GREoverIPsecVPN在企業(yè)網(wǎng)中的應(yīng)用研究

摘 要 文章分析了目前幾種主流的VPN技術(shù)，比較了各自的優(yōu)缺點(diǎn)，提出結(jié)合IPSEC隧道的安全傳輸以及GRE隧道支持組播的特點(diǎn)，利用GREoverIPSEC VPN技術(shù)實(shí)現(xiàn)安徽省通信產(chǎn)業(yè)服務(wù)有限公司和其他分公司之間安全的數(shù)據(jù)傳輸業(yè)務(wù)，設(shè)計(jì)了網(wǎng)絡(luò)拓?fù)鋱D，給出了配置及實(shí)現(xiàn)。

關(guān)鍵詞 GRE；VPN；隧道技術(shù)；IPSEC；網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）07-0144-02

虛擬專(zhuān)用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專(zhuān)用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。本文介紹了結(jié)合兩種隧道技術(shù)的優(yōu)點(diǎn)使用GREoverIPsecVPN來(lái)實(shí)現(xiàn)安徽省通信產(chǎn)業(yè)服務(wù)有限公司和其他分公司之間安全的數(shù)據(jù)傳輸。

1 VPN技術(shù)

虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual Private Network），簡(jiǎn)稱(chēng)VPN。其功能是：在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。

VPN有多種分類(lèi)方式，其中按VPN的隧道協(xié)議分為幾類(lèi)。

隧道技術(shù)（Tunneling）是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其他協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過(guò)隧道發(fā)送。新的幀頭提供路由信息，以便通過(guò)互聯(lián)網(wǎng)傳遞被封裝的負(fù)載數(shù)據(jù)。

VPN的隧道協(xié)議主要有：PPTP、L2TP、GRE和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱(chēng)為二層隧道協(xié)議；GRE和IPSec是第三層隧道協(xié)議。

1）PPTP（Point to Point Tunneling Protocol），即點(diǎn)對(duì)點(diǎn)隧道協(xié)議。該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開(kāi)發(fā)的一種新的增強(qiáng)型安全協(xié)議，支持多協(xié)議虛擬專(zhuān)用網(wǎng)（VPN），可以通過(guò)密碼驗(yàn)證協(xié)議（PAP）、可擴(kuò)展認(rèn)證協(xié)議（EAP）等方法增強(qiáng)安全性?？梢允惯h(yuǎn)程用戶(hù)通過(guò)撥入ISP、通過(guò)直接連接Internet或其他網(wǎng)絡(luò)安全地訪問(wèn)企業(yè)網(wǎng)。

2）L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議。功能大致和PPTP協(xié)議類(lèi)似，比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過(guò)也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP不支持。

3）GRE（Generic Routing Encapsulation），即通用路由封裝協(xié)議，定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個(gè)其他網(wǎng)絡(luò)層協(xié)議的協(xié)議。優(yōu)點(diǎn)是支持多種協(xié)議和組播數(shù)據(jù)傳輸，缺點(diǎn)是不支持加密機(jī)制。

4）IPSEC協(xié)議。IPsec（IP Security）是IETF制定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源認(rèn)證等方式，優(yōu)點(diǎn)是提供以下安全服務(wù)：數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)來(lái)源認(rèn)證、防重放。缺點(diǎn)是：只支持單播和IP數(shù)據(jù)流。

通過(guò)以上分析比較可以看出IPsec雖然提供安全的數(shù)據(jù)傳輸并且自身也可以工作在隧道模式，但是不支持組播數(shù)據(jù)傳輸，不能應(yīng)用在兩個(gè)需要傳輸組播數(shù)據(jù)的場(chǎng)合，如：總部和分部之間需要運(yùn)行動(dòng)態(tài)路由協(xié)議。我們?cè)趯?shí)際應(yīng)用中往往可以結(jié)合GRE支持組播數(shù)據(jù)傳輸和IPsec支持?jǐn)?shù)據(jù)加密的優(yōu)點(diǎn)來(lái)實(shí)現(xiàn)企業(yè)總部和分公司之間的VPN數(shù)據(jù)業(yè)務(wù)。

