孫光懿

(天津音樂學(xué)院 圖書信息中心， 天津 300171)

進(jìn)入21世紀(jì)后，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，越來越多的企業(yè)使用VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))技術(shù)把公司總部與分布在世界各地分支機(jī)構(gòu)的網(wǎng)絡(luò)互連起來，以便進(jìn)行資源共享和實時數(shù)據(jù)交換，最大限度地提高工作效率。相比傳統(tǒng)的遠(yuǎn)程專線連接方式，VPN技術(shù)以常見的公用網(wǎng)絡(luò)為基礎(chǔ)，結(jié)合使用多種網(wǎng)絡(luò)安全技術(shù)(如隧道、加密、訪問控制列表等)來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)，具有接入靈活、易于安裝、擴(kuò)展性強(qiáng)、低成本等優(yōu)勢，深受各企業(yè)青睞。目前有多種技術(shù)支持建立站點到站點的三層VPN網(wǎng)絡(luò)，其中以GRE(Generic Routing Encapsulation,通用路由協(xié)議封裝)和IPSec VPN最為常見，但是這兩種技術(shù)自身均存在一定的局限性。GRE技術(shù)雖然能對多種網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報文進(jìn)行封裝，但是對其封裝的數(shù)據(jù)報文不提供任何安全保護(hù)機(jī)制，因此在傳輸過程中極易被黑客截獲篡改。而IPSec VPN雖能對TCP/IP通信提供更多的安全保障，但是也存在一些不盡如人意的地方，例如難以對通信點之間的流量進(jìn)行控制、感興趣流有可能存在過多、無法讓各自站點的動態(tài)路由協(xié)議實現(xiàn)互通等。因此在實際應(yīng)用環(huán)境中GRE和IPSec多聯(lián)合使用，即先利用GRE協(xié)議建立邏輯隧道，而后通過IPSec協(xié)議對封裝后的數(shù)據(jù)進(jìn)行加密，從而滿足企業(yè)與各分支機(jī)構(gòu)之間高安全性的通信需求。

1 相關(guān)技術(shù)

1.1 GRE協(xié)議

GRE工作在OSI參考模型中的網(wǎng)絡(luò)層[1-3]，是一種應(yīng)用及其廣泛的輕量級三層隧道協(xié)議，由美國思科公司開發(fā)并在1994年提交給IETF，主要用來建立GRE隧道從而使一種網(wǎng)絡(luò)協(xié)議封裝另一種網(wǎng)絡(luò)協(xié)議。GRE支持單播、組播、多播等多種網(wǎng)絡(luò)層協(xié)議(如IP、IPX、RIP、OSPF、EIGRP協(xié)議等)并允許將這些協(xié)議的數(shù)據(jù)報文進(jìn)行封裝處理，封裝處理后的數(shù)據(jù)報文可以在另一個網(wǎng)絡(luò)層協(xié)議中傳輸，但是無法進(jìn)行流量控制。通過應(yīng)用GRE技術(shù)不僅可以實現(xiàn)使用互聯(lián)網(wǎng)保留地址進(jìn)行網(wǎng)絡(luò)互連，還可以實現(xiàn)使用IP網(wǎng)絡(luò)連接企業(yè)內(nèi)部協(xié)議網(wǎng)絡(luò)。當(dāng)IP數(shù)據(jù)報文需要從GRE隧道接口發(fā)出時，就需要對IP數(shù)據(jù)報文進(jìn)行GRE封裝處理。如果使用IPV4協(xié)議進(jìn)行封裝，首先在需要封裝的IP數(shù)據(jù)報文前加上一個GRE頭部(GRE頭部目前沒有統(tǒng)一固定的格式)使其成為GRE報文，然后在GRE頭部前加上一個長度為20字節(jié)、協(xié)議號為47的新IP頭部，這樣就完成了GRE對原始數(shù)據(jù)報文的封裝。新IP頭部所定義的源地址和目的地址即為隧道的起始地址和目的地址。封裝的數(shù)據(jù)報文傳輸?shù)剿淼滥康牡刂泛?，目的地址設(shè)備第一步先去掉新IP頭部，第二步去掉GRE頭部，最終取出的原始數(shù)據(jù)包根據(jù)三層路由到達(dá)目的地址。GRE協(xié)議封裝結(jié)構(gòu)如圖1所示。

