劉景林

(泉州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 信息技術(shù)系，福建 泉州 362000)

基于安全GRE隧道的Site-to-Site VPN構(gòu)建方案研究與實現(xiàn)

劉景林

(泉州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 信息技術(shù)系，福建 泉州 362000)

為了實現(xiàn)經(jīng)由Internet連接的兩個私有網(wǎng)絡(luò)之間能夠利用隧道技術(shù)以私有IP地址的方式相互訪問其內(nèi)部資源，并且可以在隧道中傳遞動態(tài)路由協(xié)議信息，在基于Cisco路由器的配置過程中，通過利用GRE與IPSec兩種技術(shù)共同構(gòu)建Site-to-Site VPN，即首先使用GRE協(xié)議對用戶數(shù)據(jù)和路由協(xié)議報文進(jìn)行隧道封裝，然后通過IPSec提供的數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性驗證以及數(shù)據(jù)源認(rèn)證功能保護(hù)在GRE隧道中傳送的敏感數(shù)據(jù)，以實現(xiàn)GRE隧道的安全傳輸。通過結(jié)合GRE可支持承載IP組播流量與IPSec提供的安全特性創(chuàng)建Site-to-Site VPN，既解決動態(tài)路由協(xié)議在IPSec VPN隧道內(nèi)正常通告的問題，又可以保護(hù)敏感數(shù)據(jù)穿越不安全通道的安全性。

GRE;IPSec;Site-to-Site VPN

0 引言

在經(jīng)濟(jì)全球化的背景下，企業(yè)、單位總部與其分支機(jī)構(gòu)或合作伙伴之間經(jīng)常需要通過Internet開展網(wǎng)上業(yè)務(wù)，針對如何保護(hù)敏感數(shù)據(jù)通過不安全的公共通道以實現(xiàn)安全通信的問題成了研究的熱點。虛擬專用網(wǎng)絡(luò)(VPN)提供了一種使用公共網(wǎng)絡(luò)安全地對內(nèi)部私有網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。VPN技術(shù)通過使用特定的數(shù)據(jù)封裝協(xié)議對原有的傳輸協(xié)議數(shù)據(jù)包進(jìn)行重新封裝，并利用相關(guān)數(shù)據(jù)安全傳輸機(jī)制為IP流量提供一系列的安全防護(hù)措施，實現(xiàn)創(chuàng)建了一條數(shù)據(jù)傳輸?shù)陌踩ǖ?。Cisco在其IOS路由器、PIX、ASA防火墻和VPN集中器等產(chǎn)品上支持豐富的IPSec特性，可以提供多種創(chuàng)建Site-to-Site VPN的解決方案，包括動態(tài)多點VPN(DMVPN)、Easy VPN、GRE隧道、標(biāo)準(zhǔn)IP安全(IPsec)和全新的群組加密傳輸VPN(GET-VPN)，分別用于滿足特定的部署需求，實現(xiàn)安全、可靠的加密數(shù)據(jù)傳輸。由于傳統(tǒng)基于路由器建立的IPSec VPN不支持IP組播數(shù)據(jù)包的加密，使得IPSec隧道無法傳送動態(tài)路由協(xié)議信息，針對Internet連接的雙方站點為相對復(fù)雜的私有網(wǎng)絡(luò)，兩端的內(nèi)網(wǎng)網(wǎng)段希望能依靠某些動態(tài)路由協(xié)議來分發(fā)與傳遞路由信息，要求在VPN上能夠支持傳遞動態(tài)路由信息的情形，提出了在Cisco路由器上利用GRE(Generic Routing Encapsulation，通用路由封裝)和IPSec(Internet Protocol Security)技術(shù)共同構(gòu)建基于安全GRE隧道的Site-to-Site VPN，該方案既可實現(xiàn)在VPN隧道內(nèi)交換動態(tài)路由協(xié)議信息，又可以保護(hù)敏感數(shù)據(jù)在Internet公共網(wǎng)絡(luò)中傳輸?shù)陌踩浴?/p>

