1、SCIENCE&TECHNOLOGY INFORMATION科技资讯信 息 与 智 能 2023 NO.19 SCIENCE&TECHNOLOGY INFORMATION科技资讯基于不同VPN技术的远程访问网络规划与实现王志辉(湖南中医药大学信息科学与工程学院 湖南长沙 410208)摘要:随着社会经济的发展,网络技术也日新月异,为了节省成本,人们需要在不同地理位置利用运营商公共线路资源和虚拟专用网络(Virtual Private Network,VPN)技术安全地远程访问内网资源。该文主要对目前主流VPN技术进行研究,采用通用路由封装协议(Generic Routing Encapsula
2、tion,GRE)、第二层隧道协议(Layer Two Tunneling Protocol,L2TP)、互联网安全协议(Internet Protocol Security,IPSec)和多协议标签交换协议(Multi-Protocol Label Switching,MPLS)实现VPN网络的搭建与相关功能测试。关键词:VPN GRE L2TP IPsec MPLS中图分类号:TP393.1文献标识码:A 文章编号:1672-3791(2023)19-0026-04Planning and Implementation of Remote Access Networks Based on
3、Different VPN TechnologiesWANG Zhihui(School of Informatics,Hunan University of Chinese Medicine,Changsha,Hunan Province,410208 China)Abstract:With the development of social economy,network technology is changing with each passing day.In order to save costs,people need to use the public line resourc
4、es and virtual private network(VPN)technology of operators in different geographical locations to securely access Intranet resources remotely.This paper mainly studies current mainstream VPN technologies,and uses the generic routing encapsulation(GRE),layer two tunneling protocol(L2TP),Internet prot
5、ocol security(IPSec),and multi-protocol label switching(MPLS)to establish VPN networks and test related functions.Key Words:VPN;GRE;L2TP;IPsec;MPLSVPN技术是通过公用网络建立一个临时虚拟隧道,方便身份合法的远程用户安全地访问内网资源。部分VPN技术支持加密算法和身份验证,可以大大提高数据传输的安全性,目前常见的虚拟专用网络(Virtual Private Network,VPN)协议有通用路由封装协议(Generic Routing Encapsu
6、lation,GRE)、点对点隧道协议(Point-to-Point Tunneling Protocol,PPTP)、二层隧道协议(Layer 2 Tunneling Protocol,L2TP)、互联网安全协议(Internet Protocol Security,IPSec)、安全套接协议(Secure Sockets Layer,SSL)、多协议标签交换(Multi-Protocol Label Switching,MPLS)、基于光网络的光虚拟专用网(Optical Virtual Private Network,OVPN)技术等1。本文重点DOI:10.16661/ki.1672-
7、3791.2303-5042-5629基金项目:教育部第二期供需对接就业育人项目(医工融合型专业IT人才的培养与探索与实践);湖南省教育科学规划课题阶段研究成果“一流本科专业 建设背景下医工融合型人才培养模式研究”(项目编号:XJK23CGD017);2019年普通高校教学改革研究项目“双一流背景下 双五位一体 复合型中医药信息化人才培养模式研究”(湘教通 2019 291号-389);2022年湖南中医药大学校级教学改革研究重点项目“双一流 背景下本科生导师制在医工融合型人才培养中的应用探”(校行教评字 2022 8号);湖南中医药大学2022年度校级本科教学质量工程建设项目一流本科课程“计