外層IP頭部GRE頭部內(nèi)層IP頭部內(nèi)層實際傳輸?shù)臄?shù)據(jù)

圖1 GRE協(xié)議封裝結(jié)構(gòu)

1.2 IPSec協(xié)議

IPSec協(xié)議屬于三層隧道加密協(xié)議[4-6]，工作在OSI參考模型中的網(wǎng)絡(luò)層，它的出現(xiàn)使在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)有了可靠的安全保證。需要注意的一點是IPSec協(xié)議并不是一個單個協(xié)議，而是由IETF起草制定的一套用于保護(hù)IP層數(shù)據(jù)安全的體系框架構(gòu)成，主要包括網(wǎng)絡(luò)認(rèn)證AH協(xié)議、封裝安全載荷ESP協(xié)議、密鑰管理IKE協(xié)議和一些用于加密、認(rèn)證的算法。加密和認(rèn)證是IPSec協(xié)議擁有的兩種安全防范機(jī)制，用來保證數(shù)據(jù)的安全性。加密機(jī)制主要是采用對數(shù)據(jù)進(jìn)行加密的方式，來防止黑客對傳輸中的數(shù)據(jù)進(jìn)行竊聽。認(rèn)證機(jī)制不僅可以確認(rèn)數(shù)據(jù)在傳輸過程中是否被黑客篡改，而且還可以使數(shù)據(jù)接收一方對數(shù)據(jù)發(fā)送方的真實身份進(jìn)行確認(rèn)。IPSec協(xié)議中的ESP協(xié)議提供加密、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性保護(hù)等功能，不足的一點是ESP協(xié)議只負(fù)責(zé)對負(fù)載數(shù)據(jù)提供安全保護(hù)，而對原始IP頭部不提供任何安全保護(hù)。IPSec協(xié)議中的AH協(xié)議只提供數(shù)據(jù)源認(rèn)證和完整性校驗功能，不能有效防止黑客對數(shù)據(jù)的監(jiān)聽，因此多用于非機(jī)密性數(shù)據(jù)傳輸。

IPSec協(xié)議存在隧道和傳輸兩種封裝模式，現(xiàn)實中兩個通信站點的IP，在其間的網(wǎng)絡(luò)是否可路由決定了使用哪種封裝模式。如可路由既可以使用傳輸封裝模式又可以使用隧道封裝模式，如不可路由則必需使用隧道封裝模式，否則封裝后的數(shù)據(jù)包傳輸?shù)絀SP邊界路由器后，會被直接丟棄。傳輸封裝模式應(yīng)用起來相對簡單，只需將ESP頭插入在原始IP頭和TCP頭部之間，并在IP負(fù)載尾部加上ESP尾部和ESP驗證數(shù)據(jù)即可。由此可見，傳輸封裝模式只是對原始IP數(shù)據(jù)包負(fù)載進(jìn)行封裝，并保留原始IP頭。而隧道封裝模式則是由新的IP數(shù)據(jù)包對原始IP數(shù)據(jù)包進(jìn)行封裝，并在原始IP頭前插入新的IP頭和ESP頭，從而對其進(jìn)行加密和驗證處理。IPSec協(xié)議封裝結(jié)構(gòu)如圖2所示。

IP頭部IPSec頭部傳輸層頭部應(yīng)用層頭部應(yīng)用層數(shù)據(jù)

圖2 IPSec協(xié)議封裝結(jié)構(gòu)

