孫光懿

(天津音樂學(xué)院 圖書信息中心， 天津 300171)

進入21世紀(jì)后，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，越來越多的企業(yè)使用VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))技術(shù)把公司總部與分布在世界各地分支機構(gòu)的網(wǎng)絡(luò)互連起來，以便進行資源共享和實時數(shù)據(jù)交換，最大限度地提高工作效率。相比傳統(tǒng)的遠程專線連接方式，VPN技術(shù)以常見的公用網(wǎng)絡(luò)為基礎(chǔ)，結(jié)合使用多種網(wǎng)絡(luò)安全技術(shù)(如隧道、加密、訪問控制列表等)來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)，具有接入靈活、易于安裝、擴展性強、低成本等優(yōu)勢，深受各企業(yè)青睞。目前有多種技術(shù)支持建立站點到站點的三層VPN網(wǎng)絡(luò)，其中以GRE(Generic Routing Encapsulation,通用路由協(xié)議封裝)和IPSec VPN最為常見，但是這兩種技術(shù)自身均存在一定的局限性。GRE技術(shù)雖然能對多種網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報文進行封裝，但是對其封裝的數(shù)據(jù)報文不提供任何安全保護機制，因此在傳輸過程中極易被黑客截獲篡改。而IPSec VPN雖能對TCP/IP通信提供更多的安全保障，但是也存在一些不盡如人意的地方，例如難以對通信點之間的流量進行控制、感興趣流有可能存在過多、無法讓各自站點的動態(tài)路由協(xié)議實現(xiàn)互通等。因此在實際應(yīng)用環(huán)境中GRE和IPSec多聯(lián)合使用，即先利用GRE協(xié)議建立邏輯隧道，而后通過IPSec協(xié)議對封裝后的數(shù)據(jù)進行加密，從而滿足企業(yè)與各分支機構(gòu)之間高安全性的通信需求。

1 相關(guān)技術(shù)

1.1 GRE協(xié)議

GRE工作在OSI參考模型中的網(wǎng)絡(luò)層[1-3]，是一種應(yīng)用及其廣泛的輕量級三層隧道協(xié)議，由美國思科公司開發(fā)并在1994年提交給IETF，主要用來建立GRE隧道從而使一種網(wǎng)絡(luò)協(xié)議封裝另一種網(wǎng)絡(luò)協(xié)議。GRE支持單播、組播、多播等多種網(wǎng)絡(luò)層協(xié)議(如IP、IPX、RIP、OSPF、EIGRP協(xié)議等)并允許將這些協(xié)議的數(shù)據(jù)報文進行封裝處理，封裝處理后的數(shù)據(jù)報文可以在另一個網(wǎng)絡(luò)層協(xié)議中傳輸，但是無法進行流量控制。通過應(yīng)用GRE技術(shù)不僅可以實現(xiàn)使用互聯(lián)網(wǎng)保留地址進行網(wǎng)絡(luò)互連，還可以實現(xiàn)使用IP網(wǎng)絡(luò)連接企業(yè)內(nèi)部協(xié)議網(wǎng)絡(luò)。當(dāng)IP數(shù)據(jù)報文需要從GRE隧道接口發(fā)出時，就需要對IP數(shù)據(jù)報文進行GRE封裝處理。如果使用IPV4協(xié)議進行封裝，首先在需要封裝的IP數(shù)據(jù)報文前加上一個GRE頭部(GRE頭部目前沒有統(tǒng)一固定的格式)使其成為GRE報文，然后在GRE頭部前加上一個長度為20字節(jié)、協(xié)議號為47的新IP頭部，這樣就完成了GRE對原始數(shù)據(jù)報文的封裝。新IP頭部所定義的源地址和目的地址即為隧道的起始地址和目的地址。封裝的數(shù)據(jù)報文傳輸?shù)剿淼滥康牡刂泛?，目的地址設(shè)備第一步先去掉新IP頭部，第二步去掉GRE頭部，最終取出的原始數(shù)據(jù)包根據(jù)三層路由到達目的地址。GRE協(xié)議封裝結(jié)構(gòu)如圖1所示。

外層IP頭部GRE頭部內(nèi)層IP頭部內(nèi)層實際傳輸?shù)臄?shù)據(jù)

圖1 GRE協(xié)議封裝結(jié)構(gòu)

