建，實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的區(qū)分，為企業(yè)數(shù)據(jù)保護(hù)和信息傳遞安全提供技術(shù)支撐。

1 企業(yè)安全網(wǎng)絡(luò)組網(wǎng)方案設(shè)計(jì)

1.1 需求分析

隨著信息化建設(shè)飛速發(fā)展，現(xiàn)有的非互聯(lián)網(wǎng)企業(yè)在對(duì)自身網(wǎng)絡(luò)構(gòu)建需求日漸完善，對(duì)企業(yè)信息數(shù)據(jù)的保護(hù)意識(shí)逐漸增強(qiáng)，現(xiàn)有網(wǎng)絡(luò)環(huán)境下的漏洞逐漸進(jìn)入人們的視野。此次模擬企業(yè)總部和分部之間安全的網(wǎng)絡(luò)通信是為了解決在真實(shí)的環(huán)境下數(shù)據(jù)通過ISP 網(wǎng)絡(luò)，如何做到安全的傳遞信息數(shù)據(jù)。為了貼近現(xiàn)有企業(yè)對(duì)于內(nèi)部網(wǎng)絡(luò)的需求和公網(wǎng)的環(huán)境，本文設(shè)計(jì)方案中使用了動(dòng)態(tài)多點(diǎn)虛擬隧道技術(shù)、防火墻的地址轉(zhuǎn)換技術(shù)及故障轉(zhuǎn)換技術(shù)。

1.2 網(wǎng)絡(luò)架構(gòu)

現(xiàn)有的大部分企業(yè)總部和分部之間還在使用由運(yùn)營(yíng)商提供的IPSEC及SSL VPN 在公網(wǎng)上傳遞數(shù)據(jù)信息?，F(xiàn)有IPSEC虛擬隧道技術(shù)不足之處，包括密鑰難以操作；企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳遞的安全漏洞多；出口路由器瓶頸等。因此，本文設(shè)計(jì)是使用DMVPN 技術(shù)來(lái)替換現(xiàn)有的IPSEC 虛擬隧道技術(shù)。另外，還添加了cisco的防火墻來(lái)給數(shù)據(jù)進(jìn)行加密操作，以做到保護(hù)企業(yè)的信息安全。

1.3 網(wǎng)絡(luò)設(shè)計(jì)

如圖1所示，企業(yè)組網(wǎng)設(shè)計(jì)由三個(gè)部分組成：企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)；公網(wǎng)是由三大運(yùn)營(yíng)商組成；兩個(gè)企業(yè)的不同區(qū)域的分企業(yè)。從這些就可以看出設(shè)計(jì)的環(huán)境比較貼近實(shí)際環(huán)境。技術(shù)方面是由兩個(gè)方面組成：企業(yè)內(nèi)部網(wǎng)絡(luò)的配置；總企業(yè)和分企業(yè)之間通信使用的DMVPN 技術(shù)及防火墻技術(shù)。本設(shè)計(jì)拓?fù)渲兴性O(shè)備接口的規(guī)劃見表1。

表1 各區(qū)域設(shè)備的接口的地址規(guī)劃

圖1 企業(yè)安全組網(wǎng)總設(shè)計(jì)

1.4 企業(yè)安全網(wǎng)絡(luò)方案實(shí)現(xiàn)

1.4.1 ISP公網(wǎng)方案實(shí)現(xiàn)

利用圖2 來(lái)解釋設(shè)計(jì)里的網(wǎng)絡(luò)環(huán)境下三大運(yùn)營(yíng)商的網(wǎng)絡(luò)。三臺(tái)路由設(shè)備分別模擬電信、移動(dòng)、聯(lián)通的網(wǎng)絡(luò)環(huán)境。三臺(tái)路由器使用的路由協(xié)議是ospf，首先利用conf t命令進(jìn)入路由器的配置模式。然后用interface xx 進(jìn)入接口配置之前規(guī)劃的接口的ip 地址，最后配置ospf 協(xié)議，進(jìn)ospf 協(xié)議配置界面，利用network 命令宣告直連接口下的網(wǎng)段地址。公共網(wǎng)絡(luò)配置的ospf 協(xié)議，把設(shè)備的直連網(wǎng)段和模擬用戶的lo0 接口宣告進(jìn)協(xié)議里面，內(nèi)部網(wǎng)絡(luò)的網(wǎng)段信息不需要宣告在運(yùn)營(yíng)商使用的路由協(xié)議里。

圖2 運(yùn)營(yíng)商網(wǎng)絡(luò)