2 網(wǎng)絡(luò)拓?fù)湓O(shè)計

公司總部和分公司分別位于不同城市，其各自內(nèi)部網(wǎng)絡(luò)均使用私有IP地址訪問互聯(lián)網(wǎng)資源。其中C1為公司總部內(nèi)網(wǎng)所屬終端計算機(jī)，C2為分公司內(nèi)網(wǎng)所屬終端計算機(jī)。路由器R1為公司總部出口路由器，路由器R2為分公司出口路由器，路由器R1、R2分別與中國電信邊緣路由器R3、R4互聯(lián)。為了滿足公司總部與分公司內(nèi)網(wǎng)各用戶之間不僅能夠進(jìn)行實時數(shù)據(jù)交換，而且各內(nèi)網(wǎng)用戶還可以正常訪問互連網(wǎng)資源的需求，我們在公司總部與分公司出口路由器上應(yīng)用路由策略的同時，在兩者之間之間建立起一個高安全性的點到點的GRE OVER IPSec VPN網(wǎng)絡(luò)，以便讓雙方用戶可以直接使用各自私有IP地址進(jìn)行實時數(shù)據(jù)交換。即通過在R1與R2之間建立一個GRE隧道，使二者在邏輯上連接在一起，而后在雙方內(nèi)部網(wǎng)絡(luò)及隧道網(wǎng)絡(luò)上運行OSPF協(xié)議宣告各自網(wǎng)段[7-8]，使其均可以學(xué)習(xí)到對方內(nèi)網(wǎng)路由信息，最后再利用IPSec協(xié)議對在隧道中傳輸?shù)乃袛?shù)據(jù)包進(jìn)行加密，最大限度地保證隧道中所傳數(shù)據(jù)包的安全。

經(jīng)過封裝后的原始數(shù)據(jù)包，加上了新的IP頭部(源地址與目的地址為封裝設(shè)備間公網(wǎng)地址)即公司總部與分公司向ISP提供商申請的固定公網(wǎng)地址，并且它們之間是可路由的，因此公司總部和分公司內(nèi)網(wǎng)用戶之間可以直接使用私有IP地址進(jìn)行通信，無需進(jìn)行NAT地址轉(zhuǎn)換。應(yīng)用路由策略主要是為了實現(xiàn)公司總部和分公司內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包與二者內(nèi)網(wǎng)用戶之間通信的數(shù)據(jù)包(去往隧道的數(shù)據(jù)包)分流，我們以公司總部內(nèi)網(wǎng)用戶為例，當(dāng)與分公司內(nèi)網(wǎng)用戶通信時，數(shù)據(jù)包去往VPN隧道；當(dāng)訪問互聯(lián)網(wǎng)資源時，數(shù)據(jù)包不再去往VPN隧道，而是在出口路由器R1上進(jìn)行NAT地址轉(zhuǎn)換后，直接轉(zhuǎn)發(fā)到中國電信邊緣路由器R3，從而實現(xiàn)對互聯(lián)網(wǎng)資源的正常訪問。仿真實驗拓?fù)淙鐖D3所示。

圖3 仿真實驗拓?fù)?/p>

3 網(wǎng)絡(luò)具體配置方案

3.1 IP地址分配

在中國電信邊緣路由器R3、R4上分別建立LOOPBACK接口，用來模擬公網(wǎng)目的服務(wù)器地址，公司總部出口路由器R1和分公司出口路由器R2的s1/0接口分別與中國電信邊緣路由器R3、R4互聯(lián)，公司總部所屬終端計算機(jī)C1與路由器R1的f2/0接口相連，分公司所屬終端計算機(jī)C2與路由器R2的f2/0接口相連，路由器R1與路由器R2之間建立虛擬GRE隧道Tunnel1，Tunnel1的網(wǎng)段地址為173.15.1.0/24。各網(wǎng)絡(luò)設(shè)備接口及IP地址規(guī)劃如表1所示。

表1 各網(wǎng)絡(luò)設(shè)備接口及IP地址規(guī)劃

3.2 路由器接口配置

路由器R3、R4接口配置與路由器R1、R2接口配置類似，故不在文中詳細(xì)闡述。

(1)配置路由器R1

R1(config)#int s1/0 //進(jìn)入接口s1/0

R1(config-if)#ip add 202.97.95.62 255.255.255.0 //設(shè)置此接口地址用于與中國電信邊界路由器R3互連

R1(config-if)#ip nat outside

R1(config)#int f2/0

R1(config-if)#ip add 192.168.50.1 255.255.255.0 //此地址為終端計算機(jī)C1網(wǎng)關(guān)地址