1.2 IPSec協(xié)議

IPSec協(xié)議屬于三層隧道加密協(xié)議[4-6]，工作在OSI參考模型中的網(wǎng)絡(luò)層，它的出現(xiàn)使在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)有了可靠的安全保證。需要注意的一點是IPSec協(xié)議并不是一個單個協(xié)議，而是由IETF起草制定的一套用于保護IP層數(shù)據(jù)安全的體系框架構(gòu)成，主要包括網(wǎng)絡(luò)認證AH協(xié)議、封裝安全載荷ESP協(xié)議、密鑰管理IKE協(xié)議和一些用于加密、認證的算法。加密和認證是IPSec協(xié)議擁有的兩種安全防范機制，用來保證數(shù)據(jù)的安全性。加密機制主要是采用對數(shù)據(jù)進行加密的方式，來防止黑客對傳輸中的數(shù)據(jù)進行竊聽。認證機制不僅可以確認數(shù)據(jù)在傳輸過程中是否被黑客篡改，而且還可以使數(shù)據(jù)接收一方對數(shù)據(jù)發(fā)送方的真實身份進行確認。IPSec協(xié)議中的ESP協(xié)議提供加密、數(shù)據(jù)源認證、數(shù)據(jù)完整性保護等功能，不足的一點是ESP協(xié)議只負責(zé)對負載數(shù)據(jù)提供安全保護，而對原始IP頭部不提供任何安全保護。IPSec協(xié)議中的AH協(xié)議只提供數(shù)據(jù)源認證和完整性校驗功能，不能有效防止黑客對數(shù)據(jù)的監(jiān)聽，因此多用于非機密性數(shù)據(jù)傳輸。

IPSec協(xié)議存在隧道和傳輸兩種封裝模式，現(xiàn)實中兩個通信站點的IP，在其間的網(wǎng)絡(luò)是否可路由決定了使用哪種封裝模式。如可路由既可以使用傳輸封裝模式又可以使用隧道封裝模式，如不可路由則必需使用隧道封裝模式，否則封裝后的數(shù)據(jù)包傳輸?shù)絀SP邊界路由器后，會被直接丟棄。傳輸封裝模式應(yīng)用起來相對簡單，只需將ESP頭插入在原始IP頭和TCP頭部之間，并在IP負載尾部加上ESP尾部和ESP驗證數(shù)據(jù)即可。由此可見，傳輸封裝模式只是對原始IP數(shù)據(jù)包負載進行封裝，并保留原始IP頭。而隧道封裝模式則是由新的IP數(shù)據(jù)包對原始IP數(shù)據(jù)包進行封裝，并在原始IP頭前插入新的IP頭和ESP頭，從而對其進行加密和驗證處理。IPSec協(xié)議封裝結(jié)構(gòu)如圖2所示。

IP頭部IPSec頭部傳輸層頭部應(yīng)用層頭部應(yīng)用層數(shù)據(jù)

圖2 IPSec協(xié)議封裝結(jié)構(gòu)

2 網(wǎng)絡(luò)拓撲設(shè)計

公司總部和分公司分別位于不同城市，其各自內(nèi)部網(wǎng)絡(luò)均使用私有IP地址訪問互聯(lián)網(wǎng)資源。其中C1為公司總部內(nèi)網(wǎng)所屬終端計算機，C2為分公司內(nèi)網(wǎng)所屬終端計算機。路由器R1為公司總部出口路由器，路由器R2為分公司出口路由器，路由器R1、R2分別與中國電信邊緣路由器R3、R4互聯(lián)。為了滿足公司總部與分公司內(nèi)網(wǎng)各用戶之間不僅能夠進行實時數(shù)據(jù)交換，而且各內(nèi)網(wǎng)用戶還可以正常訪問互連網(wǎng)資源的需求，我們在公司總部與分公司出口路由器上應(yīng)用路由策略的同時，在兩者之間之間建立起一個高安全性的點到點的GRE OVER IPSec VPN網(wǎng)絡(luò)，以便讓雙方用戶可以直接使用各自私有IP地址進行實時數(shù)據(jù)交換。即通過在R1與R2之間建立一個GRE隧道，使二者在邏輯上連接在一起，而后在雙方內(nèi)部網(wǎng)絡(luò)及隧道網(wǎng)絡(luò)上運行OSPF協(xié)議宣告各自網(wǎng)段[7-8]，使其均可以學(xué)習(xí)到對方內(nèi)網(wǎng)路由信息，最后再利用IPSec協(xié)議對在隧道中傳輸?shù)乃袛?shù)據(jù)包進行加密，最大限度地保證隧道中所傳數(shù)據(jù)包的安全。

