1、全省气象 VPN 网络实现摘 要:阐述了我省通讯网络备份信道创建方法和 Ipsec 的具体配置,最后给出我省地市、县 VPN 配置案例。关键词:VPN(Virtual Private Network)虚拟专用网络 IPsec1、前言气象网络是我省气象业务工作的枢纽,承担着大量信息的转发,其特点是信息量大、实时性强。这样在我省 2M 光纤数字电路运行的同时,备份网络便显得十分重要了。目前我省各地采用了宽带网络或远程拨号与省气象网络中心内部网络建立 VPN 通道,该通道用来作为我省 2M 数字电路的备份信道。当各地市县 2M 数字电路故障后,VPN 网络可成功接替所有气象信息转发工作。由于 VPN
2、 网络通讯费用和维护费用低,通信的安全性高、传输速度快,因此全省建立 VPN 连接作为备份网络是一个最加理想的选择。2、全省 VPN 网络的创建21 VPNVPN(Virtual Private Network):虚拟专用网络,是一门网络新技术,它可以为我们提供了一种通过公用网络,安全地对内部专用网络进行远程访问的连接方式。众所周知一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN 同样也由这三部分组成,不同的是 VPN 连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet 或 Intranet。 22 全省气象 VPN 网络是怎样实现连接
3、的要实现我省气象内部 VPN 连接,首先在省气象网络中心内部必须配置有一台 VPN 服务器,目前网络中心在线使用的 VPN 服务器是一台专用硬件放火墙(Amaranten 300) ,放火墙 VPN 服务器一方面连接网络中心内部专用网络,另一方面连接到 Internet,也就是说防火墙 VPN 服务器必须拥有一个公用的 IP 地址。当全省各地市县路由器或客户机通过 VPN 连接与网络中心内部网络的计算机进行通信时,先由 ISP(Internet 服务提供商)将所有的数据传送到防火墙 VPN 服务器,然后再由防火墙 VPN 服务器负责将所有的数据传送到目标计算机。 网络中心防火墙 VPN 使用了
4、隧道协议、身份验证和数据加密等三个方面的技术,保证了通信的安全性。当地市县路由器或客户机向网络中心防火墙 VPN 服务器发出请求时,防火墙 VPN 服务器响应请求并向地市县路由器或客户机发出身份质询,客户机将加密的响应信息发送到防火墙 VPN服务器,防火墙 VPN 服务器根据用户数据库检查该响应,如果账户有效,防火墙 VPN 服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,防火墙 VPN 服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。 3、全省气象 VPN 网络博达路由器 IPSec 具体配置我省博达路由器 IPSec 是建立在安全协
5、议和密钥管理两个基本概念上,配置 IPSec 主要有两个基本步骤:使能 ISAKMP 进行密钥交换。使能 IPSec31 使能 ISAKMP使能 ISAKMP(安全联盟及密钥管理协议)的第一步是在每个 IPSec 对等端上建立一个策略。ISAKMP 的策略定义了与每个 IPSec 对等端协商的参数。这些策略定义保护 ISAKMP 协商的加密参数。每一个 ISAKMP 协商都要防止被监听,因此每个对等端需要就加密参数达成一致,来保证未来 ISAKMP 会话的安全。如果不保护 ISAKMP 协商,每个 IPSec 对等端就不能确保它们是与真正的对等端在进行协商。攻击者会插入到 IPSec 对等端中
6、间,侦听连接,并截获足够的信息用来窃听未来所有的 ISAKMP 协商,从而危及自己的 IPSec 通信。因此必须在IPSec 两端创建 IKE 策略。在创建策略的时候,可以创建多重 IKE 策略,每条策略对应不同的参数值组合。对所创建的每一条策略,须分配唯一的优先权(1 到 10000,1 是最高优先级) 。也可以在每台终端上配置多重策略,然而至少这些策略中的某条策略必须包含与远程终端网络中心放火墙上某个策略完全一样的加密、哈希、验证及Diffie-Hellman 参数值。如果不配置任何策略,则路由器使用缺省的策略,该策略总是设为最低优先级,并包含每个参数的缺省值。在博达路由器上要配置要配置一
7、条策略,需在全局配置模式下使用下面的命令:功 能 命 令创建 IKE 策略(每条策略唯一地由优先级标识) (该命令使你进入 ISAKMP策略配置态)crypto isakmp policy priority指定加密算法 encryption des|3des指定 hash 算法 hash sha | md5指定预共享密钥加密认证法 authentication pre-share指定 DH 组 group 1 | 2指定 IKE 安全联盟的生命周期 lifetime seconds退出 ISAKMP 策略配置态 exit显示所有存在的 IKE 策略 show crypto isakmp pol
8、icy如果在策略中指定预共享密钥作为验证方法,则必须配置预共享密钥。 在 IPSec 两端指定共享密钥。注意所给的预共享密钥是在两端共享的。在两端上应当指定相同的密钥。要配置预共享密钥,在全局配置态下使用下面的命令:功 能 命 令在本端:指定与远端一起使用的共享密钥crypto isakmp key keystring peer-address在远端:指定与本端一起使用的共享密钥crypto isakmp key keystring peer-address32 使能 IPsec一旦成功配置好了 ISAKMP,完成 IPSec 特定部分的配置需要以下 4 步: 创建一个定义 IPSec 处理流
9、量的访问列表,在全局配置态下使用下列命令来创建加密访问列表。功 能 命 令定义访问列表名称;博达暂不支持数字扩展访问列表ip access-list extended wordpermit|denyprotocol ip_source mask ip_dest mask 定义一个用于第一步所建立的访问列表上的安全策略变换,在全局配置态下使用下列命令来定义一个变换集合。功 能 命 令定义一个变换集合执行此命令将进入加密变换配置态crypto ipsec transform-set transform-set-name设置变换类型 transform-type transform1 transfo
10、rm2transform3(可选)改变变换集合的模式。模式设置只对那些源和目标地址都是 IPSec 两端地址的通信有用;对于所有其他通信无效(所有其他通信都只在隧道模式下进行)mode tunnel | transport退出加密变换配置态 exit 创建加密映射表,路由器可以同时支持手工建立安全联盟,又支持 IKE 建立安全联盟。 要创建创建手工方式的加密映射表,在全局配置态下使用下列命令:功 能 命 令创建或修改的加密映射表,执行此命令将进入加密映射表配置态crypto map map-name seq-num ipsec-manual设置 IPSec 访问列表。这个访问列表决定哪些报文受