R1(config-if)#ip nat inside

(2)配置路由器 R2

R2(config)#int s1/0 //進(jìn)入接口s1/0

R2(config-if)#ip add 219.140.33.22 255.255.255.0 //設(shè)置此接口地址用于與中國電信邊界路由器R4互連

R2(config-if)#ip nat outside

R2(config)#int f2/0

R2(config-if)#ip add 192.168.60.1 255.255.255.0 //此地址為終端計算機(jī)C2網(wǎng)關(guān)地址

R1(config-if)#ip nat inside

3.3 配置靜態(tài)路由

公司總部及分公司內(nèi)部用戶對外訪問任何資源，數(shù)據(jù)包都會先轉(zhuǎn)發(fā)到與其互聯(lián)的ISP邊緣路由器(現(xiàn)實中，ISP邊緣路由器路由表中只有與之相連的直連路由信息，沒有各內(nèi)部站點的路由信息)，因此必需配置出口路由器R1至邊緣路由器R3和出口路由器R2至邊緣路由器R4的路由，否則對外訪問的數(shù)據(jù)包在路由表中將不會找到相關(guān)的路由信息，最終被路由器丟棄。

R1(config)#ip route 0.0.0.0 0.0.0.0 202.97.95.61

R2(config)#ip route 0.0.0.0 0.0.0.0 219.140.33.21

R3(config)#ip route 219.140.33.0 255.255.255.0 221.239.16.2

R3(config)#ip route 218.150.32.0 255.255.255.0 221.239.16.2

R4(config)#ip route 202.97.95.0 255.255.255.0 221.239.16.1

R4(config)#ip route 203.99.96.0 255.255.255.0 221.239.16.1

3.4 配置GRE隧道

通過在路由器R1與路由器R2之間建立GRE隧道，并且在隧道接口應(yīng)用NAT、ACL等技術(shù)，不僅可以把兩站點虛擬的連接起來，而且還可以實現(xiàn)對兩站點之間數(shù)據(jù)包流量的控制。另外，原始數(shù)據(jù)包經(jīng)過GRE封裝以后，會加上一個全新的外層IP頭，此時出口路由器R1和R2的s1/0接口地址即為新IP頭的源地址和目的地址。封裝后的數(shù)據(jù)包在到達(dá)路由器R2后會被解封裝，解封后的數(shù)據(jù)包的源地址和目的地址再次呈現(xiàn)為公司總部與分公司內(nèi)部用戶的私有IP地址。GRE隧道配置起來簡單便捷，其最主要的問題就是對所封裝的數(shù)據(jù)不提供任何安全保護(hù)措施。因此，一些重要的數(shù)據(jù)不能通過GRE隧道直接在互聯(lián)網(wǎng)上傳輸。

R1(config)#int tunnel 1

R1(config-if)#ip add 173.15.1.1 255.255.255.0 //配置隧道接口地址

R1(config-if)#tunnel source 202.97.95.62 //設(shè)置隧道源地址

R1(config-if)#tunnel destin 219.140.33.22 //設(shè)置隧道目的地址

R2(config)#int tunnel 1

R2(config-if)#ip add 173.15.1.2 255.255.255.0

R2(config-if)#tunnel source 219.140.33.22 //設(shè)置隧道源地址

R2(config-if)#tunnel destin 202.97.95.62 //設(shè)置隧道目的地址

3.5 配置動態(tài)路由OSPF

在公司總部和分公司內(nèi)部網(wǎng)絡(luò)和GRE隧道網(wǎng)絡(luò)上配置動態(tài)路由協(xié)議OSPF(OSPF的流量也會被封裝在GRE隧道內(nèi))，以便讓兩個站點均能學(xué)習(xí)到對方內(nèi)網(wǎng)路由信息，從而使各自內(nèi)網(wǎng)用戶間可以使用私有IP地址互相通信。

R1(config)#router ospf 1

R1(config)#network 173.15.1.0 0.0.0.255 area 0 //宣告隧道網(wǎng)絡(luò)

R1(config)#network 192.168.50 0.0.0.255 area 0 //宣告公司總部內(nèi)部網(wǎng)絡(luò)

R2(config)#router ospf 1

R2(config)#network 173.15.1.0 0.0.0.255 area 0 //宣告隧道網(wǎng)絡(luò)