1 IPSec安全體系結(jié)構(gòu)及其相關(guān)協(xié)議

IPSec是針對OSI/RM參考模型中網(wǎng)絡(luò)層IP協(xié)議所提出的安全協(xié)議，是一種可以廣泛應(yīng)用于局域網(wǎng)或廣域網(wǎng)中實現(xiàn)保護(hù)IP網(wǎng)絡(luò)通信的安全解決方案。IPSec協(xié)議既可以為主機(jī)到主機(jī)的點對點IP通信，也可以為網(wǎng)絡(luò)到網(wǎng)絡(luò)的站點至站點IP通信提供安全保障，主要用于實現(xiàn)數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性驗證和用戶身份認(rèn)證等方面的安全保護(hù)。IPSec協(xié)議簇主要包括AH協(xié)議、ESP協(xié)議以及負(fù)責(zé)密鑰管理的IKE協(xié)議，各協(xié)議之間的關(guān)系如圖1所示。

2 IPSec的安全特性

2.1 數(shù)據(jù)機(jī)密性

數(shù)據(jù)機(jī)密性是指對于需要在不安全的公共通道上傳輸?shù)臄?shù)據(jù)利用加密算法和密鑰進(jìn)行保護(hù)，使其免受竊聽攻擊。IPSec支持常見的對稱加密算法DES、3DES和AES，IPSec對等體加解密的過程都需要雙方擁有相同的共享密鑰，為了防止密鑰的泄漏，通信雙方并沒有直接傳輸所需的共享密鑰，而是通過利用D－H密鑰交換算法交換密鑰生成材料，以使得雙方各自生成相同的加密密鑰。

圖1 IPSec安全體系結(jié)構(gòu)

2.2 數(shù)據(jù)完整性驗證

數(shù)據(jù)完整性驗證主要是利用Hash算法計算散列值來檢查通信雙方所傳送的數(shù)據(jù)在傳輸過程中是否被修改，典型Hash算法有HMAC-MD5和HMAC-SHA-1兩種，在進(jìn)行散列值計算時，前者使用128位共享密鑰，而后者則使用160位共享密鑰，因此后者的安全性較高。

2.3 數(shù)據(jù)源認(rèn)證

數(shù)據(jù)源認(rèn)證是指接收者能夠確認(rèn)數(shù)據(jù)發(fā)送者的身份，這里主要是指驗證遠(yuǎn)程VPN設(shè)備的身份，目前較為常用的有預(yù)共享密鑰和RSA簽名兩種類型的驗證方法［1］。預(yù)共享密鑰是指在IPSec對等體事先設(shè)置好相同的密鑰，通信雙方利用Hash函數(shù)對預(yù)共享密鑰和身份信息進(jìn)行散列計算并發(fā)送給對方，接收方使用Hash函數(shù)對相同的預(yù)共享密鑰和收到的明文身份信息再次計算散列值，并通過比較兩次計算的Hash值實現(xiàn)身份驗證。另一種是RSA簽名，主要是指發(fā)送方使用自己的私鑰對身份進(jìn)行加密，并生成簽名，接收方使用發(fā)送方的公鑰對簽名進(jìn)行解密，將解密得到的身份信息與收到的明文身份信息進(jìn)行比較，若相同，則發(fā)送方的身份即可成功驗證，整個驗證過程需要使用CA認(rèn)證中心的證書服務(wù)。

3 IPSec工作模式

無論是AH還是ESP協(xié)議都有兩種工作方式:傳輸模式和隧道模式。這兩種協(xié)議數(shù)據(jù)報的具體封裝格式如圖2所示。傳輸模式主要為上層協(xié)議數(shù)據(jù)提供保護(hù)，原始的IP頭部沒有受保護(hù)，即AH和ESP兩種協(xié)議在傳輸模式下均沒有對原始的IP報頭進(jìn)行封裝，只是將AH或ESP報頭插入在IP報頭與傳輸層協(xié)議報頭之間。在隧道模式下，原始的整個IP包都封裝在一個新的IP包中，外部新的IP報頭的IP地址為隧道端點的IP，IPSec頭部(AH/ESP)插入在新的IP報頭和原始的IP報頭之間［2］。二者的主要區(qū)別是:傳輸模式保護(hù)的是VPN站點間所傳輸?shù)臄?shù)據(jù)包內(nèi)容，而隧道模式保護(hù)的是包括原始IP頭部在內(nèi)的整個數(shù)據(jù)包，為整個IP數(shù)據(jù)包提供安全性。