8、算机网络原理与应用”(线下)。作者简介:王志辉(1980),男,硕士,讲师,研究方向为中医药信息化、网络技术及应用。26SCIENCE&TECHNOLOGY INFORMATION科技资讯 2023 NO.19 信 息 与 智 能科技资讯SCIENCE&TECHNOLOGY INFORMATION对GRE、L2TP、IPSec、MPLS这4种VPN技术开展研究。1 VPN关键技术VPN是使用标准的协议在公用网络的链路和设备上进行数据传输,根据协议将数据包重新封装进行传输。各隧道协议在开放系统互连参考模型(Open System Interconnection Reference Model,O
9、SI/RM)的层次位置如表1所示。OSI/RM模型中数据链路层对应实体为交换机,网络层对应实体为路由器,大部分VPN协议集中在此两层,通过对硬件网络设备进行配置可以大大提高通信安全性。应用层对应的SSL协议是Netscape公司率先采用的网络安全协议,采用公开密钥技术,支持各种类型的网络,在传输通信协议(TCP/IP)上提供基本的安全服务协议2。1.1 VPN相关协议1.1.1 通用路由封装协议GREGRE协议是封装某些网络层协议报文后生成新的GRE报文,由原数据包根据所到达目的地址需要用GRE协议封装后在公用网络进行路由转发。GRE支持多种协议和多播、具备多点隧道功能,可搭配服务质量保障技术
10、、扩大路由跳数,但不具备加密功能,而且采用GRE协议会消耗过多CPU等硬件资源,从而导致使用GRE协议的网络设备数据转发效率有一定程度的降低。1.1.2 第二层隧道协议L2TPL2TP协议是由微软、思科等多家公司一起提出的,是一种对PPP报文进行隧道传输技术,允许数据链路层端点和PPP会话点驻留在通过分组交换网络连接的不同设备上,从而扩使 PPP 报文能在 Internet 上传输。L2TP使用控制消息和数据消息。在安全性考虑上,L2TP仅定义了控制消息的加密传输方式,对传输中的数据并不加密1。1.1.3 互联网安全协议IPSecIPSec协议族主要包括验证头部协议(Authenticatio
11、n Header,AH)、封装安全载荷协议(Encapsulating Security Payload,ESP)和因特网密钥交换协议(Internet Key Exchange,IKE)。AH不提供加密服务,而ESP提供加密服务。目前,IPSec VPN技术采用基于传统Linux协议栈方式进行数据捕获,IPSec安全性良好但是服务效率不高3。IPSec协议的传输模式用来直接加密主机之间网络通信,提供终端到终端的传输安全性;隧道模式用来在两个子网之间建造“虚拟隧道”实现两个网络之间的安全通信,提供了网关到网关的传输安全性。1.1.4 多协议标签交换MPLSMPLS协议是对IP数据包加上标签从而
12、实现快速转发技术。MPLS的体系结构由负责建立路由条目和标签分配转发的控制平面和负责对接收到的分组进行转发的转发平面构成4。在安全性方面,运营商可隐藏MPLS骨干网络拓扑图,还可以用其他安全协议如IPSec封装数据进行传输。1.2 加密技术在VPN网络中现代加密技术多为密钥加密技术,可分为对称加密和非对称加密两类。对称加密所使用的加解密密钥是同一对,如数据加密算法DES、三重加密算法3DES、国际数据加密算法IDEA、高级加密标准AES等。非对称加密是需要两个密钥:一个是公开密钥,用于加密数据或解密被私钥加密的数据;另一个是私有密钥,用于解密被公钥加密的数据或加密,成对使用,如RSA算法、数字
13、签名算法DSA、椭圆曲线密码学算法ECC等。1.3 身份认证技术实体身份认证方式主要有口令认证、智能卡认证以及生物特征认证。基于密码学的身份认证主要有PAP认证、SPAP认证、CHAP认证、MSCHAP认证、MSCHAP-V2认证、EAP认证、PEAP认证等。表1 各VPN协议在OSI模型的位置OSI/RM七层模型应用层表示层会话层传输层网络层数据链路层物理层VPN协议SSLGRE、IPSec、MPLSPPTP、L2TP、L2FOVPN备注SSL基于TCP/IP协议,使用公开密钥技术,为客户端和服务端提供一条安全通道的协议GRE是封装其他网络层协议;IPSec为IP层提供安全传输;MPLS可在
14、IP数据包加上标签实现快速转发PPTP是基于TCP/IP协议和PPP协议的协议L2TP结合了PPTP和L2F数据链路层协议1OVPN是采用光波长建立的虚拟专用网络27SCIENCE&TECHNOLOGY INFORMATION科技资讯信 息 与 智 能 2023 NO.19 SCIENCE&TECHNOLOGY INFORMATION科技资讯PAP认证是利用PPP基础上通过两次握手进行认证,PAP使用明文传输,安全性很低。SPAP相对PAP而言可对传输密码进行简单加密,比 PAP 安全性高。CHAP挑战握手协议,是基于三次握手发送摘要信息来对对方进行身份验证。CHAP在认证前,双方要协商共同的