經(jīng)過封裝后的原始數(shù)據(jù)包，加上了新的IP頭部(源地址與目的地址為封裝設(shè)備間公網(wǎng)地址)即公司總部與分公司向ISP提供商申請的固定公網(wǎng)地址，并且它們之間是可路由的，因此公司總部和分公司內(nèi)網(wǎng)用戶之間可以直接使用私有IP地址進行通信，無需進行NAT地址轉(zhuǎn)換。應(yīng)用路由策略主要是為了實現(xiàn)公司總部和分公司內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包與二者內(nèi)網(wǎng)用戶之間通信的數(shù)據(jù)包(去往隧道的數(shù)據(jù)包)分流，我們以公司總部內(nèi)網(wǎng)用戶為例，當(dāng)與分公司內(nèi)網(wǎng)用戶通信時，數(shù)據(jù)包去往VPN隧道；當(dāng)訪問互聯(lián)網(wǎng)資源時，數(shù)據(jù)包不再去往VPN隧道，而是在出口路由器R1上進行NAT地址轉(zhuǎn)換后，直接轉(zhuǎn)發(fā)到中國電信邊緣路由器R3，從而實現(xiàn)對互聯(lián)網(wǎng)資源的正常訪問。仿真實驗拓撲如圖3所示。

圖3 仿真實驗拓撲

3 網(wǎng)絡(luò)具體配置方案

3.1 IP地址分配

在中國電信邊緣路由器R3、R4上分別建立LOOPBACK接口，用來模擬公網(wǎng)目的服務(wù)器地址，公司總部出口路由器R1和分公司出口路由器R2的s1/0接口分別與中國電信邊緣路由器R3、R4互聯(lián)，公司總部所屬終端計算機C1與路由器R1的f2/0接口相連，分公司所屬終端計算機C2與路由器R2的f2/0接口相連，路由器R1與路由器R2之間建立虛擬GRE隧道Tunnel1，Tunnel1的網(wǎng)段地址為173.15.1.0/24。各網(wǎng)絡(luò)設(shè)備接口及IP地址規(guī)劃如表1所示。

表1 各網(wǎng)絡(luò)設(shè)備接口及IP地址規(guī)劃

3.2 路由器接口配置

路由器R3、R4接口配置與路由器R1、R2接口配置類似，故不在文中詳細闡述。

(1)配置路由器R1

R1(config)#int s1/0 //進入接口s1/0

R1(config-if)#ip add 202.97.95.62 255.255.255.0 //設(shè)置此接口地址用于與中國電信邊界路由器R3互連

R1(config-if)#ip nat outside

R1(config)#int f2/0

R1(config-if)#ip add 192.168.50.1 255.255.255.0 //此地址為終端計算機C1網(wǎng)關(guān)地址

R1(config-if)#ip nat inside

(2)配置路由器 R2

R2(config)#int s1/0 //進入接口s1/0

R2(config-if)#ip add 219.140.33.22 255.255.255.0 //設(shè)置此接口地址用于與中國電信邊界路由器R4互連

R2(config-if)#ip nat outside

R2(config)#int f2/0

R2(config-if)#ip add 192.168.60.1 255.255.255.0 //此地址為終端計算機C2網(wǎng)關(guān)地址

R1(config-if)#ip nat inside

3.3 配置靜態(tài)路由

公司總部及分公司內(nèi)部用戶對外訪問任何資源，數(shù)據(jù)包都會先轉(zhuǎn)發(fā)到與其互聯(lián)的ISP邊緣路由器(現(xiàn)實中，ISP邊緣路由器路由表中只有與之相連的直連路由信息，沒有各內(nèi)部站點的路由信息)，因此必需配置出口路由器R1至邊緣路由器R3和出口路由器R2至邊緣路由器R4的路由，否則對外訪問的數(shù)據(jù)包在路由表中將不會找到相關(guān)的路由信息，最終被路由器丟棄。

