高性能IPSec VPN 工程設計與仿真

李超凡，劉 偉，吳 響，馬 凱

（徐州醫科大學 醫學信息與工程學院，江蘇 徐州 221004）

隨著醫院醫療信息業務的不斷拓展與醫療服務的不斷完善，徐州市某三甲醫院需要開設分院，醫院本院與分院之間存在異地相互物理隔離的網絡平臺。一般對于醫院網絡架構而言，分為內網與外網，內網主要承載醫療過程中產生的病歷資料、醫學影像圖像、檢驗信息及醫院內部行政辦公信息等；外網主要提供醫療平臺的信息公開與連接互聯網的服務[1]。

醫院本院與分院之間需要實時更新各類病歷信息等隱私型數據，通常由運營商提供多協議標簽交換虛擬專用網技術，在醫院之間建立跨越公網的專用私有網絡，使得地域性隔離的物理網絡形成一個整體的邏輯網絡，實現高速安全的跨地域多業務通信。與此同時，醫院應自己建立與管理安全級別更高的遠程接入私有信息通道，基于HTTPS 的安全套接字層虛擬專用網無法滿足對于醫院間端到端的大流量數據通信，因此本文仿真實驗基于MNSS 實驗仿真平臺，構建基于IPSec/IKE 站點至站點間的高性能IPSec VPN 工程案例，實現醫院本院與分院端到端的高可用性安全信息通道。

1 相關技術

MNSS 虛擬仿真實驗教學平臺是由徐州醫科大學醫學信息與工程學院網絡系統實驗室自主研發，面向醫工結合的交叉學科構建新工科的培養新模式。實驗教學平臺整合了EVE-NG、GNS3 GUI、Dynamips、Dynagen、QEMU、GNU Health、OpenLIS、OpenSource PACS 等優秀開源軟件[2]，擺脫了網絡架構與系統搭建對硬件的依賴性，致力于仿真各種系統與網絡設備的教學實驗與科研驗證。

1.1 GRE 協議

通用路由封裝（generic routing encapsulation，GRE）協議定義了對某些網絡層協議的數據報文進行封裝，使用隧道技術進行點對點的虛擬連接，隧道兩端構建數據報文封裝與解封裝過程的信息通道。

1.2 IPSec VTI 技術

VTI（virtual tunnel interface）技術是應用IPSec特性的內置虛擬隧道接口[3]，分為靜態VTI（SVTI）和動態VTI（DVTI）。SVTI 主要應用在建立端到端VPN，較GRE 協議而言，只支持IP 單播與組播，不需要封裝額外的4 字節數據包頭部，提升加密數據的發送效率。DVTI 主要應用在遠程撥號VPN，使用靜態虛擬模板與動態安全策略，基于模板的預配置自動創建虛擬訪問接口與對等體建立安全關聯。

1.3 IPSec 安全框架

IPSec 安全框架是網絡層使用的一組安全IP 協議集，提供訪問控制、對等體身份驗證、無連接數據包完整性校驗、數據加密與抗重放的安全通信服務[4]。IPSec 安全框架主要由認證和加密算法、安全協議、秘鑰交換協議和安全關聯構成。

（1）認證與加密算法。

秘鑰交換協議通過交換秘鑰和安全策略在對等體之間協商出一致的數據加密與身份認證算法，從而進行數據保護[5]。常見的加密算法包括DES、AES、RSA，散列算法主要有SHA 與MD5，身份驗證的主要方式有公鑰證書認證與預共享密鑰。

（2）安全協議。

IPSec 安全協議增加IP 拓展頭和字段填充，保證IP 數據包的保密性、完整性與可認證性[6]，主要包含認證頭（authentication header，AH）與封裝安全載荷（encapsulate security payload，ESP）。

（3）秘鑰交換協議。

秘鑰交換協議（internet key exchange，IKE）是由安全關聯和秘鑰管理協議（ISAKMP）、密鑰交換模式（OAKLEY）、共享和秘鑰更新技術（SKEME）組成的混合協議[7]。

（4）安全關聯。

安全關聯（security association，SA）是指一組用來保護信息的策略和秘鑰，協商實體間如何使用安全服務建立通信連接。

2 高性能IPSec VPN 工程設計

當前，部署高性能IPSec VPN 工程大致分為3 類設計方案：設備備份、鏈路備份與兩者的有機結合。仿真實驗先進行設計方案的功能比較，選擇最符合醫院網絡架構拓展的設計方案，然后進行相應地址規劃和邏輯網絡拓撲的搭建與完善，設立實驗目的與仿真效果。

2.1 三類高性能IPSec VPN 工程設計方案分析

鏈路備份與設備備份的設計方案中兩端均采用DPD（dead peer detection）技術探測對等體設備運行狀態，DPD 類似于動態路由協議中的Hello 報文或Keepalive 機制，在周期性或定時性的情況下檢測遠端對等體 IPSec 通道的可用性[8]，再配合使用 RRI（reverse route injection）技術的情況下，動態地向路由表內反向注入相應的靜態路由，使得區域內網絡認為注入靜態路由的設備是區域的網絡出口。RRI 的反向路由注入隨著DPD 探測對等體的活躍狀態，即隨著IPSec SA 的建立情況，動態地切換對等體設備并產生或消失靜態路由注入，這樣就使得IPSec VPN 具備健壯性與高可用性。

