GRE over IPsec VPN在企業(yè)網(wǎng)中的應(yīng)用探究

◆林冠男

（廣西柳州市污水治理有限責(zé)任公司 廣西 545002）

GRE over IPsec VPN在企業(yè)網(wǎng)中的應(yīng)用探究

◆林冠男

（廣西柳州市污水治理有限責(zé)任公司 廣西 545002）

本文分析了當(dāng)前幾類常用的VPN 技術(shù)，介紹了它們的特性，提出結(jié)合 IPSEC 協(xié)議的安全傳輸以及 GRE 協(xié)議實(shí)現(xiàn)組播的特性，通過 GRE over IPSEC VPN 技術(shù)完成某省份通信產(chǎn)業(yè)服務(wù)企業(yè)和其下屬單位之間安全的數(shù)據(jù)傳輸業(yè)務(wù)，并給出了GRE over IPsec VPN的相關(guān)設(shè)置及實(shí)現(xiàn)。

虛擬專用網(wǎng)；企業(yè)網(wǎng)；應(yīng)用探究

0 引言

虛擬專用網(wǎng)（Virtual Private Network，VPN），指的是利用某條公共網(wǎng)絡(luò)（一般是Internet）構(gòu)建一個(gè)可信的、穩(wěn)定的連接，可以說是一道通過廣闊的公用網(wǎng)絡(luò)的可靠、平穩(wěn)的路徑。虛擬專用網(wǎng)是對(duì)企業(yè)局域網(wǎng)的拓展，其能夠輔助遠(yuǎn)方客戶、企業(yè)下屬部門、關(guān)聯(lián)企業(yè)以及供貨商，同企業(yè)的局域網(wǎng)構(gòu)建穩(wěn)定的、可信的連接，并確保信息的安全傳送。本文探究了結(jié)合GRE和IPsec技術(shù)的特點(diǎn)，應(yīng)用GRE over IPsec VPN 來完成某省份通信產(chǎn)業(yè)服務(wù)企業(yè)和其他下屬單位之間穩(wěn)定的信息傳輸。

1 虛擬專用網(wǎng)

近幾年，伴隨網(wǎng)絡(luò)技術(shù)的發(fā)展，虛擬專用網(wǎng)VPN（Virtual Private Network）技術(shù)迅速發(fā)展起來，也就是通過公共網(wǎng)絡(luò)來建立私有網(wǎng)絡(luò)。VPN的功能是：在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)，實(shí)現(xiàn)秘密傳輸，其在企業(yè)網(wǎng)絡(luò)中有著大量的應(yīng)用。

VPN 網(wǎng)關(guān)，利用對(duì)數(shù)據(jù)包的鎖定、對(duì)數(shù)據(jù)包目的位置的變換完成遠(yuǎn)端查詢。在公用網(wǎng)絡(luò)上建立的VPN，能夠像企業(yè)已有的私有網(wǎng)絡(luò)一樣具有安全性、穩(wěn)定性和可監(jiān)管性等。通過公共網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)傳輸，一是，使得用戶花費(fèi)較低的代價(jià)連接遠(yuǎn)端辦事部門、外出職員和商業(yè)伙伴，二是，明顯的增強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)的使用率，能夠提升ISP（Internet Service Provider）的獲益。

VPN技術(shù)是一種遠(yuǎn)端查詢手段，一般來講就是通過公共網(wǎng)絡(luò)構(gòu)建專有網(wǎng)絡(luò)。比如，某企業(yè)派遣職工去外地公干，他想查詢企業(yè)內(nèi)網(wǎng)的相關(guān)資料，這類查詢就是遠(yuǎn)端訪問。

在大部分的企業(yè)網(wǎng)絡(luò)設(shè)置中，想要實(shí)現(xiàn)遠(yuǎn)端訪問，一般的辦法是租賃DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）線路或幀中繼，如此的解決辦法顯然要造成極高的網(wǎng)絡(luò)使用和維護(hù)成本。對(duì)那些移動(dòng)客戶（移動(dòng)辦公用戶）與遠(yuǎn)端個(gè)人客戶來講，大多數(shù)時(shí)候會(huì)利用撥號(hào)方式（Internet）進(jìn)到企業(yè)的局域網(wǎng)，不過如此很有可能引起安全上的問題。

VPN 有許多區(qū)分形式，可以依據(jù)VPN的相關(guān)協(xié)議來區(qū)分。隧道協(xié)議（Tunneling）是一類憑借應(yīng)用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備，在網(wǎng)絡(luò)之間傳輸信息的形式。應(yīng)用其傳輸?shù)男畔ⅲɑ驍?shù)據(jù)）能夠是各個(gè)技術(shù)的幀或包。隧道技術(shù)把別的技術(shù)的幀或包再封裝，接著利用隧道傳送。新的幀頭提供路由信息，從而利用互聯(lián)網(wǎng)傳送被封裝的相關(guān)信息。