圖2 AH/ESP協(xié)議的兩種工作模式

4 GRE及其安全隧道的構(gòu)建

4.1 GRE協(xié)議的功能及應(yīng)用

GRE通用路由封裝協(xié)議是一種網(wǎng)際層隧道封裝協(xié)議，提供了用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議并進(jìn)行傳輸?shù)臋C(jī)制，即將其他協(xié)議的數(shù)據(jù)包重新封裝在新的包頭中發(fā)送，新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過Internet傳送［3］。它的最大優(yōu)點是可以使用統(tǒng)一的格式封裝多種協(xié)議、多種類型的報文，并在隧道中傳輸。雖然IPsec自身也可以實現(xiàn)隧道功能，但其隧道功能存在著不能傳遞動態(tài)路由協(xié)議信息的局限性，而GRE既可以實現(xiàn)隧道功能，又可支持靜態(tài)路由和IP組播流量，可承載RIP、EIGRP和OSPF等多種動態(tài)路由協(xié)議，所以GRE通?？捎糜谛枰赩PN隧道中傳遞動態(tài)路由信息的場合。

4.2 構(gòu)建安全GRE隧道

由于GRE協(xié)議只是用于實現(xiàn)數(shù)據(jù)報的封裝，并不能為傳輸?shù)臄?shù)據(jù)提供安全保護(hù)，故GRE隧道并不是一種安全的通道。而IPSec則可以為IP數(shù)據(jù)通信提供安全保護(hù)，然而，由于IPSec在實際應(yīng)用中默認(rèn)不支持組播，即不能夠?qū)W(wǎng)絡(luò)中的組播報文進(jìn)行封裝，而常用的路由協(xié)議報文又是通過組播進(jìn)行協(xié)商和通信的，所以路由協(xié)議報文通常是無法在IPSec隧道中傳輸。因此，可以將GRE與IPSec兩種技術(shù)結(jié)合起來使用，即利用GRE對用戶數(shù)據(jù)和路由協(xié)議報文進(jìn)行隧道封裝，因為有了GRE便可在VPN隧道內(nèi)交換動態(tài)路由協(xié)議信息，然后通過IPSec提供的安全措施保護(hù)GRE隧道中的IP通信流量，二者結(jié)合即構(gòu)成安全GRE隧道，共同實現(xiàn)構(gòu)建Site-to-Site VPN。

4.3 基于安全GRE隧道的數(shù)據(jù)包封裝

基于安全GRE隧道的數(shù)據(jù)包在IPSec傳輸模式下具體的封裝格式見圖3，即最內(nèi)層是原始IP包，表示穿越兩個站點的數(shù)據(jù)，然后是GRE層，即原始的IP包被封裝在GRE頭部之內(nèi)，從而允許路由協(xié)議在GRE隧道內(nèi)傳輸，然后是提供安全性的IPSec，這樣便可實現(xiàn)在兩個站點之間安全地交換路由信息和IP包?；诎踩獹RE隧道的VPN中IPSec運(yùn)行模式既可以使用傳輸模式，也可以使用隧道模式，一般使用傳輸模式即可，這是因為GRE與IPsec的端點是一樣的，已經(jīng)封裝了公網(wǎng)IP［4］。

圖3 基于IPsec傳輸模式的安全GRE隧道數(shù)據(jù)包封裝格式

5 基于安全GRE隧道的Site-to-Site VPN的構(gòu)建

IPSec VPN整個操作過程主要有五個步驟，首先在通信雙方路由器上使用擴(kuò)展ACL定義感興趣的流量，即指定需要IPSec提供安全保護(hù)的流量，接下來由雙方路由器協(xié)商IKE第一階段的會話，主要用于協(xié)商IKE策略、交換密鑰以及認(rèn)證對等體，在對等體之間建立一個已通過身份驗證和安全保護(hù)的通道［5］，實現(xiàn)建立IKE SA，該SA將用于保護(hù)后面協(xié)議SA的協(xié)商過程;然后雙方路由器協(xié)商IKE第二階段的會話，通過使用IPSec轉(zhuǎn)換集協(xié)商數(shù)據(jù)傳輸過程中與加密和認(rèn)證相關(guān)的IPSec安全參數(shù)，實現(xiàn)建立IPSec SA。這樣，路由器感興趣的流量便可以通過VPN安全隧道進(jìn)行交換，結(jié)束之后VPN隧道終止。

