论文部分内容阅读
VPN简介
一、什么是VPN?
利用公共网络构建的私人专用网络称为虚拟私有网络,即VPN(Virtual Private Network)。能够用于构建VPN的公共网络包括Internet和服务提供商提供的帧中继、ATM、SDH等,构建在这些公共网络上的VPN与企业私有的网络一样提供安全性、可靠性和可管理性等。
二、IPsec协议简介
IPsec VPN 属于第三层VPN 技术,是为下一代互联网开发的安全协议,同时适用IPV4和IPV6,在IP层提供保护。IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。私有性(Confidentiality)指对用户数据传输前进行加密保护,用密文的形式传送;完整性(Data integrity)指对接收的数据进行验证,以判定报文是否被篡改;真实性(Data authentication)指验证数据源,以保证数据来自真实的发送者;防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
IPSec使用IKE进行协议及算法的协商,并采用由IKE生成的密码来加密和验证。IPSec在IP层提供这些安全服务,对IP及所承载的数据提供保护。这些服务是通过两个安全协议AH和ESP,经过加密等过程实现的。
IPSec有隧道和传送两种工作方式。在隧道方式中,用户的整个IP数据包被用来计算ESP头,且被加密,ESP头和加密用户数据被封装在一个新的IP数据包中。在传送方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时,必须采用隧道方式。
网络现状及实施IPsec加密传输的基本要求
一、网络现状
为解决乡镇网点业务终端至区县联社服务器之间数据加密传输问题,考虑在乡镇至区县网络线路上实施IPsce VPN,讨论案例中采用的路由器为迈普中低端路由器和思科路由器,市、县、乡镇网络采用三级架构,拓扑图如图一:
二、实际环境中IPsec加密要求
1、实施加密前的准备工作
首先考虑路由器IOS软件版本的支持以及硬件的支持,确保满足IPsec加密要求。为保证运行的稳定性,必要时需对硬件及软件升级。
2、加密算法的选择
测试中Cisco3640加密算法配置的是des算法,迈普路由器是通过自动协商使用的des算法。
IPsec加密对路由器及网络的影响
一、正常生产环境下,加密对网络的影响
1、对带宽的影响
在进行大文件传输时(测试环境为ftp应用),经过VPN加密以后,带宽的利用率会下降5%左右。由于IPsec加密会对每个IP包封装一个约80字节左右的包头,所以 IPsec对于小数据包的加密会更加占用带宽。不过由于小包本身数据量很少,对带宽的影响非常有限。从实际测试情况来看,IPsec对带宽造成的影响不会影响业务。
2、对路由器的处理效率的影响
对营业网点路由器的处理效率影响不大;对县区级联社路由器的处理效率有一定的影响,但系统运行稳定,不影响业务。
在实际环境中迈普低端路由器在进行IPsec加密后,cpu的利用率平均上升不到1%,不会影响正常使用。但是在测试环境中对大文件进行加密传输时(加密数据流达到2M的情况下),低端路由器的CPU利用率波动很大,最高可能会在瞬间达到70%以上,不过不会影响使用。
在对县区37个网点进行加密后测试,MP3740的cpu利用率平均虽然上升10%左右,但不会其影响效率。对18个网点切换到Cisco3640备份线路后,此时CPU利用率相对于没有任何业务时上升了约33%,达到34-40%左右。
IPsec加密对于路由器内存利用率的影响非常小,可以忽略。
3、对QOS的影响
Qos是对数据流进行区分从而采用不同的服务策略,但是IPsec加密后所有数据流的源和目的地址就变为加密通道两端的IP地址。从原理上看,迈普路由器在转发时处理顺序qos模块在Ipsec模块之前,而qos模块处理后所带的标记不受加密影响,qos会依然生效。实际测试的也结果证实了Ipsec加密不会对原来的qos策略造成影响。
4、对OSPF动态路由的影响
通过观察比较未建立IPsec隧道之前,MP3740和网点路由器的路由信息和邻居状态,与MP3740和网点路由器之间建立加密隧道后MP3740和网点路由器的路由信息和邻居状态,结果表明IPsec加密对OSPF动态路由没有影响。
