APP下载

公网IPsec+GRE+MPLS L2VC VPN技术实现研究

2016-12-10薛民华宋建林

无线互联科技 2016年22期
关键词:公网专网数据包

薛民华,宋建林

(1.西安铁路公安局,陕西 西安 710054;2.郑州铁路公安局,河南 郑州 450052)

公网IPsec+GRE+MPLS L2VC VPN技术实现研究

薛民华1,宋建林2

(1.西安铁路公安局,陕西 西安 710054;2.郑州铁路公安局,河南 郑州 450052)

专网是一个与互联网物理隔离的网络系统,目前在专网上加密传输数据是专网内部增强数据安全的未来发展方向。文章通过对专网现状的分析和研究,采用虚拟专用网技术在专网实现了更加安全的数据传输VPN网系统。

公网安全;VPN技术;IPSEC;GER;MPLS L2VC;算法;协议。

1 专网信息安全

1.1 专网建设现状

专网是专网通信密切结合行业特点,突出专用性和个性化服务,每个政府单位的专网都有自身不同的部署特点、管理属性、特殊流程等。实际工作中专网与公网是完全物理隔离,依据每个职能差异、业务范围不同,专网均采用通用的、专用的安全设备按照实际业务、办公需求等增强其安全性。

1.2 专网信息安全现状

专网的安全建设方法分为软件方式:PPP协议加密、协议SDH加密、IPSEC VPN,GRE VPN,SSL VPN等;硬件方式则为密码机、IPSEC专用密码机、SSL VPN硬件设备等。专网安全防护建设的主要通过软硬件技术保证专用网络达到密级防护要求。建设专网中常规的安全防护系统基本由路由器ACL、交换机ACL、防火墙、入侵检测IDS、入侵防御IPS,APT威胁感知、漏洞扫描、WAF、访问行为审计、AAA、存储安全NAS、文档审计加密、防病毒等系统设备组成。专网安全设备选择是一体化安全防护体系,达到实体安全、应用安全、系统安全、管理安全,用以满足专网等保、分保的信息系统安全防护要求。不同的专网,不同的规划,不同的安全要求决定了如何建设一套完善的专网信息化安全防护体系。

1.3 VPN与专网安全

笔者所在的单位主要是利用专网完成日常办公、管理流程、信息查询、信息上报、文件归档等工作。专网建设包含众多的路由器、交换机等软硬件,如何在现有的设备资源下,提高数据的安全性,同时降低单位的现有投资,安全建设与投资降低始终存在矛盾论。通过对虚拟专用网(Virtual Private Network,VPN)的安全技术研究,这些技术都可以单个使用或者和多个嵌套模拟测试,最终实现了专网安全加密要求,投资没有增加,反而降低很多。在实际应用中单独VPN应用等有很多的案例,在这里不赘述。通过对专网安全信息系统的分析研究,从专网运行安全、信息安全和安全保密管理等方面综合考虑。依照等级化保护进行安全防护体系设计与实现,保证涉密网中传输数据信息的安全性、完整性、真实性及抗抵赖性,形成事前防护,事中安全检测,事后审计取证于一系列的安全方式,以满足专网信息系统安全防护高标准要求。

2 解决公网安全的方法和策略

2.1 IPsec,GRE,MPLS L2VC的技术实现

IPsec不是一个单独的协议应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH,ESP,密IKE和用于网络认证及加密的一些算法等。IPSEC技术应用这些协议用于提供数据认证、数据完整性和加密性3种保护形式。

其次是GRE技术,GRE协议是对IP和IPX的数据包进行封装,使这些被封装的数据报能够在另一个IP层中传输。GRE 是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。Tunnel很适合点对点的应用环境。

再次是MPLS 技术,MPLS的诞生离不开ATM技术,没有ATM的缺陷也就没有MPLS的发展壮大。MPLS L2VPN提供基于MPLS网络的二层VPN服务,使运营商可以在统一的MPLS网络上提供基于不同数据链路层的二层VPN,包括ATM,VLAN,Ethernet,PPP等。