R1(config)#ip route 0.0.0.0 0.0.0.0 202.97.95.61

R2(config)#ip route 0.0.0.0 0.0.0.0 219.140.33.21

R3(config)#ip route 219.140.33.0 255.255.255.0 221.239.16.2

R3(config)#ip route 218.150.32.0 255.255.255.0 221.239.16.2

R4(config)#ip route 202.97.95.0 255.255.255.0 221.239.16.1

R4(config)#ip route 203.99.96.0 255.255.255.0 221.239.16.1

3.4 配置GRE隧道

通過在路由器R1與路由器R2之間建立GRE隧道，并且在隧道接口應(yīng)用NAT、ACL等技術(shù)，不僅可以把兩站點虛擬的連接起來，而且還可以實現(xiàn)對兩站點之間數(shù)據(jù)包流量的控制。另外，原始數(shù)據(jù)包經(jīng)過GRE封裝以后，會加上一個全新的外層IP頭，此時出口路由器R1和R2的s1/0接口地址即為新IP頭的源地址和目的地址。封裝后的數(shù)據(jù)包在到達路由器R2后會被解封裝，解封后的數(shù)據(jù)包的源地址和目的地址再次呈現(xiàn)為公司總部與分公司內(nèi)部用戶的私有IP地址。GRE隧道配置起來簡單便捷，其最主要的問題就是對所封裝的數(shù)據(jù)不提供任何安全保護措施。因此，一些重要的數(shù)據(jù)不能通過GRE隧道直接在互聯(lián)網(wǎng)上傳輸。

R1(config)#int tunnel 1

R1(config-if)#ip add 173.15.1.1 255.255.255.0 //配置隧道接口地址

R1(config-if)#tunnel source 202.97.95.62 //設(shè)置隧道源地址

R1(config-if)#tunnel destin 219.140.33.22 //設(shè)置隧道目的地址

R2(config)#int tunnel 1

R2(config-if)#ip add 173.15.1.2 255.255.255.0

R2(config-if)#tunnel source 219.140.33.22 //設(shè)置隧道源地址

R2(config-if)#tunnel destin 202.97.95.62 //設(shè)置隧道目的地址

3.5 配置動態(tài)路由OSPF

在公司總部和分公司內(nèi)部網(wǎng)絡(luò)和GRE隧道網(wǎng)絡(luò)上配置動態(tài)路由協(xié)議OSPF(OSPF的流量也會被封裝在GRE隧道內(nèi))，以便讓兩個站點均能學(xué)習(xí)到對方內(nèi)網(wǎng)路由信息，從而使各自內(nèi)網(wǎng)用戶間可以使用私有IP地址互相通信。

R1(config)#router ospf 1

R1(config)#network 173.15.1.0 0.0.0.255 area 0 //宣告隧道網(wǎng)絡(luò)

R1(config)#network 192.168.50 0.0.0.255 area 0 //宣告公司總部內(nèi)部網(wǎng)絡(luò)

R2(config)#router ospf 1

R2(config)#network 173.15.1.0 0.0.0.255 area 0 //宣告隧道網(wǎng)絡(luò)

R2(config)#network 192.168.60 0.0.0.255 area 0 //宣告分公司內(nèi)部網(wǎng)絡(luò)

3.6 配置IPSec VPN的IKE協(xié)商

3.6.1 配置IKE第一階段

配置IKE協(xié)商[9]的主要目的就是為了最大限度的保護隧道內(nèi)數(shù)據(jù)包的傳輸安全，其協(xié)商過程共分為兩個階段。第一階段協(xié)商的主要任務(wù)是協(xié)商IKE安全關(guān)聯(lián)，為第二階段的IPSec關(guān)聯(lián)提供安全保證。通常采用主模式或主動模式來完成對通信雙方的身份認證和鑒別工作，從而確保建立IPSec VPN的雙方是合法的Peer。當(dāng)通信雙方采用預(yù)共享密鑰的方式進行身份認證時，應(yīng)采用3個包交換的主動模式來完成第一階段的協(xié)商。當(dāng)通信雙方采用證書的方式進行身份認證時，則采用6個包交換的主模式來完成第一階段的協(xié)商。第一階段協(xié)商完成后，不僅通信雙方建立了互相信任的關(guān)系，而且一個雙向的IKE SA也被隨之建立。

R1(config)#crypto isakmp policy 20

R1(config-isakmp)#encryption 3des //指定加密算法為三重數(shù)據(jù)加密算法

R1(config-isakmp)#authentication pre-share //通信雙方采用預(yù)共享密鑰的方式進行身份認證

R1(config-isakmp)#hash md5 //數(shù)據(jù)完整性校驗采用md5算法

R1(config-isakmp)#group 2 //設(shè)置密鑰交換參數(shù)