R2(config)#network 192.168.60 0.0.0.255 area 0 //宣告分公司內(nèi)部網(wǎng)絡(luò)

3.6 配置IPSec VPN的IKE協(xié)商

3.6.1 配置IKE第一階段

配置IKE協(xié)商[9]的主要目的就是為了最大限度的保護(hù)隧道內(nèi)數(shù)據(jù)包的傳輸安全，其協(xié)商過程共分為兩個階段。第一階段協(xié)商的主要任務(wù)是協(xié)商IKE安全關(guān)聯(lián)，為第二階段的IPSec關(guān)聯(lián)提供安全保證。通常采用主模式或主動模式來完成對通信雙方的身份認(rèn)證和鑒別工作，從而確保建立IPSec VPN的雙方是合法的Peer。當(dāng)通信雙方采用預(yù)共享密鑰的方式進(jìn)行身份認(rèn)證時，應(yīng)采用3個包交換的主動模式來完成第一階段的協(xié)商。當(dāng)通信雙方采用證書的方式進(jìn)行身份認(rèn)證時，則采用6個包交換的主模式來完成第一階段的協(xié)商。第一階段協(xié)商完成后，不僅通信雙方建立了互相信任的關(guān)系，而且一個雙向的IKE SA也被隨之建立。

R1(config)#crypto isakmp policy 20

R1(config-isakmp)#encryption 3des //指定加密算法為三重數(shù)據(jù)加密算法

R1(config-isakmp)#authentication pre-share //通信雙方采用預(yù)共享密鑰的方式進(jìn)行身份認(rèn)證

R1(config-isakmp)#hash md5 //數(shù)據(jù)完整性校驗采用md5算法

R1(config-isakmp)#group 2 //設(shè)置密鑰交換參數(shù)

R1(config-isakmp)#lifetime 3000 //設(shè)置SA的生存周期

R1(config)#crypto isakmp key sgy168 address 219.140.33.22 //通信雙方的共享密鑰設(shè)置為sgy168

R2(config)#crypto isakmp enable

R2(config)#crypto isakmp policy 20

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#hash md5

R2(config-isakmp)#group 2

R2(config-isakmp)#lifetime 3000

R2(config)#crypto isakmp key sgy168 address 202.97.95.62

3.6.2 配置IKE第二階段

第二階段協(xié)商的主要任務(wù)是協(xié)商相應(yīng)的流量策略并對感興趣的流量進(jìn)行加密，通常采用3個包交換的快速模式來完成。在整個協(xié)商的過程中，3個數(shù)據(jù)包都得到了很好的安全保護(hù)，協(xié)商完成后IPSec SA也隨即產(chǎn)生。

R1(config)#crypto isakmp enable //啟用isakmp協(xié)議，此協(xié)議為IKE的核心協(xié)議

R1(config)#crypto ipsec transform-se sgy esp-3des esp-sha-hmac //定義名為sgy的轉(zhuǎn)換集

R1(cfg-crypto-trans)#mode transport //使用傳輸模式對數(shù)據(jù)進(jìn)行封裝

R1(config)#access-list 101 permit ip host 202.97.95.62 host 219.140.33.22 //用擴(kuò)展訪問控制列表定義感興趣流量