二、视频数据加密对路由器性能的影响
为充分暴露VPN加密对网络带宽及路由器性能的影响,集中测试了在视频数据加密传输对路由器的影响。
通过在实际境中的测试,发现网点视频监控数据流量受监控画面内容的影响随机性很大。在低端路由器上进行测试,通过从调用1路监控逐渐增加到调用5路监控的过程来看,路由器内存上升不大,cpu的使用率上升较大但并不影响使用。查看端口流量看每路视频加密后约占150K左右带宽,从实际效果来看此时视频图像正常,说明加密视频对带宽影响不大。但是同时在4个网点打开5路视频监控后,中心MP3740 cpu使用率平均上升了30%,内存变化不明显。根据平时使用情况,同一时刻在每个网点调用1至2路视频,所以加密视频数据流对网点网络负荷的影响不大,但是会大量增加中心MP3740的负担,甚至可能影响到正常使用。可见对较大流量的视频数据进行加密,会极大的影响路由器的效率。
以上是从测试的角度和目的出发,考察对视频传输数据加密,影响路由器的性能的验证,实际工作中没有必要对视频数据加密。
三、其他影响加密隧道建立及切换的情况
1、在实际测试中发现,如果在路由器上使用loopback口地址进行隧道加密,网点路由器设置与MP3740建立隧道优先于与Cisco3640建立隧道,那么正常情况下的加密隧道如图所示(图二):
当2M线路断掉的时候,网点的路由器不会与Cisco3640建立隧道,而是继续通过备份线路与MP3740建立隧道,如下图所示(图三):
MP3740出现故障以后,网点的路由器才会与Cisco3640建立隧道,如下图所示(图四):
2、用网点路由器的广域口地址进行隧道加密,那么在2M断掉的情况下,网点路由器会等主用的加密隧道断掉后再与Cisco3640建立隧道。
前一种方式的收敛速度和ospf的收敛速度一样,测试时观察只要1秒钟左右,从ping包结果来看切换时只丢一个包。而后一种方试需要等到设备发现隧道断掉后再重新建立隧道,测试时发现这个过程约2分钟。因此建议采用loopback地址作为隧道的接口。
一、什么是VPN?
利用公共网络构建的私人专用网络称为虚拟私有网络,即VPN(Virtual Private Network)。能够用于构建VPN的公共网络包括Internet和服务提供商提供的帧中继、ATM、SDH等,构建在这些公共网络上的VPN与企业私有的网络一样提供安全性、可靠性和可管理性等。
二、IPsec协议简介
IPsec VPN 属于第三层VPN 技术,是为下一代互联网开发的安全协议,同时适用IPV4和IPV6,在IP层提供保护。IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。私有性(Confidentiality)指对用户数据传输前进行加密保护,用密文的形式传送;完整性(Data integrity)指对接收的数据进行验证,以判定报文是否被篡改;真实性(Data authentication)指验证数据源,以保证数据来自真实的发送者;防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
IPSec使用IKE进行协议及算法的协商,并采用由IKE生成的密码来加密和验证。IPSec在IP层提供这些安全服务,对IP及所承载的数据提供保护。这些服务是通过两个安全协议AH和ESP,经过加密等过程实现的。
IPSec有隧道和传送两种工作方式。在隧道方式中,用户的整个IP数据包被用来计算ESP头,且被加密,ESP头和加密用户数据被封装在一个新的IP数据包中。在传送方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时,必须采用隧道方式。
网络现状及实施IPsec加密传输的基本要求
一、网络现状
为解决乡镇网点业务终端至区县联社服务器之间数据加密传输问题,考虑在乡镇至区县网络线路上实施IPsce VPN,讨论案例中采用的路由器为迈普中低端路由器和思科路由器,市、县、乡镇网络采用三级架构,拓扑图如图一:
二、实际环境中IPsec加密要求
1、实施加密前的准备工作