R1(config-isakmp)#lifetime 3000 //設(shè)置SA的生存周期

R1(config)#crypto isakmp key sgy168 address 219.140.33.22 //通信雙方的共享密鑰設(shè)置為sgy168

R2(config)#crypto isakmp enable

R2(config)#crypto isakmp policy 20

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#hash md5

R2(config-isakmp)#group 2

R2(config-isakmp)#lifetime 3000

R2(config)#crypto isakmp key sgy168 address 202.97.95.62

3.6.2 配置IKE第二階段

第二階段協(xié)商的主要任務(wù)是協(xié)商相應(yīng)的流量策略并對感興趣的流量進行加密，通常采用3個包交換的快速模式來完成。在整個協(xié)商的過程中，3個數(shù)據(jù)包都得到了很好的安全保護，協(xié)商完成后IPSec SA也隨即產(chǎn)生。

R1(config)#crypto isakmp enable //啟用isakmp協(xié)議，此協(xié)議為IKE的核心協(xié)議

R1(config)#crypto ipsec transform-se sgy esp-3des esp-sha-hmac //定義名為sgy的轉(zhuǎn)換集

R1(cfg-crypto-trans)#mode transport //使用傳輸模式對數(shù)據(jù)進行封裝

R1(config)#access-list 101 permit ip host 202.97.95.62 host 219.140.33.22 //用擴展訪問控制列表定義感興趣流量

R1(config)#crypto map lzz 20 ipsec-isakmp //建立一個名為lzz的加密圖

R1(config-cryto-map)#set peer 219.140.33.22 //設(shè)置對等體IP地址

R1(config-cryto-map)#set transform-set sgy

R1(config-cryto-map)#match add 101

R1(config)#int s1/0

R1(config-if)#crypto map lzz //在公司總部出口路由器R1的s1/0接口上應(yīng)用加密圖

R2(config)#crypto ipsec transform-se sgy esp-3des esp-sha-hmac

R2(cfg-crypto-trans)#mode transport

R2(config)#access-list 101 permit ip host 219.140.33.22 host 202.97.95.62

R2(config)#crypto map lzz 20 ipsec-isakmp

R2(config-cryto-map)#set peer 202.97.95.62

R2(config-cryto-map)#set transform-set sgy

R2(config-cryto-map)#match add 101

R2(config)#int s1/0

R2(config-if)#crypto map lzz //在分公司出口路由器R2的s1/0接口上應(yīng)用加密圖

3.7 配置NAT轉(zhuǎn)換

在公司總部和分公司出口路由器上配置NAT，使其各自內(nèi)網(wǎng)用戶脫離VPN，實現(xiàn)對互聯(lián)網(wǎng)資源的正常訪問。

(1)在公司總部出口路由器R1上配置NAT。

R1(config)#access list 109 deny ip 192.168.50.0 0.0.0.255 192.168.60.0 0.0.0.255 //禁止公司總部內(nèi)網(wǎng)用戶訪問分公司內(nèi)網(wǎng)用戶

R1(config)#access list 109 permit ip 192.168.50.0 0.0.0.255 any //公司總部內(nèi)網(wǎng)用戶可以訪問任何地址

R1(config)#route-map zb permit 10 //建立名為zb的路由圖

R1(config-route-map)#match ip address 109

R1(config)# ip nat inside source route-map zb interface s1/0 overload

(2)在分公司出口路由器R2上配置NAT。

R2(config)#access list 108 deny ip 192.168.60.0 0.0.0.255 192.168.50.0 0.0.0.255

R2(config)#access list 108 permit ip 192.168.60.0 0.0.0.255 any

R2(config)#route-map fgs permit 10 //建立名為zb的路由圖

R2(config-route-map)#match ip address 108

R2(config)# ip nat inside source route-map fgs interface s1/0 overload

4 仿真實驗測試

在這里我們用ping命令測試，公司總部終端計算機C1訪問公網(wǎng)服務(wù)器目的地址203.99.96.67與分公司終端計算機C2的的連通性；用show crypto session命令查看路由器R1和R2的IPSec會話情況。

(1)測試終端計算機C1訪問公網(wǎng)服務(wù)器目的地址203.99.96.67的連通性。

VPCS[1]>sh ip

NAME:VPCS[1]

