唐燈平

(南京鐵道職業(yè)技術(shù)學(xué)院蘇州校區(qū)，江蘇蘇州 215137)

1 引言

在信息化帶動(dòng)工業(yè)化、工業(yè)化促進(jìn)信息化的大潮下，各企事業(yè)單位越來越重視信息化水平的建設(shè)。隨著公司規(guī)模不斷擴(kuò)大以及自身發(fā)展的需要，越來越多的單位在異地組建了分公司。為了將總公司和分公司的網(wǎng)絡(luò)統(tǒng)一起來以達(dá)到資源共享的目的，需要將異地的局域網(wǎng)絡(luò)進(jìn)行互連，互連時(shí)需要共享路由信息，可通過GRE隧道技術(shù)實(shí)現(xiàn)。在進(jìn)行異地網(wǎng)絡(luò)互連時(shí)，同樣需要考慮數(shù)據(jù)傳輸?shù)陌踩珕栴}。為了更安全地傳輸公司內(nèi)部保密數(shù)據(jù)，可以通過IPSec VPN技術(shù)來實(shí)現(xiàn)。

基于GRE over IPSec VPN技術(shù)實(shí)現(xiàn)異地網(wǎng)絡(luò)互連，能夠?qū)崿F(xiàn)分公司和總公司之間的路由信息共享和信息安全傳輸雙重功能，被廣大企事業(yè)單位所接受。

2 GRE over IPSec VPN工作原理

2.1 GRE[1-2]

GRE(Generic Routing Encapsulation)即通用路由封裝協(xié)議，是對(duì)某些網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議中傳輸。它采用了一種被稱之為Tunnel(隧道)的技術(shù)。GRE通常用來構(gòu)建站點(diǎn)到站點(diǎn)的VPN隧道。

GRE技術(shù)的優(yōu)缺點(diǎn)：它的最大的優(yōu)點(diǎn)是可以對(duì)多種協(xié)議，多種類型的報(bào)文進(jìn)行封裝，并且能夠在隧道中進(jìn)行傳輸。它的缺點(diǎn)是對(duì)傳輸?shù)臄?shù)據(jù)沒有加密功能，也就是數(shù)據(jù)在傳輸?shù)倪^程中是不安全的。

2.2 IPSec VPN[3]

IPSec (IP Security) 協(xié)議族為IP數(shù)據(jù)包提供了高質(zhì)量的、可互相操作的、基于密碼學(xué)的安全保護(hù)，它能夠保證IP數(shù)據(jù)包傳輸時(shí)的安全性。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它包括AH、ESP和IKE三個(gè)協(xié)議，其中AH協(xié)議和ESP協(xié)議為安全協(xié)議，IKE協(xié)議為密鑰管理協(xié)議。IPSec VPN適用于LAN to LAN的局域網(wǎng)互聯(lián)。

IPSec技術(shù)的優(yōu)缺點(diǎn)：它的優(yōu)點(diǎn)是能夠提供安全的數(shù)據(jù)傳輸，缺點(diǎn)是不能夠?qū)W(wǎng)絡(luò)中的組播報(bào)文進(jìn)行封裝。也就是說不能夠在IPSec協(xié)議封裝隧道中傳輸常見的動(dòng)態(tài)路由協(xié)議報(bào)文。

2.3 綜合這兩種技術(shù)

利用GRE技術(shù)對(duì)用戶數(shù)據(jù)和動(dòng)態(tài)路由協(xié)議報(bào)文進(jìn)行隧道封裝，并且能很好地提供一個(gè)真正意義上的點(diǎn)對(duì)點(diǎn)的隧道，然后使用IPSec技術(shù)來保護(hù)GRE隧道的安全，這樣就構(gòu)成了GRE over IPSec VPN 技術(shù)。

3 網(wǎng)絡(luò)拓?fù)錁?gòu)建

3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、設(shè)計(jì)

圖 GRE over IPSec VPN實(shí)現(xiàn)異地網(wǎng)絡(luò)互連網(wǎng)絡(luò)拓?fù)?/p>

首先介紹一下公司的基本狀況：該公司在上海成立了總公司，隨著公司業(yè)務(wù)的發(fā)展，北京成立了分公司，兩地均有各自獨(dú)立的局域網(wǎng)絡(luò)。由于分公司要遠(yuǎn)程訪問總公司的各種內(nèi)部網(wǎng)絡(luò)資源，例如：FTP服務(wù)器，考勤系統(tǒng)，人事系統(tǒng)，財(cái)務(wù)系統(tǒng)以及內(nèi)部WEB網(wǎng)站等等，需要將兩地獨(dú)立的局域網(wǎng)絡(luò)互連起來。將相距較遠(yuǎn)的局域網(wǎng)進(jìn)行互連，需要借助于Internet網(wǎng)絡(luò)。