11、到 IPSec 的保护,哪些报文不受到此加密映射表中定义的 IPSec安全性的保护match address access-list-name设置 IPSec 对端地址。受到 IPSec 保护的报文将被发往这个地址set peer ip-address设置变换集合(对于 ipsec-manual 加密映射表,只能指定一个变换集合。对于ipsec-isakmp,可以指定不多于六个加set transform-set transform-set-name密映射表集合)如果指定的变换集合包括了 AH 协议,则要使用这条命令来为出和入的报文设置AH 安全参数索引(SPIs)和密钥。这条命令手工指定了
12、AH 安全联盟将用于保护报文set security-association inbound ah spi hex-key-data和 set security-association outbound ah spi hex-key-data(可选)指定 IPSec 使用此加密映射表申请新安全联盟时,同时申请理想转发安全机制,还要求从 IPSec 对端发回的申请中必须有 PFS 要求set security-association inbound esp spi cipher hex-key-data authenticator hex-key-data和 set security-assoc
13、iation outbound esp spi cipher hex-key-data authenticator hex-key-data退出加密映射表配置态,并返回全局配置态exit要创建使用 IKE 来建立安全联盟的加密映射表,在全局配置态下使用下列命令:功 能 命 令创建或修改的加密映射表,执行此命令将进入加密映射表配置态crypto map map-name seq-num ipsec-isakmp设置 IPSec 访问列表。这个访问列表决定哪些报文受到 IPSec 的保护,哪些报文不受到此加密映射表中定义的 IPSec安全性的保护match address access-list-
14、name设置 IPSec 对端地址。受到 IPSec 保护的报文将被发往这个地址set peer ip-address设置变换集合(对于 ipsec-manual 加密映射表,只能指定一个变换集合。对于ipsec-isakmp,可以指定不多于六个加密映射表集合)set transform-set transform-set-name transform-set-name2 如果指定的变换集合包括了 AH 协议,则要使用这条命令来为出和入的报文设置AH 安全参数索引(SPIs)和密钥。这条命令手工指定了 AH 安全联盟将用于保护报文Set security-association lifetim
15、e seconds seconds 或 set security-association lifetime kilobytes kilobytes(可选)指定 IPSec 使用此加密映射表申请新安全联盟时,同时申请理想转发安全机制,还要求从 IPSec 对端发回的申请中必须有 PFS 要求set pfs group1 | group2退出加密映射表配置态,并返回全局配置态exit 将加密映射表应用到接口上,在接口配置态下使用下面的命令。功 能 命 令将加密映射表集合应用于接口 crypto map map-name4、路由器具体配置(以林甸为例)!version 1.3.1Lservice t
16、imestamps log dateservice timestamps debug dateno service password-encryption!hostname lindian!enable password 0 12345 level 15!crypto isakmp key dial_01 218.7.16.117 255.255.255.255!crypto isakmp policy 10encryption 3desgroup 2hash md5lifetime 28800!crypto ipsec transform-set bhjhtransform-type esp
17、-3des esp-md5-hmac!crypto map ysb 1 ipsec-isakmpset peer 218.7.16.117set security-association lifetime kilobytes 409600set transform-set bhjhmatch address ipsec !interface FastEthernet0/0ip address 172.19.135.33 255.255.255.240no ip directed-broadcastip nat inside!interface FastEthernet0/1ip address
18、 218.8.10.58 255.255.255.192no ip directed-broadcastcrypto map ysbip nat outside!interface Serial0/2ip address 172.31.62.98 255.255.255.252no ip directed-broadcastencapsulation ppp!interface Serial0/3no ip addressno ip directed-broadcast!interface Async0/0no ip addressno ip directed-broadcast!ip rou
19、te 172.19.112.0 255.255.255.0 172.31.62.97ip route 172.19.134.0 255.255.255.0 172.31.62.97ip route 172.19.112.0 255.255.255.0 218.8.10.1 100ip route 218.7.16.0 255.255.255.0 218.8.10.1 100ip route default 218.8.10.1 100!gateway-cfgshutdown!ip access-list extended NATdeny ip 172.19.135.32 255.255.255
20、.240 172.19.112.0 255.255.255.0permit ip any any!ip access-list extended ipsecpermit ip 172.19.135.32 255.255.255.240 172.19.112.0 255.255.255.0!ivr-cfg!ip nat inside source list NAT interface FastEthernet0/1!5、结束语全省气象 VPN 网络的实施,给我省宽带 IP 网络备份打下了良好的基础。当我省 SDH 2M 数字电路故障后, VPN 网络可完全接替 SDH 2M 数字电路上的所有数据转发任务。VPN 所提供的带宽可以达到 10Mb,大大高于 SDH 2Mb数字电路的性能,为远程异地用户提供了访问手段。此外 VPN 网络经济性好、安全性高,除了各单位的宽带接入费用外,不需要任何其他费用,同时由于使用了有效的加密认证,我省气象 VPN 网络的安全性是绝对可靠的。