1.4.2 內(nèi)網(wǎng)防火墻方案實(shí)現(xiàn)

根據(jù)圖3 可知，一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)的機(jī)構(gòu)基本可以理解為一個(gè)出口的網(wǎng)關(guān)路由器，下連兩臺(tái)防火墻，兩臺(tái)防火墻的主要目的是做到故障倒換，防火墻的下連設(shè)備是一個(gè)路由器，現(xiàn)在是作為模擬用戶的作用。在兩臺(tái)防火墻之間需要配置內(nèi)容有：

圖3 企業(yè)內(nèi)部網(wǎng)絡(luò)布局

（1）配置一臺(tái)防火墻為主動(dòng)模式，一臺(tái)防火墻是被動(dòng)模式，當(dāng)一臺(tái)防火墻出現(xiàn)故障的時(shí)候另一臺(tái)防火墻才會(huì)去做搶占，把自己配置的被動(dòng)模式更改為主動(dòng)模式，處理數(shù)據(jù)的傳遞和加密/解密操作，保證信息數(shù)據(jù)在公網(wǎng)傳遞的安全性。還需要在防火墻的鏈接企業(yè)內(nèi)部的接口上配置一個(gè)inside 命令在連接公網(wǎng)方向的接口配置outside 命令，同時(shí)inside 接口的等級(jí)權(quán)限需要高于outside 接口的等級(jí)，才會(huì)做到當(dāng)數(shù)據(jù)包從企業(yè)內(nèi)網(wǎng)訪問公網(wǎng)網(wǎng)絡(luò)的時(shí)候，數(shù)據(jù)包通過防火墻的時(shí)候，防火墻會(huì)對(duì)數(shù)據(jù)包進(jìn)行一個(gè)加密操作，因?yàn)楦叩燃?jí)區(qū)域的流量在訪問低等級(jí)區(qū)域時(shí)需要做地址解析才能訪問。

（2）需要在防火墻上配置一個(gè)故障倒換，兩臺(tái)防火墻之間相連的兩根數(shù)據(jù)線，就是為了配置故障倒換所準(zhǔn)備的，使用兩條鏈路的作用也是體現(xiàn)到當(dāng)一條鏈路發(fā)生故障時(shí)不能有效快速的傳遞設(shè)備故障信息給備用的防火墻，不能快速做到故障倒換，從而導(dǎo)致網(wǎng)絡(luò)的中斷，做到了防火墻設(shè)備的更加穩(wěn)定。

所以，R4 上利用interface 接口配置命令配置相關(guān)的接口信息。首先要用interface tu 命令配置接口的IP 地址，然后把tunnel 接口配置成源出口，配置密鑰為12345/認(rèn)證密碼為cisco/關(guān)閉水平分割，再開啟eigrp 功能，最后配置相關(guān)的策略，保證兩端能夠成功建立隧道。具體配置如下：企業(yè)內(nèi)部為了在最后的測(cè)試環(huán)節(jié)模擬出VPN 的建立，我們需要在R7 路由器上配置一個(gè)telnet 來(lái)模擬網(wǎng)絡(luò)的連接情況，利用line vty 0 4 命令來(lái)開啟telnet 功能。防火墻上需要配置相關(guān)配置，達(dá)到設(shè)計(jì)的需求，首先需要定義接口，在接口下配置相關(guān)的安全等級(jí)，再配置當(dāng)單點(diǎn)發(fā)生故障的時(shí)候，需要定義一個(gè)IP 地址完成故障倒換功能。最后，需要在接口下開啟故障倒換功能。當(dāng)主動(dòng)模式的防火墻出現(xiàn)故障的時(shí)候可以主動(dòng)切換成主動(dòng)模式，繼續(xù)給內(nèi)網(wǎng)提供保護(hù)和數(shù)據(jù)的加密和解密操作。需要對(duì)主設(shè)備配置active模式/備用設(shè)備配置standby模式。

1.4.3 內(nèi)網(wǎng)DMVPN方案實(shí)現(xiàn)