5.1 IPSec Site-to-Site VPN實驗環(huán)境的搭建與GRE隧道的配置

為了真實地模擬Site-to-Site VPN網(wǎng)絡(luò)，通過在GNS3模擬器上搭建如圖4所示的實驗拓?fù)?，其中R1和R3路由器分別模擬位于不同地點的兩個私有網(wǎng)絡(luò)的出口路由器，R2模擬位于Internet公網(wǎng)上的路由器，然后利用SecureCRT軟件分別連接三臺路由器，進(jìn)行路由器的基本配置與GRE隧道配置，最后是IPSec的配置。用于通信測試的兩臺內(nèi)網(wǎng)PC分別由VPCS軟件模擬實現(xiàn)。本實驗最終實現(xiàn)通過Internet連接的兩個私有網(wǎng)絡(luò)之間如同是直連網(wǎng)絡(luò)，雙方的內(nèi)部主機(jī)可以直接以私網(wǎng)IP地址進(jìn)行通信，其流量經(jīng)過GRE隧道并受到IPSec的保護(hù)。另外，位于兩個私有網(wǎng)絡(luò)的內(nèi)部主機(jī)也可以通過出口路由器上配置的路由策略，使用PAT地址轉(zhuǎn)換，實現(xiàn)與公網(wǎng)計算機(jī)的正常通信，這部分的流量一般不必經(jīng)過VPN隧道的保護(hù)。

在R1和R3兩臺路由器上分別配置各接口的IP，并啟用相應(yīng)接口。在路由器基本配置完成之后，此時還無法實現(xiàn)位于不同內(nèi)網(wǎng)的兩臺主機(jī)之間的正常通信，接下來進(jìn)行隧道口Tunnel 0的創(chuàng)建與配置，隧道口默認(rèn)采用GRE協(xié)議進(jìn)行數(shù)據(jù)包的封裝。由于GRE支持動態(tài)路由協(xié)議，所以可以分別在兩個路由器上配置動態(tài)路由協(xié)議，使得兩主機(jī)之間可以實現(xiàn)正常通信。

圖4 Site-to-Site VPN拓?fù)鋱D

R2作為公網(wǎng)上的路由器只要配置其接口即可，無須配置任何路由信息，這里除了配置其F0/0與F1/0接口IP地址之外，另外配置一個Loopback 0回環(huán)口(IP:200.1.1.1/32)用于模擬公網(wǎng)上的主機(jī)。R3路由器的配置方法與R1類似，具體配置如下:

5.2 配置IPSec VPN的IKE兩個階段

在完成創(chuàng)建隧道與配置動態(tài)路由協(xié)議之后，R1與R3路由器之間的IP數(shù)據(jù)包便可以經(jīng)由GRE隧道封裝后進(jìn)行正常通信，此時必須要配置IKE的兩個階段以實現(xiàn)對GRE隧道所傳輸數(shù)據(jù)包的安全保護(hù)。首先，在IKE第一階段配置ISAKMP策略，可以分別指定完整性驗證的Hash算法、身份認(rèn)證方法以及對稱加密算法和D－H算法等。在IKE第二階段配置轉(zhuǎn)換集，主要用于協(xié)商IPSec傳輸過程中數(shù)據(jù)加密和認(rèn)證的相關(guān)參數(shù)，然后使用雙方用來建立GRE隧道的公網(wǎng)IP地址來定義路由器感興趣的流量，最后創(chuàng)建加密映射圖，并在路由器指定的物理接口上應(yīng)用該加密圖。在IKE的兩個階段都可以指定加密算法和驗證算法，區(qū)別在于IKE第一階段指定的加密算法與驗證算法是用于通信雙方的身份鑒別與建立安全通道，并非用于對真正所要傳送的IP數(shù)據(jù)包的加密與驗證，而IKE第二階段指定的加密算法與驗證算法才是用于真正實現(xiàn)對ACL中所定義的路由器感興趣的IP數(shù)據(jù)包進(jìn)行加密與完整性驗證，保護(hù)指定IP流量的安全傳輸。