首先考虑路由器IOS软件版本的支持以及硬件的支持,确保满足IPsec加密要求。为保证运行的稳定性,必要时需对硬件及软件升级。
2、加密算法的选择
测试中Cisco3640加密算法配置的是des算法,迈普路由器是通过自动协商使用的des算法。
IPsec加密对路由器及网络的影响
一、正常生产环境下,加密对网络的影响
1、对带宽的影响
在进行大文件传输时(测试环境为ftp应用),经过VPN加密以后,带宽的利用率会下降5%左右。由于IPsec加密会对每个IP包封装一个约80字节左右的包头,所以 IPsec对于小数据包的加密会更加占用带宽。不过由于小包本身数据量很少,对带宽的影响非常有限。从实际测试情况来看,IPsec对带宽造成的影响不会影响业务。
2、对路由器的处理效率的影响
对营业网点路由器的处理效率影响不大;对县区级联社路由器的处理效率有一定的影响,但系统运行稳定,不影响业务。
在实际环境中迈普低端路由器在进行IPsec加密后,cpu的利用率平均上升不到1%,不会影响正常使用。但是在测试环境中对大文件进行加密传输时(加密数据流达到2M的情况下),低端路由器的CPU利用率波动很大,最高可能会在瞬间达到70%以上,不过不会影响使用。
在对县区37个网点进行加密后测试,MP3740的cpu利用率平均虽然上升10%左右,但不会其影响效率。对18个网点切换到Cisco3640备份线路后,此时CPU利用率相对于没有任何业务时上升了约33%,达到34-40%左右。
IPsec加密对于路由器内存利用率的影响非常小,可以忽略。
3、对QOS的影响
Qos是对数据流进行区分从而采用不同的服务策略,但是IPsec加密后所有数据流的源和目的地址就变为加密通道两端的IP地址。从原理上看,迈普路由器在转发时处理顺序qos模块在Ipsec模块之前,而qos模块处理后所带的标记不受加密影响,qos会依然生效。实际测试的也结果证实了Ipsec加密不会对原来的qos策略造成影响。
4、对OSPF动态路由的影响
通过观察比较未建立IPsec隧道之前,MP3740和网点路由器的路由信息和邻居状态,与MP3740和网点路由器之间建立加密隧道后MP3740和网点路由器的路由信息和邻居状态,结果表明IPsec加密对OSPF动态路由没有影响。
二、视频数据加密对路由器性能的影响
为充分暴露VPN加密对网络带宽及路由器性能的影响,集中测试了在视频数据加密传输对路由器的影响。
通过在实际境中的测试,发现网点视频监控数据流量受监控画面内容的影响随机性很大。在低端路由器上进行测试,通过从调用1路监控逐渐增加到调用5路监控的过程来看,路由器内存上升不大,cpu的使用率上升较大但并不影响使用。查看端口流量看每路视频加密后约占150K左右带宽,从实际效果来看此时视频图像正常,说明加密视频对带宽影响不大。但是同时在4个网点打开5路视频监控后,中心MP3740 cpu使用率平均上升了30%,内存变化不明显。根据平时使用情况,同一时刻在每个网点调用1至2路视频,所以加密视频数据流对网点网络负荷的影响不大,但是会大量增加中心MP3740的负担,甚至可能影响到正常使用。可见对较大流量的视频数据进行加密,会极大的影响路由器的效率。
以上是从测试的角度和目的出发,考察对视频传输数据加密,影响路由器的性能的验证,实际工作中没有必要对视频数据加密。
三、其他影响加密隧道建立及切换的情况
1、在实际测试中发现,如果在路由器上使用loopback口地址进行隧道加密,网点路由器设置与MP3740建立隧道优先于与Cisco3640建立隧道,那么正常情况下的加密隧道如图所示(图二):
当2M线路断掉的时候,网点的路由器不会与Cisco3640建立隧道,而是继续通过备份线路与MP3740建立隧道,如下图所示(图三):
MP3740出现故障以后,网点的路由器才会与Cisco3640建立隧道,如下图所示(图四):
2、用网点路由器的广域口地址进行隧道加密,那么在2M断掉的情况下,网点路由器会等主用的加密隧道断掉后再与Cisco3640建立隧道。
前一种方式的收敛速度和ospf的收敛速度一样,测试时观察只要1秒钟左右,从ping包结果来看切换时只丢一个包。而后一种方试需要等到设备发现隧道断掉后再重新建立隧道,测试时发现这个过程约2分钟。因此建议采用loopback地址作为隧道的接口。