該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)總體分為三個(gè)部分：上海總公司，北京分公司以及連接兩地的Internet網(wǎng)絡(luò)。利用四臺(tái)路由器和兩臺(tái)電腦簡單描述該網(wǎng)絡(luò)拓?fù)?。其中微機(jī)PC0表示上?？偣镜囊慌_(tái)普通的電腦，路由器R1為上海總公司的出口路由器，路由器R3為上?？偣具B接的Internet服務(wù)提供商的路由器。微機(jī)PC1為北京分公司的一臺(tái)普通的電腦，路由器R2為北京分公司的出口路由器，路由器R4為北京分公司連接的Internet服務(wù)提供商的路由器。上?？偣镜腎nternet服務(wù)提供商和北京分公司的Internet服務(wù)提供商通過Internet互連起來。具體網(wǎng)絡(luò)拓?fù)淙鐖D所示。

3.2 網(wǎng)絡(luò)地址規(guī)劃

由于上海總公司和北京分公司的內(nèi)部局域網(wǎng)規(guī)模均不大，故將它們規(guī)劃為C類私有地址，上?？偣镜木W(wǎng)絡(luò)地址規(guī)劃為：192.168.1.0/24，北京分公司規(guī)劃為：192.168.2.0/24。上?？偣境隹诼酚善鬟B接Internet服務(wù)提供商的網(wǎng)絡(luò)地址為：1.1.1.0/30，北京分公司為：2.2.2.0/30，上海和北京之間的網(wǎng)絡(luò)地址為：3.3.3.0/30。

由于兩地之間要借助于GRE隧道進(jìn)行互連，路由器R1連接路由器R2的隧道的地址為10.1.1.1/24，路由器R2連接路由器R1的隧道的地址為10.1.1.2/24。

4 具體實(shí)現(xiàn)過程[4-10]

4.1 配置R1與R2的Internet連通性

4.1.1 基本配置

對(duì)路由器R1、R2、R3、R4進(jìn)行基本配置，包括端口地址的配置，端口的激活以及廣域網(wǎng)DCE端口的時(shí)鐘配置。具體端口地址配置如表所示：

表 IP地址分配

4.1.2 配置路由使Internet連通

首先在R1和R2上配置默認(rèn)路由，使非內(nèi)網(wǎng)數(shù)據(jù)包指向Internet。

R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 //配置R1指向Internet的默認(rèn)路由

R2(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 //配置R2指向Internet的默認(rèn)路由

其次在R3和R4上配置靜態(tài)路由，使其互相連通。

R3(config)#ip route 2.2.2.0 255.255.255.252 3.3.3.2 //配置R3指向R4的靜態(tài)路由

R4(config)#ip route 1.1.1.0 255.255.255.252 3.3.3.1 //配置R4指向R3的靜態(tài)路由

最后測試連通性：在路由器R1上ping 路由器R2 的端口F0/0的IP地址2.2.2.2。結(jié)果是通的。

4.2 對(duì)路由器R1和R2進(jìn)行GRE隧道配置

首先配置路由器R1：

R1(config)#interface tunnel 1 //在路由器R1上創(chuàng)建隧道1

R1(config-if)#ip address 10.1.1.1 255.255.255.0 //為路由器R1的隧道1設(shè)置IP地址

R1(config-if)#tunnel source fastEthernet 0/0 //指定隧道的源接口為f0/0

智慧教室又稱智能教室，未來教室。智慧教室的智慧性體現(xiàn)在教學(xué)內(nèi)容的優(yōu)化呈現(xiàn)、學(xué)習(xí)資源的便利獲取、課堂教學(xué)的深度互動(dòng)、情景感知與檢測、教室布局等方面。黃榮懷[1]教授從這5個(gè)方面總結(jié)了智慧教室的概念模型即SMART模型。有學(xué)者從本質(zhì)觀出發(fā)，將智慧教室理解為“支持學(xué)習(xí)者基于自身的能力與水平，兼顧興趣[2]，通過嫻熟的運(yùn)用信息技術(shù)，獲取豐富的學(xué)習(xí)資料，開展自助式學(xué)習(xí)”的環(huán)境。還有學(xué)者將智慧教室看做借助于計(jì)算技術(shù)、物聯(lián)網(wǎng)、云計(jì)算、智能技術(shù)構(gòu)建起來的促進(jìn)學(xué)生構(gòu)建知識(shí)的智慧學(xué)習(xí)空間[3]。