2.1.1 鏈路備份

在仿真實驗的實際背景中，醫院本部具備大量數據存儲服務器與其他醫院信息系統的服務器集群，醫院本部應用雙出口模式用于鏈路冗余，采用上述DPD探測技術與反向路由注入，醫院分部的出口設備與本部的主用網關建立加密信息通道。在醫院本部主用網關鏈路發生故障時，收到DPD 探測鏈路故障的報文，才會與備用網關建立安全關聯，主要網關的鏈路恢復性能后，不具備搶占性，等待安全關聯超時后才會切換。鏈路備份的邏輯示意圖如圖1 所示。

圖1 鏈路備份

2.1.2 設備備份

在醫院本部只有單出口的情況下，可以進行設備級的備份，除了應用上述DPD 探測與RRI 外，還需要使用熱備份路由協議（hot standby router protocol，HSRP）。HSRP 可以將2 個出口網關虛擬成一主一輔的中心站點模式，醫院分部只需要與本部虛擬中心站點網關建立加密信息通道。在熱備份路由協議作用下，只有活躍路由器會向區域內進行靜態路由注入，即使用虛擬中心站點IP 地址與對等體建立安全關聯。HSRP 支持搶占機制，當活躍路由器故障時，備份路由器自動搶占鏈路，與對等體建立安全關聯并進行靜態路由注入；當活躍路由器恢復性能后，會依據設備優先級搶占鏈路并注入靜態路由，備份設備注入的靜態路由自動消失。設備備份的邏輯示意圖如圖2 所示。

圖2 設備備份

2.1.3 鏈路備份與設備備份的綜合運用

鏈路備份與設備備份的設計方案中存在端到端不支持直接加密組播、不支持動態路由協議、不提供服務質量等嚴重弊端。隨著隧道技術不斷創新，隧道協議可以將其他協議的數據重新封裝在新的數據包中進行通信，使得被重新封裝的數據包可以在隧道中通過公共互聯網進行路由傳遞，解決了加密組播與動態路由協議的核心問題，使得高性能IPSec VPN 工程可以使用動態路由協議取代DPD 技術與反向路由注入。動態路由協議通過區域內路由信息的自主學習與路由選路達到負載均衡的效果，使得VPN 工程具備更高可用性與穩定性。

2.2 高性能IPSec VPN 最優設計方案

依據上述分析與實際背景，仿真實驗在MNSS 實驗平臺上進行邏輯網絡拓撲，如圖3 所示。IP 地址規劃如圖標注，醫院內部采用開放式最短路徑優先協議（open shortest path first，OSPF）各自組建內網。醫院本部采用雙設備與出口，醫院本部主設備采用GRE封裝隧道模式，備份設備采用SVTI 隧道模式，驗證兩類主流隧道技術實現高性能IPSec VPN。

在高性能IPSec VPN 工程實例中，動態路由協議基本使用思科私有的增強內部網關路由協議（enhanced interior gateway routing protocol，EIGRP）進行區域內部組網，EIGRP 使用彌散修正算法實現鏈路快速收斂，支持度量值相等的等價負載均衡與修正Variance值的非等價負載均衡[9]，而公有協議OSPF 只支持等價負載均衡。為保證仿真實驗的普遍性，醫院內部組網使用開放式最短路徑優先路由協議，并手工對鏈路代價值進行修改，實現負載均衡的路由信息通道。

圖3 仿真實驗邏輯網絡拓撲

3 高性能IPSec VPN 工程仿真

仿真實驗的實現大致分為3 個步驟：基礎IP 地址設置、運用OSPF 動態路由協議組建醫院內網與IPSec VPN 加密信息通道的建立。

按照仿真實驗設計方案的邏輯網絡拓撲圖的地址規劃配置設備接口的IP 地址，醫院分部Branch 端啟用2 個隧道接口，GRE 封裝的Tunnel0 與醫院本部的Master 端Tunnel0 連接，SVTI 隧道模式的Tunnel1 與醫院本部的Backup 端Tunnel1 連接。醫院本部與分部的路由設備均啟用OSPF 進程，依據接口進行區域劃分，宣告各自內網私有地址網段，同時需要將隧道接口地址也宣告進OSPF 區域內。IPSec VPN 信息通道通過IKE 的主模式與快速模式建立，包括主模式的6個協商報文與快速模式的3 個協商報文，協商報文與協商內容如圖4 所示。

（1）階段一：主模式（main mode）的作用是驗證IKE 對等體身份并確立會話秘鑰，創建IKE SA，為第二階段的IPSec SA 協商提供安全通信保障。消息1—4 是明文，消息5—6 是密文。

