基于IPSecVLAN应用研究.docVIP

基于IPSecVLAN应用研究 　　摘摘要：本文主要研究和设计基于IPSec技术的VLAN应用,可以支持VLAN之间的交叉访问，并在数据包传输过程中依据IPSec协议进行认证和加解密处理，以保证其安全性. 　　关键词：IPSec协议 VLAN 网络安全 　　 　　1.前言 　　 　　随着网络的不断发展，很多机关、企事业单位的LAN规模不断扩大，VLAN技术是解决整个LAN内部广播及提高网络安全的一个非常有效的办法。但是随之而来的问题也日益突出，因为实际应用中往往需要VLAN之间的交叉访问。而且，对保密性要求较高的VLAN部门来说，希望在VLAN之间访问时，信息不被其它的LAN内部用户窃取或修改。IPSec协议是为了解决网络安全问题的产物，它通过对数据包进行加密，为数据源提供了身份验证以及数据的完整性检查、机密性保证机制，可以防范数据包受到来历不明的攻击。 　　 　　2. VLAN 　　 　　VLAN,即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。（如图1所示） 　　 　　图1 采用VLAN设备的网络结构 　　 　　VLAN的关键技术是 ISL标签 ISL（Inter Switch Link）是一个在交换机之间、交换机和路由器之间以及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，用于实现交换机间的VLAN中继。它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧和相关的VLAN信息组成，通过在交换机直连的端口配置ISL封装，就可以跨越交换机进行整个网络的VLAN分配和配置。VLAN封装的国际标准为IEEE802.1Q，在支持ISL的接口上可以传送来自不同VLAN的数据。 　　 　　3 IPSec协议 　　 　　IPSec是IETF（Internet engineering Task Force 因特工程任务组）于1998年11月公布的IP安全标准，现己成为构建VLAN的标准，IPSec的目标是保证数据包在Internet上传输的私有性、完整性和真实性。其中对于IPV4是可选的，对于IPV6是强制实施的。 　　3.1 IPSec协议结构 　　IPSec协议从结构来说包括三个方面：①验证头AH(Authentication Header),AH协议的IP通信提供数据源认证、数据完整性和反复播保证。它能保证通信免受篡改，但不能防止窃听，适合于传输非机密数据。②封装安全性有效负载ESP（Encapsulatin Security Playload），ESP为IP数据包提供完整性检查、数据源认证和加密。③Internet密钥交换IKE（Internet Key Exchange），IKE定义了通信实体间进行身份认证、协商加密算法及生成共享的会话密钥的方法。IKE提供四种身份认证方式：预共享密钥、数字签名、公钥加密和改进的公钥加密。通过这三方面的协调作用，IPSec协议提供安全通信所需的身份真实性、完整性和保密性，同时也能保证大型网络中密钥传输的安全性。IPSec协议结构如图2所示。 　　 　　图2 IPSec体系结构 　　 　　IPSec的处理主要是围绕IP数据包进行的。ESP和AH用来对IP报文进行封装、加/解密、验证。以达到保护IP报文的目的。密钥管理包括IKE协议和安全关联（SA）等部分。IKE是双方用来协商封装形式、加/解密算法及密钥、密钥的生命周期、验证算法。IPSec本身并没有为策略定义标准，目前只规定了两个策略组件：SDA（安全关联数据库）和SPD（安全策略数据库）。 　　对于外出包必须先检索SPD，决定提供给它的安全服务，对于要进行IPSec处理的IP包，则触发IKE协商。然后按照相应的SA，对IP包进行IPSec处理。进入IP数据流的处理顺序和外出IP流的处理顺序正好相反。 　　3.2 IPSec 的工作模式 　　IPSec支持两种工作模式：传输模式和隧道模式。AH和ESP都支持这两种模式。传输模式保护的是IP包的有效载荷或者说保护的是上层协议（如TCP和UDP）。其中，IPSec头是新增的保护头，可以是AH头也可以是ESP头。或者是两者的组合。当使用传输模式时，应先对IP包的有效载荷实施ESP，再实施AH。通常情况下，传输模式只用于两台主机之间的安全通