R1(config-if)#tunnel destination 2.2.2.2 //指定隧道的目的接口地址為2.2.2.2

其次配置路由器R2：

R2(config)#interface tunnel 1 //在路由器R2上創(chuàng)建隧道1

R2(config-if)#ip address 10.1.1.1 255.255.255.0 //為路由器R2的隧道1設(shè)置IP地址

R2(config-if)#tunnel source fastEthernet 0/0 //指定隧道的源接口為f0/0

R2(config-if)#tunnel destination 1.1.1.1 //指定隧道的目的接口地址為1.1.1.1

4.3 在R1和R2上配置動(dòng)態(tài)路由協(xié)議

首先配置路由器R1：

R1(config)#router rip //在路由器R1上啟用動(dòng)態(tài)路由協(xié)議RIP

R1(config-router)#version 2 //啟用動(dòng)態(tài)路由協(xié)議RIP的版本2

R1(config-router)#network 192.168.1.0 //宣告網(wǎng)絡(luò)地址192.168.1.0

R1(config-router)#network 10.0.0.0 //宣告網(wǎng)絡(luò)地址10.0.0.0

其次配置路由器R2：

R2(config)#router rip //在路由器R2上啟用動(dòng)態(tài)路由協(xié)議RIP

R2(config-router)#version 2 //啟用動(dòng)態(tài)路由協(xié)議RIP的版本2

R2(config-router)#no auto-summary //取消自動(dòng)匯總功能

R2(config-router)#network 192.168.2.0 //宣告網(wǎng)絡(luò)地址192.168.2.0

R2(config-router)#network 10.0.0.0 //宣告網(wǎng)絡(luò)地址10.0.0.0

最后測試網(wǎng)絡(luò)的連通性：

PC0 ping PC1 結(jié)果是通的。

PC>ping 192.168.2.2

Reply from 192.168.2.2: bytes=32 time=156ms TTL=126

Reply from 192.168.2.2: bytes=32 time=139ms TTL=126

4.4 配置R1的IKE參數(shù)和IPSec參數(shù)

首先配置R1的IKE參數(shù)：

R1(config)#crypto isakmp policy 1 //創(chuàng)建IKE策略

R1(config-isakmp)#encryption 3des //使用3DES加密算法

R1(config-isakmp)#authentication pre-share //使用預(yù)共享密鑰驗(yàn)證方式

R1(config-isakmp)#hash sha //使用SHA-1算法

R1(config-isakmp)#group 2 //使用DH 組2

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 123456 address 2.2.2.2 //配置預(yù)共享密鑰

其次配置R1的IPSec參數(shù)：

R1(config)#crypto ipsec transform-set 3des_sha esp-sha-hmac //配置IPSec轉(zhuǎn)換集，使用ESP協(xié)議，3DES算法和SHA-1 散列算法

R1(cfg-crypto-trans)#mode transport //指定IPSec 工作模式為傳輸模式

R1(config)#access-list 100 permit gre host 1.1.1.1 host 2.2.2.2 //針對(duì)GRE隧道的流量進(jìn)行保護(hù)

R1(config)#crypto map to_R2 1 ipsec-isakmp //配置IPSec加密映射

R1(config-crypto-map)#match address 100 //應(yīng)用加密訪問控制列表

R1(config-crypto-map)#set transform-set 3des_sha //應(yīng)用IPSec轉(zhuǎn)換集

R1(config-crypto-map)#set peer 2.2.2.2 //配置IPSec對(duì)等體地址

R1(config-crypto-map)#exit

R1(config)#interface fastEthernet 0/0

R1(config-if)#crypto map to_R2 //將IPSec加密映射應(yīng)用到接口

4.5 配置R2的IKE參數(shù)和IPSec參數(shù)