圖4 IKE 協商過程

消息1：是向對等體發送一組或多組信息加密的策略提議，包含加密算法、驗證方式、Hash 算法、Diffie-Hellman 與IKE SA 的生存時間。消息2：對等體收到加密策略提議，與本地策略匹配成功后，向對等體發送回應消息。消息3—4：對等體之間通過交換Diffie-Hellman、非對稱秘鑰對的公鑰與隨機數，形成各自的非對稱秘鑰對應一把共同秘鑰。消息5—6：在共同秘鑰的加密下，對等體之間通過ISAKMP 分組的源IP 地址匹配預共享秘鑰，并使用Hash 算法將預共享秘鑰、IKE SA、轉換集等進行數字簽名驗證對等體身份[10]。

（2）階段二：快速模式（quick mode）的作用是在IKE SA 建立的安全數據通道中協商IPSec SA 所使用的安全參數并創建IPSec SA，為IP 數據流提供加解密與完整性校驗等服務。消息7—9 均是密文。

消息7—8：對等體雙方互相交換一個報文，包含使用認證頭標或封裝安全載荷的安全協議、安全參數索引（security parameter index，SPI）、散列算法、隧道模式與IPSec SA 生存周期的IPSec 安全關聯策略，再次用于對等體身份驗證與完整性校驗的散列值，用于防重放攻擊的Nonce 隨機數值，描述IPSec SA 為協議、地址與端口服務的ID 值與需要被加密的感興趣流等必選協商參數。消息9：對等體通過發送攜帶散列值的報文證明活躍狀態與信息確認[11]。

4 仿真實驗性能測試

對于仿真實驗的效果驗證大致分為IPSec VPN 協商建立過程與IPSec VPN 的高性能測試。

4.1 IPSec VPN 的協商過程

對上述實施階段進行數據包抓取結果如圖5 所示：以醫院分部Branch 端至醫院本部Master 端使用Wireshark 網絡封包分析軟件進行數據包抓取，序號為21、23—27 的6 個主模式數據包完成IPSec VPN 第一階段IKE SA 的協商與建立，并為第二階段IPSec SA的協商與建立提供加密的安全通信；序號為28—30的3 個快速模式數據包完成IPSec VPN 第二階段IPSec SA 的協商與建立，對等體兩端生成用于加解密相互對應的安全參數索引。至此，對等體兩端IPSec VPN 建立完成，為醫院間數據通信提供安全加密的私有專用網絡。

圖5 W ireshark 工具抓取IKE 協商報文

仿真實驗采用GRE 與SVTI 雙隧道進行支持動態路由協議的IPSec VPN 建立的可行性，IPSec VPN 安全通信的數據包轉發如圖6 所示：ID 數值21—24 是醫院分部Branch 端的雙隧道均與醫院本部建立用于加解密數據包的VPN 連接；ID 數值1011、1012 是由主模式建立為保護快速模式的IKE 安全通道。

圖6 IP 加密數據包轉發情況

仿真實驗表明，醫院兩端可以通過GRE 與SVTI隧道建立跨越公網的動態路由協議鄰居關系[12]，傳遞與更新路由信息。應用隧道技術的IPSec VPN 工程解決了傳統VPN 端到端連接的重要弊端，支持動態路由協議與加密組播，摒棄了普通DPD 探測與反向路由注入的不靈活性，通過動態路由協議的自主學習、快速收斂與負載均衡等特性，實現了IPSec VPN 工程的高性能應用。

4.2 IPSec VPN 的高性能測試

對于IPSec VPN 高性能的測試主要是數據包的負載均衡與設備或鏈路故障的切換效果，測試效果如圖7 和8 所示：通過醫院分部Branch 端訪問醫院本部Server 端，數據流量自Branch 端進行雙隧道負載均衡。通過對比數據包傳輸時延，IPSec VPN 內置的SVTI隧道接口的傳輸效率較GRE 封裝更為高效[13]；通過醫院分部Branch 端多次使用因特網包探索器訪問醫院本部Server 端，期間手動將醫院本部Master 設備關閉，經歷短暫時間后數據包傳輸路線全部自動切換至Backup 端，傳輸效率達到98%。

圖7 醫院間數據包負載均衡

圖8 I PSec VPN 的高可用性測試

仿真實驗表明，高性能IPSec VPN 工程設計方案不僅可以達到普通鏈路備份、設備備份的效果，還可以依托動態路由協議與隧道技術完成醫院間數據傳輸的負載均衡與設備或鏈路故障時的自動切換，極大地增強了網絡架構的健壯性與可用性。

5 結語

仿真實驗將醫院高性能IPSec VPN 工程實例遷移到MNSS 教學實驗平臺上，利用隧道技術實現高性能IPSec VPN，通過Wireshark 工具抓取數據包進行協議分析，為教學實驗平臺儲存實踐工程案例，幫助學生利用虛擬仿真環境擺脫計算機硬件條件的約束，將基礎理論與工程技術相結合進行實踐創新。通過MNSS教學實驗集成平臺的實驗課程體系改革與實驗教學內容優化，全面推進實驗教學方法現代化，為學生自主構建知識結構，進行綜合性、設計性實驗學習和開發設計創造良好條件。