GREoverIPsecVPN在企业网中的应用研究.docVIP

GREoverIPsecVPN在企业网中的应用研究 　　摘 要 文章分析了目前几种主流的VPN技术，比较了各自的优缺点，提出结合IPSEC隧道的安全传输以及GRE隧道支持组播的特点，利用GREoverIPSEC VPN技术实现安徽省通信产业服务有限公司和其他分公司之间安全的数据传输业务，设计了网络拓扑图，给出了配置及实现。 　　关键词 GRE；VPN；隧道技术；IPSEC；网络安全 　　中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）07-0144-02 　　虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。本文介绍了结合两种隧道技术的优点使用GREoverIPsecVPN来实现安徽省通信产业服务有限公司和其他分公司之间安全的数据传输。 　　1 VPN技术 　　虚拟专用网络（Virtual Private Network），简称VPN。其功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。 　　VPN有多种分类方式，其中按VPN的隧道协议分为几类。 　　隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其他协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。 　　VPN的隧道协议主要有：PPTP、L2TP、GRE和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；GRE和IPSec是第三层隧道协议。 　　1）PPTP（Point to Point Tunneling Protocol），即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。 　　2）L2TP是一种工业标准的Internet隧道协议。功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。 　　3）GRE（Generic Routing Encapsulation），即通用路由封装协议，定义了在任意一种网络层协议上封装任意一个其他网络层协议的协议。优点是支持多种协议和组播数据传输，缺点是不支持加密机制。 　　4）IPSEC协议。IPsec（IP Security）是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式，优点是提供以下安全服务：数据机密性、数据完整性、数据来源认证、防重放。缺点是：只支持单播和IP数据流。 　　通过以上分析比较可以看出IPsec虽然提供安全的数据传输并且自身也可以工作在隧道模式，但是不支持组播数据传输，不能应用在两个需要传输组播数据的场合，如：总部和分部之间需要运行动态路由协议。我们在实际应用中往往可以结合GRE支持组播数据传输和IPsec支持数据加密的优点来实现企业总部和分公司之间的VPN数据业务。 　　2 GREoverIPsecVPN配置与实现 　　2.1 拓朴结构设计 　　拓朴结构设计，如图1。 　　图1 VPN设计拓朴图 　　2.2 GREoverIPsecVPN配置步骤 　　路由器采用H3C公司的MSR-3620，版本号为V7。 　　省公司路由器配置： 　　//配置OSPF协议，通告G0/0/0地址和tunnel口地址 　　ospf 1 router-id 172.16.1.1 　　area 0.0.0.0 　　network 172.16.0.0 0.0.255.255 　　network 100.1.1.0 0.0.0.255 　　//配置内网用户 　　Interface GigabitEthernet0/0/0 　　Ip address 172.16.1.1 255.255.255.0 　　//配置接口Serial0/1/0，调