如圖4 所示，分部A 的網(wǎng)絡(luò)設(shè)計(jì)和總部的網(wǎng)絡(luò)設(shè)計(jì)基本一致，主要也使用的出口路由器，和一臺(tái)防火墻進(jìn)行對(duì)數(shù)據(jù)的加密和解密操作。在動(dòng)態(tài)多點(diǎn)的虛擬網(wǎng)絡(luò)隧道配置上和總企業(yè)的差不多，只要達(dá)到能夠與總企業(yè)內(nèi)部的nhrp服務(wù)端建立連接。在本設(shè)計(jì)里，企業(yè)分部的內(nèi)網(wǎng)協(xié)議采用了EIGRP 協(xié)議，需要利用接口配置命令，配置接口的IP 地址，再配置一條默認(rèn)路由指向出口e0/0 接口。企業(yè)內(nèi)部的路由R8 配置的相關(guān)參數(shù)，需要先開啟telnet 功能，在最后的測(cè)試階段測(cè)試VPN 的連通性，根據(jù)路由器上配置eigrp 協(xié)議，在協(xié)議的配置模式下宣告所有直連接口的IP 地址網(wǎng)段。企業(yè)分部使用的防火墻為了滿足相關(guān)的配置，達(dá)到上文所說的組網(wǎng)需求，需要對(duì)防火墻配置相關(guān)的策略命令。主要使用的命令有：接口配置ip地址；eigrp 協(xié)議下宣告直連路由；配置虛擬端口，在端口下啟用靜態(tài)路由，指向?qū)Χ耍欢x隧道的策略。

圖4 分部A的內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)

2 結(jié)果分析

2.1 運(yùn)行環(huán)境

為了更加真實(shí)的模擬現(xiàn)實(shí)中企業(yè)總部和分部之間的數(shù)據(jù)傳遞，采用了GNS3 作為方案的呈現(xiàn)模擬器，主要因?yàn)樗哪M環(huán)境的強(qiáng)大，能夠真實(shí)的體現(xiàn)網(wǎng)絡(luò)環(huán)境下的各種網(wǎng)絡(luò)問題[10]。模擬網(wǎng)絡(luò)環(huán)境需要的網(wǎng)絡(luò)設(shè)備包括：思科的3600 型號(hào)的路由9 臺(tái)，思科的交換機(jī)2 臺(tái)，思科的ASA8.4系列的防火墻。

2.2 測(cè)試結(jié)果

根據(jù)對(duì)網(wǎng)絡(luò)環(huán)境的組網(wǎng)需求，首先需要在模擬的公網(wǎng)進(jìn)行查看，如果公網(wǎng)的路由器上的路由表里沒有企業(yè)內(nèi)網(wǎng)的地址，那么就能體現(xiàn)防火墻配置是完全正確。

由圖5可知，模擬公網(wǎng)的路由器上沒有學(xué)到企業(yè)內(nèi)網(wǎng)的路由信息，所以在企業(yè)出口路由器上配置的NAT 成功。企業(yè)的總部和分部之間相互訪問，測(cè)試之間的連通性，同時(shí)利用telnet命令遠(yuǎn)程登錄到各個(gè)分部的內(nèi)網(wǎng)路由器上，都成功登錄。如圖6所示，各個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)傳遞都已經(jīng)成功進(jìn)行數(shù)據(jù)加密操作。

圖5 公網(wǎng)路由器配置的NAT結(jié)果

3 結(jié)語(yǔ)

自從網(wǎng)絡(luò)信息安全逐漸進(jìn)入人們的視野，網(wǎng)絡(luò)攻擊者的手段越來(lái)越多，需要解決的問題也越來(lái)越多，一個(gè)有效的，規(guī)范的，可靠的企業(yè)網(wǎng)絡(luò)是現(xiàn)在關(guān)注的重點(diǎn)。本文在GNS3 的模擬器上完成動(dòng)態(tài)多點(diǎn)VPN 技術(shù)的整個(gè)組網(wǎng)架構(gòu)的設(shè)計(jì)，利用DMVPN 和思科的防火墻進(jìn)行搭建，實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的區(qū)分。通過性能測(cè)試，該組網(wǎng)設(shè)計(jì)具有良好的穩(wěn)定性和安全性，在具有保護(hù)信息安全的前提下，滿足中小型企業(yè)對(duì)于網(wǎng)絡(luò)組網(wǎng)的需求：1）網(wǎng)絡(luò)管理效率高；2）冗余性強(qiáng)；3）拓展性強(qiáng)。然而本文測(cè)試內(nèi)容使用模擬環(huán)境，不能真實(shí)的反映在現(xiàn)在的網(wǎng)絡(luò)大環(huán)境下的各種問題，且方案所采用的設(shè)備比較單一，后期需要在真實(shí)網(wǎng)絡(luò)環(huán)境下對(duì)組網(wǎng)設(shè)計(jì)方案進(jìn)行更深入的測(cè)試與優(yōu)化。