定义拨号对等体之间的端对端呼叫为语音 VR1 (config-dial-peer)#destination-pattern //指定通信对方的IP地址
VR1 (config-dial-peer)#session target ipv4: //定义VoIP路由
IPSec-VPN虚拟专用网提供的保护功能有数据机密性、数据完整性和认证等。
数据机密性(Data Confidentiality)用于对发送和接收的数据进行加密和解密,加密算法大致可以分为对称式加密和非对称式加密两类,对称式加密算法包括DES、3DES、AES,非对称式加密算法为RSA。数据完整性(Data Integrity)用于保证数据在传输过程中不被修改,发送方在发送数据时,为消息附加一个Hash值1,接收方在接收数据时,根据消息内容和共享密钥计算出Hash值2,两者相符则说明数据内容没有被篡改,目前常用的Hash值算法(散列算法)有两种:HMAC-MD5和HMAC-SHA-1。认证(Authentication)也叫起源认证,即对对等体进行验证,也称对等体验证(Peer Authentication),是指对数据发送者的身份识别,确保信息的来源真实可靠,目前有两种方法:预共享密钥(PSK)、RSA签名,配置命令如下:
VR1 (config)#crypto isakmp policy //建立isakmp策略
VR1 (config-isakmp)#hash md5 //数据完整性加密算法
VR1 (config-isakmp)#encryption des //数据机密性对称式加密算法
VR1(config-isakmp)#authentication pre-share //预共享密钥认证
VR1(config)#crypto isakmp key //IKE验证密码,对等体两端需一致
VR1(config)#crypto ipsec transform-set * ah-md5-hmac esp-des //为交换集命名和设定封装方式,*为交换集名称(下同),两端可以不同,但ah-md5-hmac esp-des必须一致
VR1(config)#crypto map ﹡ 1 ipsec-isakmp //创建密码图,调用密钥策略号,﹡为密码图名称(下同)
VR1(config-crypto-map)#set peer //密码图指向对端外网端口IP
VR1(config-crypto-map)#set transform-set * //调用交换集
VR1(config-crypto-map)#match address //应用访问控制列表ACL
企业总部和分部的PC,除了通过虚拟专用网进行通信外,还有访问外网获取信息的需求,通过问控制列表(ACL)和NAT地址转换技术来实现这两个目的。
VR1(config)#access-list //配置ACL,控制企业私网内部数据的流向
VR1(config-if)#ip nat outside
//配置NAT,除VPN隧道外的其它流量都允许访问外网
VR1(config-if)#crypto map ﹡ //将密码图放置在ACL上,迫使内网流量(包括语音流量)走VPN隧道
VR1(config)#ip route //默认路由用于本地私网访问外网
2.2.2 企业语音交换机的配置 Cisco 语音交换机支持一种独特的功能,称为语音VLAN,它将Cisco IP电话和工作站加入不同的VLAN中。通过使用语音VLAN,可将端口的VoIP通信流加入到另一个VLAN中,而且只需要配置交换机,无需在Cisco IP电话上做额外的配置。企业总部语音交换机Voice Enabled Switch1(简称VS1)的主要配置命令如下,分部语音交换机Voice Enabled Switch2的配置可参考之。
VS1 (config-if)#switchport access vlan //在Cisco IP电话连接交换机的端口设置VLAN
VS1 (config-if)#switchport voice vlan 1 //语音VLAN
VS1 (config-if)#switchport mode trunk //语音路由器连接交换机的端口设置trunk干道
2.2.3 外网服务器的配置 在WWW服务器中制作一个简单网页index.html,网页域名http://www.lqp.com,作为企业内网主机访问外网服务器中Web页面的验证。在DNS服务器中建立对应http://www.lqp.com的域名解析,并使用公网IP地址202.101.172.1,如图2所示。