VPN 的隧道協(xié)議包括以下幾種：PPTP協(xié)議、L2TP協(xié)議、GRE協(xié)議以及IPSec協(xié)議。

（1）PPTP（Point to Point Tunneling Protocol），它是一類可以實(shí)現(xiàn)多技術(shù)虛擬專有網(wǎng)絡(luò)的協(xié)議，其是屬于二層隧道協(xié)議。利用這一技術(shù)，遠(yuǎn)端人員可以利用各類網(wǎng)絡(luò)系統(tǒng)可靠、穩(wěn)定的進(jìn)入相關(guān)的專有網(wǎng)絡(luò)，并可以實(shí)現(xiàn)連入當(dāng)?shù)氐腎SP，利用 Internet 安全連接到企業(yè)網(wǎng)絡(luò)。

PPTP協(xié)議是一類全新的可靠性協(xié)議，它基于 PPP 技術(shù)得以發(fā)展起來。其能夠使得遠(yuǎn)端用戶利用當(dāng)?shù)豂SP、利用直接的連接Internet 或者別的網(wǎng)絡(luò)穩(wěn)定地查詢公司的私有網(wǎng)絡(luò)。

（2）L2TP 是一類屬于工業(yè)規(guī)范的協(xié)議。它的特性一般是同PPTP 技術(shù)有著相似之處，例如，一樣能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流實(shí)現(xiàn)加密。當(dāng)然也是存在著很大的不同的，例如，PPTP 需要的是Internet為 IP 連接，L2TP 需要的是面向相關(guān)信息流的點(diǎn)與點(diǎn)的鏈接；PPTP 應(yīng)用的單一路徑，L2TP 應(yīng)用的是多種路徑；L2TP 的供應(yīng)包頭收緊、路徑檢驗(yàn)，而PPTP是不能的。

PPP 規(guī)范了一個(gè)新的封裝構(gòu)成形式，也就是多協(xié)議通過第二層實(shí)現(xiàn)的。尤其指出，客戶憑借應(yīng)用許多手段之一實(shí)現(xiàn)相應(yīng)連接，接著在這個(gè)連接上實(shí)施 PPP。在如此的設(shè)置中，第二層最終點(diǎn)以及 PPP 會(huì)話終點(diǎn)同時(shí)位于同樣的物理設(shè)施之中。

（3）GRE(Generic Routing Encapsulation),其規(guī)范了在任何一類網(wǎng)絡(luò)層協(xié)議上封裝任何一類別的網(wǎng)絡(luò)層協(xié)議的協(xié)議。它可以支持多種協(xié)議,以及組播數(shù)據(jù)傳輸,不過它不支持加密的設(shè)置。

Tunnel 是一類虛擬的連接，供給了一個(gè)路徑使得封裝的數(shù)據(jù)信息可以在這個(gè)路徑上傳送，而且在一個(gè)Tunnel 的兩端分別對(duì)數(shù)據(jù)信息實(shí)現(xiàn)封裝及解開。一個(gè)X協(xié)議的數(shù)據(jù)如果穿越網(wǎng)絡(luò)在其中傳送，就要先加包封再解開才可以實(shí)現(xiàn)。

（4）IPSEC 協(xié)議，其為 Internet 上傳送的相關(guān)信息提出了高水準(zhǔn)的、可應(yīng)用的、有關(guān)加密學(xué)的安全保障的一類協(xié)議。當(dāng)特殊的用戶之間傳輸信息的時(shí)候，在利益密碼與數(shù)據(jù)源判定等方式，其可以供給如下安全服務(wù)：數(shù)據(jù)的加密性、數(shù)據(jù)的完備性、數(shù)據(jù)的來源判斷、以及避免重放等。不過它僅是供給單播以及 IP數(shù)據(jù)流。

IPSec是可靠聯(lián)網(wǎng)的長(zhǎng)期的方向。其利用端對(duì)端的可靠性來供給主動(dòng)的保障以避免專用網(wǎng)絡(luò)與 Internet 的干擾的產(chǎn)生。在傳輸過程中，僅有發(fā)送用戶以及接收用戶才是唯一需要了解 IPSec保障的計(jì)算機(jī)。