15、密钥,在认证中由一方发送随机数给另一方计算摘要信息,并要求把摘要信息传输回来与自身的计算的摘要信息验证。MSCHAP与CHAP不同的是,使用MD4散列标准,提供更为高级的功能。MSCHAP-V2与之前V1版本改变在于要求双向验证,即双方都要验证对方身份。EAP允许使用的身份验证方法不受限制,如令牌卡、智能卡、证书等。PEAP首先需要证书服务器发放证书给VPN服务端,再由服务端发送机器证书给客户端,客户端使用证书建立受保护隧道进行通信。2 不同类型的VPN网络搭建设计与测试以我国某大型公司为例,在全国省会城市设有办事处分支机构,总共有3 000多名员工分布在全国各地。通过VPN虚拟专用网的搭建,
16、实现各地员工远程访问公司内网资源而不受地理位置限制。2.1 GRE VPN设计GRE VPN 提供简洁高效的网络传输,但不提供任何安全措施。利用GRE隧道和动态路由协议,模拟总公司与分公司跨内网互相访问或员工访问公司内网,实现客户端PC3与PC4的互访。在GRE隧道建立成功后,使用GRE隧道进行对数据发封装,然后进行传输,对端接收到封装的数据后会根据此数据包的协议号为47进而判别是GRE协议封装的数据,根据之前本文所写的GRE报头格式查看此报头的前5位,寻找是否需要校验和是否有分片。无则拆报头进行转发。核心配置命令如下:acl number 2002/设置感兴趣流2002rule permit
17、 source 192.168.10.0 0.0.0.255/允许通过流量源IP为192.168.10.0 24nat outbound 2002/给端口应用感兴趣流int Tunnel 0/0/0/进入隧道t0/0/0tunnel-protocol gre/设置经过隧道使用的协议为GREip address 192.168.30.1 255.255.255.0/设置隧道这端口的IP地址及子网掩码source 100.0.0.1/设置经过流量源IP地址为100.0.0.1Destination 200.0.0.1/设置经过流量目的IP地址为200.0.0.1ip route-static 19
18、2.168.20.0 24 tunnel 0/0/02.2 L2TP VPN设计L2TP VPN适用于用户对网络安全性要求不高的场景,采用静态路由配置,只为用户提供简洁高效的传输服务和简单的身份认证措施,但不提供传输数据加密。在分公司与总公司出口利用L2TP VPN隧道技术,实现出口防火墙FW1与出口防火墙FW2之间的信息互通。首先由一方发起连接,共同协商L2TP隧道,等对方同意后开始发起会话进入通信状态。LAC会分配一个账号密码给用户,用户根据此账号密码可连入对方的内网。核心配置命令如下:l2tp enable/启动L2TPl2tp-group 1/创建L2TP分组1start l2tp i
19、p 200.0.0.1 fullusername pc1/设置L2TP对端的IP地址tunnel authentication/开启隧道认证tunnel password cipher hello123/设置隧道密码tunnel name lac/设置隧道名字int Virtual-Template 1/设置虚拟接口模板ppp authentication-mode chap/设置PPP采用CHAP认证ppp chap user pc1/设置使用CHAP认证的是PC1ppp chap password cipher passworD1/设置 CHAP所使用的密码ip add ppp-negot
20、iate/允许接口进行IP地址协商aaa/配置本地用户local-user pc1 password cipher passworD1/配置用户使用的密码local-user pc1 service-type ppp/设置用户使用的协议类型为PPPip route-static 192.168.20.0 24 Virtual-Template 1/添加到10.3.1.0/24网段静态路由,下一跳为虚拟接口模板Virtual-Template 1firewall packet-filter Default permit all/开启域间包过滤规则,确保各种业务顺利进行int Virtual-Te
21、mplate 1call-lns local-user pc1/启动L2TP隧道2.3 IPSec VPN设计IPsec VPN提供安全可靠传输,测试模拟分公司利用 IPSec 隧道访问总公司,FW1 为分公司出口网关,FW2为总公司出口网关,实现总公司互通分公司。在通信前,先设定ACL感兴趣流,这样防火墙会允许此兴趣流设定的IP地址的数据包通过防火墙。此后双方通过IKE协商建立安全联盟,随后建立IPSec隧道,但28SCIENCE&TECHNOLOGY INFORMATION科技资讯 2023 NO.19 信 息 与 智 能科技资讯SCIENCE&TECHNOLOGY INFORMATION