IP/MASK:192.168.50.2/24

GATAWAY:192.168.50.1

MAC:00:50:79:66:68:00

LPORT:20000

VPCS[1]> ping 203.99.96.67

203.99.96.67 icmp_seq=1 ttl=254 time=140.401 ms

203.99.96.67 icmp_seq=2 ttl=254 time=93.601 ms

203.99.96.67 icmp_seq=3 ttl=254 time=46.800 ms

(2)測試終端計算機C1訪問分公司終端計算機C2的連通性。

VPCS[1]> ping 192.168.60.2

192.168.60.2 icmp_seq=1 ttl=254 time=131.001 ms

192.168.60.2 icmp_seq=2 ttl=254 time=73.201 ms

192.168.60.2 icmp_seq=3 ttl=254 time=40.500 ms

(3)使用show crypto session 命令查看公司總部出口路由器R1的IPSec會話。

R1#sh crypto session

Crypto session current status

Interface: Tunnel1

Session status: UP-ACTIVE

Peer: 219.140.33.22 port 500

IKE SA: local 202.97.95.62/500 remote 219.140.33.22/500 Active

IPSEC FLOW: permit host 192.168.50.2 host 192.168.60.2

(4)使用show crypto session 命令查看分公司出口路由器R2的IPSec會話。

R2#sh crypto session

Crypto session current status

Interface: Tunnel1

Session status: UP-ACTIVE

Peer: 202.97.95.62 port 500

IKE SA: local 219.140.33.22/500 remote 202.97.95.62/500 Active

IPSEC FLOW: permit host 192.168.60.2 host 192.168.50.2

(5)使用show ip route命令查看公司總部出口路由器R1的路由表，如圖4所示。

圖4 路由器R1路由表

測試后發(fā)現(xiàn)：終端計算機C1不僅能對公網(wǎng)服務(wù)器進行正常訪問，而且利用GRE over IPSec VPN技術(shù)還可以直接使用私有地址與分公司內(nèi)網(wǎng)終端計算機C2正常通信；公司總部出口路由器R1和分公司出口路由器R2不僅可以學(xué)習(xí)到各自內(nèi)網(wǎng)網(wǎng)段的路由信息，而且它們之間的IPSec會話也被成功建立，因而各自所屬終端計算機互相訪問的數(shù)據(jù)流也會得到有效保護。

5 結(jié) 語

本文提出的結(jié)合GRE和IPSec 建設(shè)高安全性VPN的方案，由于在公司總部與分公司出口路由器上應(yīng)用了路由策略，使得去往VPN隧道的流量與訪問Internet的流量成功分離。應(yīng)用該方案不僅實現(xiàn)了公司總部與分公司各用戶之間可以直接使用私有IP地址進行安全互訪，而且也實現(xiàn)了雙方用戶脫離VPN隧道對互聯(lián)網(wǎng)資源的正常訪問。滿足了公司總部與分公司各用戶之間不僅能夠進行實時數(shù)據(jù)交換，而且各用戶還可以正常訪問互連網(wǎng)資源的需求。

[參考文獻]

[1] DOYLE J，CARROLL J.TCP/IP路由技術(shù)[M].北京:人民郵電出版社，2009.

[2] NEDELTCHEV P．遠程接入網(wǎng)絡(luò)疑難解析[M]．北京:人民郵電出版社，2009:431-502.

[3] 陳英,馬洪濤.NAT技術(shù)的研究與應(yīng)用[J].實驗室研究與探索，2007，26(8):56-59．

[4] 曹騰飛,孟永偉,黃建強.西部高校計算機網(wǎng)絡(luò)實驗[J].實驗室研究與探索，2015,34(4):129-131．

[5] 李紅升.基于隧道技術(shù)的VPN技術(shù)應(yīng)用[J].電腦知識與技術(shù)，2012,8(4):3239-3241.

[6] 彭輝.基于VPN的硅酸鈣板生產(chǎn)線遠程監(jiān)控與診斷系統(tǒng)[J].陜西理工大學(xué)學(xué)報(自然科學(xué)版)，2017,33(6)：39-44．

[7] 何亞輝.基于SSL協(xié)議的VPN技術(shù)研究及在校園網(wǎng)中的應(yīng)用[J].重慶理工大學(xué)學(xué)報(自然科學(xué)),2011,25(2):86-90．

[8] 唐燈平.基于Packet Tracer的GRE隧道配置實驗教學(xué)設(shè)計[J].實驗室研究與探索,2010,29(11):378-381．

[9] 肖潔芩.基于PKI與GRE的IPSec VPN系統(tǒng)的設(shè)計與實現(xiàn)[D].南京:南京信息工程大學(xué)，2011．