技术实现思路:专网部署IPSEC、专网部署GRE、通过定义MPLS L2VC的技术在专网中部署一个更加安全的单独网络系统。在部署IPSEC,GRE时,整网要实现地址可达,这两个VPN的实现主要为MPLS L2VC的转发起到“物理层”链路的安全性。定义MPLS VC时,为了保证实现VC的转发同时降低对路由器物理端口的占用,建议启用Dot1Q技术,这样降低投资成本。

实现思路:主流厂商均支持L2VC技术。选择一家厂商产品作为探讨。特权模式下开启MPLS LSR ID,MPLS LDP,MPLS L2VPN,开启本地和远程MPLS ldp remotepeer xascc。开启MPLS TE和MPLS rsvp-te,这两种技术都可以将数据的转发提速,比IP的QOS技术的转发效率健壮很多。数据包查看分析如表1所示。

表1 数据包查看分析表

续表1

2.2 MPLV L2VC VPN技术

IPSEC实现了最直接的端到端的IP包加密,中间传输过程透明,假设不安全的入侵者没有对应密钥,那么就无法解开数据内容,即使解开也是N年以后了。GRP实现了GRE是VPN的第三层隧道协议,在协议层之间通过Tunnel进行的安全保护。

MPLS L2VC VPN的可扩展性强,MPLS L2VPN建立的是二层连接关系,路由表小,很好地降低了PE设备网络的负担,中低端设备的再利用性变得很弹性。MPLS L2VC VPN可靠性和私网路由的安全性得到保证。MPLS L2VPN不需要获得和处理用户路由,保证了用户专网IP包安全。

2.3 攻防实验分析

首先进入专网至少需要一个网线、一个IP、一个网关这是最基本的。在进入专网后,采集到IP包是加密的,IPSec的公钥加密用身份认证和密钥交换,这个在用的“不对称加密法”使得获取的数据包即使看到了源报文,解密过程与加密也是两个不同的密钥。一边是产生数字签名和加密数据,另一边是验证数字签名和对数据进行解密,攻破相当不易。GRE的Tunnel的模式,将点对点的两个网络(专网上两个不同的局域网、两个不同的VLAN、两个不同的网段或者应用等)互连起来,Tunnel模式依然很安全且健康。这个Tunnel是在IPSEC之上建立起来的,一定是安全的。

MPLS L2VC VPN技术,在每个网络中分配了不同的VC号。3个不同的技术叠加,组建了一个更加安全、加密的网络系统,想通过报文获取真正的信息,这是不易的,攻防测试很成功。

3 结语

目前IPsec VPN,GRE VPN,MPLS L2/L3 VPN 3种技术均得到广泛的规模化应用,保障了各种网络和应用系统的安全。本文所实现的VPN技术是在工作中进行实际探索和研究的,将更好地保障信息化的安全,以此推动信息化建设的进程。

Research on implementation of IPsec+GRE+MPLS technology on the L2VC VPN network

Xue Minhua1, Song Jianlin2
(1.Xi’an Railway Public Security Bureau, Xi’an 710054, China; 2.Zhengzhou Railway Public Security Bureau, Zhengzhou 450052, China )

The private network is a kind of network system physically isolated with internet.At present, the data encryption transmission network is the future development direction of internal enhanced data security in the network.This paper through the research and analysis of the status of the private network, implements more secure data transmission VPN network system by adopting virtual private network technology.

network security; VPN technology; IPSEC; GER; MPLS L2VC; algorithm; protocol

薛民华(1975— ),男,陕西固县,本科,工程师,副处长;研究方向:信息通信和网络安全管理。

猜你喜欢

公网专网数据包
浅析大临铁路公网覆盖方案
公网铁路应急通信质量提升的技术应用
无线专网通信在武汉配电自动化中的应用
SmartSniff
无线通信技术在电力通信专网中的应用
基于公网短信的河北省高速公路数据传输应用
我国警用通信专网与公网比较研究
PTN在京津塘高速公路视频专网中的应用
视觉注意的数据包优先级排序策略研究
移动IPV6在改进数据包发送路径模型下性能分析