22、在通信前需配置防火墙,防止有效信息被防火墙过滤或者拦截 5。核心配置命令如下:acl 3002/创建一个ACL定义感兴趣流security-policy/配置 trust 域与 untrust 域的安全策略ike proposal 1/创建IKE安全提议名为1ike peer fw2/FW1创建IKE对等体fw2pre-shared-key 123.abc/配置预共享密钥remote-address 200.0.0.1/配置对等体IP地址ike-proposal 1/调用ike安全提议ipsec proposal test/配置一个ipsec安全提议encapsulation-mode tun
23、nel/封装方式采用隧道transform esp/配置IPSEC安全协议为ESPIPSec policy map 1 isakmp/创建安全策略名为mapike-peer fw2/调用ike对等体proposal test/调用IPsec安全提议security acl 3000/配置感兴趣流nat-policy interzone trust untrust outbound/设置从trust域到untrust域outbound的策略视图policy interzone local untrust inbound/设置从local域到untrust域inbound的策略视图policy i
24、nterzone trust untrust inbound/设置从trust域到untrust域inbound的策略视图2.4 MPLS VPN设计在众多VPN技术中,MPLS VPN有传输效率高、成本低、灵活易扩展、安全可靠、保证服务质量等诸多优势6。公司A和公司B分别通过公网访问在不同地点的部门访问内网,保证两个公司不能互相访问,采用了MPLS VPN进行网络搭建。在通信之前,先由MPLS对网络中的路由器进行标记,标记完后当有数据包经过标记的路由器时会根据数据包的目的地址进行分组,打上标签,然后转发。核心配置命令如下:ip vpn-instance vpna/建立vpna站点ipv4-f
25、amily/用来使能并进入VPN实例的IPv4地址族视图route-distinguisher 100:1/为vpna站点的标识vpn-target 111:1 export-extcommunity/标记出标签为111:1与vpna站点同vpn-target 111:1 import-extcommunity/标记入标签为111:1与vpna站点同mpls lsr-id 1.1.1.9/设置此路由器的 MPSL 的 ID号1.1.1.9mpls/启动MPLSmpls ldp/MPLS类型ip binding vpn-instance vpna/将端口绑定vpnainterface LoopB
26、ack1/配置一个逻辑接口1ospf enable 1 area 0/使端口能ospfbgp 100/启动bgp指定as号为100router-id 1.1.1.9/配置BGP的router-id为1.1.1.9peer 2.2.2.9 as-number 100/创建BGP对等体peer 2.2.2.9 connect-interface LoopBack1/配置对等体连接的接口3 各VPN技术性能对比每种VPN都有自身适应的环境,也有自身的不足。本文使用了华为公司的 ENSP 模拟器,实现了 GRE VPN、L2TP VPN隧道、IPSec VPN和MPLS VPN,主要是对GRE VPN
27、、L2TP VPN隧道、IPSec VPN和MPLS VPN原理的实现,各VPN性能对比如表2所示。4 结语随着互联网的普及与科技进步加快,国家大部分地区已经联网,这使远程办公成为可能,但用户急剧增多同时使信息在网络中传输的安全性大大降低。对于VPN技术复杂且多种多样,除了本文中介绍的C/S模式的VPN技术之外,还有采用简单快捷B/S模式SSL VPN等。市场需求千差万别,需要根据自身需求选择合适类型的VPN进行远程接入和资源访问。参考文献1 熊沁晗,陶骏,伍岳,等.基于多运营商和多接入的VPDN网络研究J.科技创新导报,2019,16(14):120-122.2 岳立文.计算机VPN网络中的
28、通信安全隐患问题研究J.电气传动自动化,2022,44(2):29-32.3 郑碧煌.基于国密算法的IPSec VPN电力安全网关的研究与设计D.北京:华北电力大学,2022.4 马蕴一.BGP/MPLS VPN技术分析J.网络安全技术与应用,2020(8):11-12.5 孙晓路.VPN技术在局域网中的组网的应用J.信息系统工程,2020(1):73-74.6 王婷,陶骏,张云玲.基于MPLS的VPN技术在高校多校区的研究与应用J.科技创新导报,2018,15(22):119-121.表2 各VPN技术性能对比表VPN类别GRE VPNL2TP VPNIPSec VPNMPLS VPN破解难度简单简单困难困难身份验证无简单困难困难传输速度快快中等快实现难度简单简单困难中等29
浙ICP备2021020529号-1 | 浙B2-20240490 