首先配置R2的IKE參數(shù)：

R2(config)#crypto isakmp policy 1 //創(chuàng)建IKE策略

R2(config-isakmp)#encryption 3des //使用3DES加密算法

R2(config-isakmp)#authentication pre-share //使用預(yù)共享密鑰驗(yàn)證方式

R2(config-isakmp)#hash sha //使用SHA-1算法

R2(config-isakmp)#group 2 //使用DH 組2

R2(config-isakmp)#exit

R2(config)#crypto isakmp key 123456 address 1.1.1.1 //配置預(yù)共享密鑰

其次配置R2的IPSec參數(shù)：

R2(config)#crypto ipsec transform-set 3des_sha esp-sha-hmac //配置IPSec轉(zhuǎn)換集，使用ESP協(xié)議，3DES算法和SHA-1 散列算法

R2(cfg-crypto-trans)#mode transport //配置IPSec 工作模式為傳輸模式

R2(config)#access-list 100 permit gre host 2.2.2.2 host 1.1.1.1 //針對(duì)GRE隧道的流量進(jìn)行保護(hù)。

R2(config)#crypto map to_R1 1 ipsec-isakmp //配置IPSec加密映射

R2(config-crypto-map)#match address 100 //應(yīng)用加密訪問控制列表

R2(config-crypto-map)#set transform-set 3des_sha //應(yīng)用IPSec轉(zhuǎn)換集

R2(config-crypto-map)#set peer 1.1.1.1 //配置IPSec對(duì)等體地址

R2(config-crypto-map)#exit

R2(config)#interface fastEthernet 0/0

R2(config-if)#crypto map to_R1 //將IPSec加密映射應(yīng)用到接口

4.6 實(shí)驗(yàn)的運(yùn)行與測試、實(shí)驗(yàn)效果驗(yàn)證

PC0 ping PC1 結(jié)果是通的，表示構(gòu)建GRE over IPSec VPN隧道建立成功。

PC>ping 192.168.2.2

Reply from 192.168.2.2: bytes=32 time=156ms TTL=126

Reply from 192.168.2.2: bytes=32 time=139ms TTL=126

5 結(jié)束語

隨著經(jīng)濟(jì)全球化發(fā)展以及企業(yè)規(guī)模不斷擴(kuò)大，將同一公司的不同區(qū)域的局域網(wǎng)互連起來以達(dá)到資源共享并且能夠?qū)崿F(xiàn)公司內(nèi)部保密數(shù)據(jù)安全地進(jìn)行傳輸是目前的趨勢，利用GRE over IPSec VPN技術(shù)可以很好地實(shí)現(xiàn)異地網(wǎng)絡(luò)互連，它將GRE隧道技術(shù)和IPSec VPN技術(shù)進(jìn)行優(yōu)勢互補(bǔ)，能夠很好地實(shí)現(xiàn)異地網(wǎng)絡(luò)互連，被大家廣泛接受。

參考文獻(xiàn)：

[1]唐燈平．基于Packet Tracer的GRE隧道配置實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J]．實(shí)驗(yàn)室研究與探索，2010，(11)：378-381.

[2]唐燈平．基于GRE Tunnel的IPv6-over-IPv4的技術(shù)實(shí)現(xiàn)[J]．南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，(4)：60-62，65.

[3]唐燈平．基于Packet Tracer的IPSec VPN配置實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J]． 張家口職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2011，(1)：70-73，78.

[4]唐燈平．利用Packet Tracer模擬組建大型單核心網(wǎng)絡(luò)的研究[J]．實(shí)驗(yàn)室研究與探索，2011，(1)：186-189，198.

[5]唐燈平．基于Packet Tracer的訪問控制列表實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J]．長沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011，(1)：52-57.

[6]唐燈平．職業(yè)技術(shù)學(xué)院校園網(wǎng)建設(shè)的研究[J]．網(wǎng)絡(luò)安全知識(shí)與應(yīng)用，2009，(4)：71-73.

[7]唐燈平．利用三層交換機(jī)實(shí)現(xiàn)vlan間通信[J]．電腦知識(shí)與技術(shù)，2009，(18)：4898-4899.

[8]唐燈平．利用ACL構(gòu)建校園網(wǎng)安全體系的研究[J]．有線電視技術(shù)，2009，(12) ：34-35.

[9]唐燈平．利用Packet Tracer組建三層網(wǎng)絡(luò)架構(gòu)的研究[J]．實(shí)驗(yàn)室科學(xué)，2010，(3)：143-146.

[10]金漢均，仲紅，汪雙頂．VPN虛擬專用網(wǎng)安全實(shí)踐教程[M]．北京：清華大學(xué)出版社，2010.