當(dāng)路由器R1與R3分別完成IKE兩階段的配置之后，雙方在通信過程中就會自動建立IKE SA與IPSec SA，并按照指定的安全協(xié)議和算法創(chuàng)建安全通道以實現(xiàn)保護(hù)路由器感興趣的流量。接下來使用VPCS軟件分別配置兩站點內(nèi)網(wǎng)主機(jī)的IP地址(如圖5所示)，并使用Ping命令分別測試兩臺內(nèi)部主機(jī)能否直接以私網(wǎng)IP地址進(jìn)行通信以及內(nèi)部主機(jī)經(jīng)PAT地址轉(zhuǎn)換訪問公網(wǎng)主機(jī)的連通情況，最后再通過命令測試SA的創(chuàng)建情況，顯示結(jié)果表明已經(jīng)成功創(chuàng)建兩階段的SA，通信過程中的感興趣數(shù)據(jù)包也可以正常實現(xiàn)封裝與解封裝、加密與解密。由于PC1與PC2兩主機(jī)之間通信的數(shù)據(jù)包是屬于路由器感興趣的流量，在GNS3模擬器中可以通過Wireshark工具進(jìn)行抓包驗證，二者之間所傳輸?shù)牧髁烤捎肐KE第二階段所定義轉(zhuǎn)換集中指定的IPSec協(xié)議封裝方式、加密算法與驗證算法進(jìn)行保護(hù)，而當(dāng)PC1或PC2分別與公網(wǎng)主機(jī)進(jìn)行通信時，其流量是不受保護(hù)的。

圖5 PC1與PC2、公網(wǎng)主機(jī)的連通測試

6 結(jié)語

在基于Cisco路由器建立站點互連的IPSec VPN的過程中，通過利用GRE隧道可以支持IP組播流量和承載動態(tài)路由協(xié)議的特性，實現(xiàn)交換雙方站點內(nèi)網(wǎng)網(wǎng)段的路由信息，同時使用IPSec提供的安全特性保護(hù)GRE隧道所傳輸IP數(shù)據(jù)包，有效地保證站點間所傳輸數(shù)據(jù)的安全性。結(jié)合GRE和IPSec技術(shù)構(gòu)建的Siteto－Site VPN具有較好的靈活性，不僅可以解決IPSec VPN的擴(kuò)展問題，而且極大地方便本地站點與遠(yuǎn)程站點之間通過Internet實現(xiàn)VPN連接的正常和安全的通信，可以廣泛應(yīng)用于需要在VPN隧道中傳遞動態(tài)路由協(xié)議信息的場合，由于GRE只可支持Cisco路由器，不支持PIX、ASA以及VPN集中器等其他Cisco設(shè)備，故該方案只限于在Cisco路由器中實現(xiàn)。

［1］ Richard Deal.姚軍玲，郭稚暉譯.Cisco VPN完全配置指南［M］.北京:人民郵電出版社，2007.

［2］ 遲恩宇，劉天飛，楊建毅，等.網(wǎng)絡(luò)安全與防護(hù)［M］.北京:電子工業(yè)出版社，2009.

［3］ 雷震甲.網(wǎng)絡(luò)工程師教程 ［M］.3版.北京:清華大學(xué)出版社，2009.

［4］ Brian Morgan Neil Lovering.夏俊杰譯.CCNP ISCW 認(rèn)證考試指南［M］.北京:人民郵電出版社，2008.

［5］ 崔北亮，陳家遷.非常網(wǎng)管:網(wǎng)絡(luò)管理從入門到精通(修訂版)［M］.北京:人民郵電出版社，2010.

Research and Implementation of Site-to-Site VPN Construction Scheme Based on Secure GRE Tunnel

LIU Jing-lin

(Department of Information Technology，Quanzhou Vocational and Technical College of Economics and Trade，Quanzhou 362000，China)

In order to realize the two private networks to mutually access to the local resources in private IP address by using tunnel technology of Internet，and transfer the dynamic routing protocol message in tunnel，during the process of Cisco router configuration，GRE and IPSec techniques are used to establish Site-to-Site VPN.Firstly，the GRE protocol is used to encapsulate the user data and the message of router protocol.Secondly，to transmit the sensitive data in GRE tunnel safely under the protection of IPSec，which can guarantee data confidentiality，data integrity verification，and data origin authentication function to realize the safe transmission of data.The Site-to-Site VPN is constructed by GRE，which can support IP multicast traffic and the safety feature of the IPSec.It not only solves the normal notice problems of dynamic routing protocol in IPSec VPN tunnel，but also protects the security of sensitive data through unsafe channels.

GRE;IPsec;Site-to-Site VPN

TP393.08

A

1009－3907(2012)08－0949－07

2012-05-12

劉景林(1971-)，男，福建泉州人，講師，碩士，主要從事網(wǎng)絡(luò)設(shè)備配置與管理、網(wǎng)絡(luò)安全技術(shù)研究。

責(zé)任編輯:吳旭云