IPsec VPN加密问题的研究.docVIP

IPsec VPN加密问题的研究 　　VPN简介 　　 　　一、什么是VPN？ 　　利用公共网络构建的私人专用网络称为虚拟私有网络，即VPN（Virtual Private Network）。能够用于构建VPN的公共网络包括Internet和服务提供商提供的帧中继、ATM、SDH等，构建在这些公共网络上的VPN与企业私有的网络一样提供安全性、可靠性和可管理性等。 　　 　　二、IPsec协议简介 　　IPsec VPN 属于第三层VPN 技术，是为下一代互联网开发的安全协议，同时适用IPV4和IPV6,在IP层提供保护。IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。私有性（Confidentiality）指对用户数据传输前进行加密保护，用密文的形式传送；完整性（Data integrity）指对接收的数据进行验证，以判定报文是否被篡改；真实性（Data authentication）指验证数据源，以保证数据来自真实的发送者；防重放（Anti-replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。 　　IPSec使用IKE进行协议及算法的协商，并采用由IKE生成的密码来加密和验证。IPSec在IP层提供这些安全服务，对IP及所承载的数据提供保护。这些服务是通过两个安全协议AH和ESP，经过加密等过程实现的。 　　IPSec有隧道和传送两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算ESP头，且被加密，ESP头和加密用户数据被封装在一个新的IP数据包中。在传送方式中，只是传输层(如TCP、UDP、ICMP)数据被用来计算ESP头，ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时，必须采用隧道方式。 　　 　　网络现状及实施IPsec加密传输的基本要求 　　 　　一、网络现状 　　为解决乡镇网点业务终端至区县联社服务器之间数据加密传输问题，考虑在乡镇至区县网络线路上实施IPsce VPN，讨论案例中采用的路由器为迈普中低端路由器和思科路由器，市、县、乡镇网络采用三级架构，拓扑图如图一： 　　 　　二、实际环境中IPsec加密要求 　　1、实施加密前的准备工作 　　首先考虑路由器IOS软件版本的支持以及硬件的支持，确保满足IPsec加密要求。为保证运行的稳定性，必要时需对硬件及软件升级。 　　2、加密算法的选择 　　测试中Cisco3640加密算法配置的是des算法，迈普路由器是通过自动协商使用的des算法。 　　 　　IPsec加密对路由器及网络的影响 　　 　　一、正常生产环境下，加密对网络的影响 　　1、对带宽的影响 　　在进行大文件传输时（测试环境为ftp应用），经过VPN加密以后，带宽的利用率会下降5％左右。由于IPsec加密会对每个IP包封装一个约80字节左右的包头，所以 IPsec对于小数据包的加密会更加占用带宽。不过由于小包本身数据量很少，对带宽的影响非常有限。从实际测试情况来看，IPsec对带宽造成的影响不会影响业务。 　　2、对路由器的处理效率的影响 　　对营业网点路由器的处理效率影响不大；对县区级联社路由器的处理效率有一定的影响，但系统运行稳定，不影响业务。 　　在实际环境中迈普低端路由器在进行IPsec加密后，cpu的利用率平均上升不到1％，不会影响正常使用。但是在测试环境中对大文件进行加密传输时（加密数据流达到2M的情况下），低端路由器的CPU利用率波动很大，最高可能会在瞬间达到70％以上，不过不会影响使用。 　　在对县区37个网点进行加密后测试，MP3740的cpu利用率平均虽然上升10％左右，但不会其影响效率。对18个网点切换到Cisco3640备份线路后，此时CPU利用率相对于没有任何业务时上升了约33％，达到34-40％左右。 　　IPsec加密对于路由器内存利用率的影响非常小，可以忽略。 　　3、对QOS的影响 　　Qos是对数据流进行区分从而采用不同的服务策略，但是IPsec加密后所有数据流的源和目的地址就变为加密通道两端的IP地址。从原理上看，迈普路由器在转发时处理顺序qos模块在Ipsec模块之前，而qos模块处理后所带的标记不受加密影响，qos会依然生效。实际测试的也结果证实了Ipsec加密不会对原来的qos策略造成影响。 　　4、对OSPF动态路由的影响 　　通过观察比较未建立IPsec隧道之前，MP3740和网点路由器的路由信息