图2 WWW和DNS服务器的配置
Fig.2 The configuration of WWW server and DNS server
3 测试结果
企业总部的IP phone1设置电话号码0571-86877072,分部的IP phone4设置电话号码13511112222,彼此之间能相互通话,如图3所示。
图3 企业内部IP phone之间的通话
Fig.3 The calls between internal IP phones of the enterprise
企业内网的PC通过域名http://www.lqp.com访问WWW服务器中的Web页面,如图4所示。
图4 企业内网PC访问WWW服务器中的Web页面
Fig.4 The web page in WWW server accessed by the enterprise intranet PC
隧道模式中,IPSec的AH头或ESP头插入原来的IP地址之前,加密和认证之后重新产生的IP头加到AH头或ESP头之前。通过“show ip route”命令查询VR1的路由信息可以看出,真正的IP源地址和目的地址都隐藏在Internet传送的普通数据中,如下所示。
Gateway of last resort is 20.0.0.2 to network 0.0.0.0
C 20.0.0.0/8 is directly connected, Serial1/0
C 192.168.10.0/24 is directly connected, FastEthernet0/0.1
C 192.168.20.0/24 is directly connected, FastEthernet0/0.2
S* 0.0.0.0/0 [1/0] via 20.0.0.2
4 网络性能影响
IPSec-VPN是需要消耗资源的保护性措施,一方面隧道模式加密的复杂性需要占有一定的网络带宽,另一方面IPSec保护的兴趣流会触发协商,触发的过程通常是将数据包中的源、目的地址、协议以及源、目的端口号与ACL进行匹配,协商的内容主要包括双方身份的确认、密钥种子刷新周期、AH/ESP的组合方式及各自使用的算法、封装模式等,这些都是网络延迟的影响因素。
在OPNET平台上对网络性能进行仿真和分析[10~ 11],图5显示,企业总部网络的吞吐量和分部网络的吞吐量基本相当,说明在IPSec-VPN隧道中数据的丢包率比较低,VoIP语音数据基本上能完整到达对方。
图5 企业总部和分部网络的吞吐量
Fig.5 The network throughput of HQ and division
从图6可以看出,企业总部PC机开始时数据包的发送速度很快,VR1路由器接到数据包后进行加密、封装,接收速率逐渐缓慢下来,一直到数据发送完毕。在接收方,开始时由于与发送方建立会话和协商,数据包的传输速率比较平缓,当发送方的数据全部发送完成后,接收方VR2路由器进行解密和解封装,还原数据,企业分部PC机的输送速率陡然提高,直到全部接受数据完毕。
图6 企业总部和分部PC数据包的传输速率
Fig.6 The data packet transmission rate of HQ and division
IPSec-VPN的机制对网络延迟的影响比较明显。图7显示,企业总部网络随着IPSec的会话协商、数据的加密认证和VoIP数据包的发送出现3次较为明显的延迟现象,分部网络由于没有VPN隧道的数据发送,网络延迟有所减缓。
图7 企业总部和分部网络的网络延迟
Fig.7 The network delay of HQ and division
5 结语
随着企业组织机构区域性扩展及员工日益分散,分支机构采用VPN方式与总部建立一个大的虚拟专用网并进行集中管理操作,从而达到节省成本和实时管理的目的。基于IPSec标准的VPN技术为企业内部网络数据的安全传输提供了技术保障,但VPN的数据机密性、数据完整性、起源认证等加密措施和隧道封装技术使得网络配置变得复杂。在IPSec-VPN专用网中虽然数据包的传送基本上是完整的,但IPSec采用的安全策略对数据包的传输速率尤其是网络延迟的变化无疑会产生较大的影响,导致网络抖动明显,收敛速度慢,VoIP语音的质量也随之减低。因此,采取诸如数据高速透明压缩、流量整形、智能带宽分配、VPN数据双向加速等技术,提高上/下行带宽速度,减少网络延迟,以获得高速应用性能,是IPSec-VPV技术关注和研发的重点。
致 谢
感谢学院同仁和合作企业提供的大力支持和帮助。