2 GREoverIPsecVPN配置與實(shí)現(xiàn)

2.1 拓樸結(jié)構(gòu)設(shè)計(jì)

拓樸結(jié)構(gòu)設(shè)計(jì)，如圖1。

圖1 VPN設(shè)計(jì)拓樸圖

2.2 GREoverIPsecVPN配置步驟

路由器采用H3C公司的MSR-3620，版本號(hào)為V7。

省公司路由器配置：

//配置OSPF協(xié)議，通告G0/0/0地址和tunnel口地址

ospf 1 router-id 172.16.1.1

area 0.0.0.0

network 172.16.0.0 0.0.255.255

network 100.1.1.0 0.0.0.255

//配置內(nèi)網(wǎng)用戶(hù)

Interface GigabitEthernet0/0/0

Ip address 172.16.1.1 255.255.255.0

//配置接口Serial0/1/0，調(diào)用IPSEC策略

interface Serial0/1/0

ip add 10.1.1.1 255.255.255.0

ipsec apply policy 123

//配置tunnel接口，模式為gre，目的地址為Router3的物理口地址

interface Tunnel0 mode gre

ip add 100.1.1.1 255.255.255.0

source 10.1.1.1

destination 20.1.1.2

//配置靜態(tài)路由，下一跳為10.1.1.2

ip route-static 20.1.1.0 24 10.1.1.2

//配置安全ACL，保護(hù)數(shù)據(jù)流為tunnel口封裝的源、目地址endprint

acl number 3000

rule 0 permit ip source 10.1.1.1 0 destination 20.1.1.2 0

//配置IPSEC提議

ipsec transform-set 123

esp encryption-algorithm 3des-cbc

esp authentication-algorithm md5

//配置IPSEC策略，調(diào)用安全ACL，IPSEC提議

ipsec policy 123 1 isakmp

transform-set 123

security acl 3000

remote-address 20.1.1.2

//配置Ike鑰匙鏈，PSK為123

ike keychain 1

pre-shared-key address 20.1.1.2 255.255.255.255 key cipher $c$3$ZjXBWzdem3

XX分公司路由器配置：（與省公司路由器配置類(lèi)似）

略

驗(yàn)證配置

display ip routing-table

Destinations ： 20 Routes ： 20

Destination/Mask Proto Pre Cost NextHop Interface

0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0

192.168.0.0/16 OSPF 10 156 100.1.1.2 Tun0

3 結(jié)束語(yǔ)

本文分析了目前幾種主流的VPN技術(shù)，比較了各自的優(yōu)缺點(diǎn)。提出結(jié)合GRE隧道支持組播數(shù)據(jù)傳輸?shù)奶匦院虸psec隧道技術(shù)支持安全加密傳輸?shù)奶攸c(diǎn)，很好的實(shí)現(xiàn)了安徽省通信產(chǎn)業(yè)服務(wù)有限公司和其他分公司之間安全的數(shù)據(jù)傳輸。

參考文獻(xiàn)

[1]張友國(guó).GREoverIPsec+VPN工程設(shè)計(jì)及實(shí)現(xiàn)基于合肥百大集團(tuán)網(wǎng)絡(luò)的VPN應(yīng)用[J].電腦知識(shí)與技術(shù)，2013（9）.

[2]程思.VPN中的隧道技術(shù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010（2）.

[3]徐家臻.基于IPSec與基于SSL的VPN的比較與分析[J].計(jì)算機(jī)工程與設(shè)計(jì)，2004（4）.

[4]杜家嚴(yán).IPSecVPN及其在校園網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2012（1）.

作者簡(jiǎn)介

周浩，男，漢族，安徽泗縣人，講師，研究生，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與信息安全。