綜上所述，我們能夠發(fā)現(xiàn)盡管IPsec供給可靠的數(shù)據(jù)傳送而且本身也能夠工作在隧道形式，不過不提供組播數(shù)據(jù)傳送，不可以使用在兩個(gè)需要傳輸組播數(shù)據(jù)的情景，比如：上級(jí)和下屬之間需要運(yùn)轉(zhuǎn)動(dòng)態(tài)路由協(xié)議。我們?cè)诂F(xiàn)實(shí)使用中常常能夠結(jié)合 GRE支持組播數(shù)據(jù)傳輸和 IPsec支持?jǐn)?shù)據(jù)加密的特性來完成企業(yè)總部和分公司之間的 VPN 數(shù)據(jù)業(yè)務(wù)。

2 GRE over IPsec VPN 配置與實(shí)現(xiàn)

虛擬專用網(wǎng)是對(duì)企業(yè)局域網(wǎng)的拓展、延伸，其能夠輔助遠(yuǎn)方的客戶、企業(yè)下屬的部門、關(guān)聯(lián)的企業(yè)以及相關(guān)供貨商，同企業(yè)的局域網(wǎng)構(gòu)建穩(wěn)定的、可信的連接，并確保信息的安全傳送。在大部分的企業(yè)網(wǎng)絡(luò)設(shè)置中，想要實(shí)現(xiàn)遠(yuǎn)端訪問，一般的辦法是租賃DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）線路或幀中繼，如此的解決辦法顯然要造成極高的網(wǎng)絡(luò)使用和維護(hù)成本。對(duì)那些移動(dòng)客戶（移動(dòng)辦公用戶）與遠(yuǎn)端個(gè)人客戶來講，大多數(shù)時(shí)候會(huì)利用利用撥號(hào)方式（Internet）進(jìn)到企業(yè)的局域網(wǎng)，不過如此很有可能引起安全上的問題。

VPN 有許多區(qū)分形式，可以依據(jù)VPN的相關(guān)協(xié)議來區(qū)分。隧道協(xié)議（Tunneling）是一類憑借應(yīng)用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備，在網(wǎng)絡(luò)之間傳輸信息的形式。應(yīng)用其傳輸?shù)男畔ⅲɑ驍?shù)據(jù)）能夠是各個(gè)技術(shù)的幀或包。隧道技術(shù)把別的技術(shù)的幀或包再封裝，接著利用隧道傳送。新的幀頭提出路由信息，從而利用互聯(lián)網(wǎng)傳送被封裝的相關(guān)信息。GRE over IPSEC VPN是通過GRE通用路由封裝協(xié)議來建立一個(gè)非安全的隧道去傳遞私網(wǎng)路由，而且GRE支持組播協(xié)議，所以也就支持動(dòng)態(tài)路由協(xié)議。但GRE的安全性就需要IPSEC去保證了，而IPSEC可悲的是又不支持組播，除非用到其它諸如VTI的一些技術(shù)了。所以自然而然，人們就想到GRE over IPSEC的VPN去安全的傳遞內(nèi)網(wǎng)數(shù)據(jù)。

這里的路由器應(yīng)用的是 H3C企業(yè)的 MSR-3620，V7版。

省公司路由器配置：

// 設(shè)置 OSPF 協(xié)議，通知 G0/0/0 以及 tunnel 口地址

3 結(jié)語

本文分析了當(dāng)前幾類常用的VPN技術(shù)，介紹了各自的相關(guān)特性。最后，本文給出結(jié)合 GRE 隧道支持組播數(shù)據(jù)傳輸?shù)挠悬c(diǎn)，以及 Ipsec 隧道技術(shù)支持安全加密傳輸?shù)奶匦裕瑥亩罱K實(shí)現(xiàn)了某省份通信產(chǎn)業(yè)服務(wù)企業(yè)和其下屬單位之間安全的數(shù)據(jù)傳輸。

[1]王偉，孫靜，萬杰等.GRE over IPSec VPN在安徽地震行業(yè)網(wǎng)中的應(yīng)用研究[J].科技視界，2014.

[2]莊佳樂，劉琨.IPSec VPN加密系統(tǒng)在中海油通信網(wǎng)絡(luò)中的應(yīng)用探討[J].數(shù)字通信世界，2014.

[3]岳瑩，孫廣波，楊敏等.VPN技術(shù)在企業(yè)專網(wǎng)建設(shè)中的應(yīng)用研究[J].移動(dòng)通信，2015.

[4]王飛.VPN在中小型企事業(yè)單位中的應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2014.

[5]張友國(guó).GRE-over-IPsec VPN工程設(shè)計(jì)及實(shí)現(xiàn)--基于合肥百大集團(tuán)網(wǎng)絡(luò)的VPN應(yīng)用[J].電腦知識(shí)與技術(shù)，2013.