R1(config)#crypto map lzz 20 ipsec-isakmp //建立一個名為lzz的加密圖

R1(config-cryto-map)#set peer 219.140.33.22 //設(shè)置對等體IP地址

R1(config-cryto-map)#set transform-set sgy

R1(config-cryto-map)#match add 101

R1(config)#int s1/0

R1(config-if)#crypto map lzz //在公司總部出口路由器R1的s1/0接口上應(yīng)用加密圖

R2(config)#crypto ipsec transform-se sgy esp-3des esp-sha-hmac

R2(cfg-crypto-trans)#mode transport

R2(config)#access-list 101 permit ip host 219.140.33.22 host 202.97.95.62

R2(config)#crypto map lzz 20 ipsec-isakmp

R2(config-cryto-map)#set peer 202.97.95.62

R2(config-cryto-map)#set transform-set sgy

R2(config-cryto-map)#match add 101

R2(config)#int s1/0

R2(config-if)#crypto map lzz //在分公司出口路由器R2的s1/0接口上應(yīng)用加密圖

3.7 配置NAT轉(zhuǎn)換

在公司總部和分公司出口路由器上配置NAT，使其各自內(nèi)網(wǎng)用戶脫離VPN，實現(xiàn)對互聯(lián)網(wǎng)資源的正常訪問。

(1)在公司總部出口路由器R1上配置NAT。

R1(config)#access list 109 deny ip 192.168.50.0 0.0.0.255 192.168.60.0 0.0.0.255 //禁止公司總部內(nèi)網(wǎng)用戶訪問分公司內(nèi)網(wǎng)用戶

R1(config)#access list 109 permit ip 192.168.50.0 0.0.0.255 any //公司總部內(nèi)網(wǎng)用戶可以訪問任何地址

R1(config)#route-map zb permit 10 //建立名為zb的路由圖

R1(config-route-map)#match ip address 109

R1(config)# ip nat inside source route-map zb interface s1/0 overload

(2)在分公司出口路由器R2上配置NAT。

R2(config)#access list 108 deny ip 192.168.60.0 0.0.0.255 192.168.50.0 0.0.0.255

R2(config)#access list 108 permit ip 192.168.60.0 0.0.0.255 any

R2(config)#route-map fgs permit 10 //建立名為zb的路由圖

R2(config-route-map)#match ip address 108

R2(config)# ip nat inside source route-map fgs interface s1/0 overload

4 仿真實驗測試

在這里我們用ping命令測試，公司總部終端計算機(jī)C1訪問公網(wǎng)服務(wù)器目的地址203.99.96.67與分公司終端計算機(jī)C2的的連通性；用show crypto session命令查看路由器R1和R2的IPSec會話情況。

(1)測試終端計算機(jī)C1訪問公網(wǎng)服務(wù)器目的地址203.99.96.67的連通性。

VPCS[1]>sh ip

NAME:VPCS[1]

IP/MASK:192.168.50.2/24

GATAWAY:192.168.50.1

MAC:00:50:79:66:68:00

LPORT:20000

VPCS[1]> ping 203.99.96.67

203.99.96.67 icmp_seq=1 ttl=254 time=140.401 ms

203.99.96.67 icmp_seq=2 ttl=254 time=93.601 ms

203.99.96.67 icmp_seq=3 ttl=254 time=46.800 ms

(2)測試終端計算機(jī)C1訪問分公司終端計算機(jī)C2的連通性。

VPCS[1]> ping 192.168.60.2

192.168.60.2 icmp_seq=1 ttl=254 time=131.001 ms

192.168.60.2 icmp_seq=2 ttl=254 time=73.201 ms

192.168.60.2 icmp_seq=3 ttl=254 time=40.500 ms

(3)使用show crypto session 命令查看公司總部出口路由器R1的IPSec會話。

R1#sh crypto session

Crypto session current status

Interface: Tunnel1

Session status: UP-ACTIVE

Peer: 219.140.33.22 port 500

IKE SA: local 202.97.95.62/500 remote 219.140.33.22/500 Active

IPSEC FLOW: permit host 192.168.50.2 host 192.168.60.2

(4)使用show crypto session 命令查看分公司出口路由器R2的IPSec會話。

R2#sh crypto session

Crypto session current status

Interface: Tunnel1

Session status: UP-ACTIVE

Peer: 202.97.95.62 port 500

IKE SA: local 219.140.33.22/500 remote 202.97.95.62/500 Active

IPSEC FLOW: permit host 192.168.60.2 host 192.168.50.2

(5)使用show ip route命令查看公司總部出口路由器R1的路由表，如圖4所示。

圖4 路由器R1路由表

測試后發(fā)現(xiàn)：終端計算機(jī)C1不僅能對公網(wǎng)服務(wù)器進(jìn)行正常訪問，而且利用GRE over IPSec VPN技術(shù)還可以直接使用私有地址與分公司內(nèi)網(wǎng)終端計算機(jī)C2正常通信；公司總部出口路由器R1和分公司出口路由器R2不僅可以學(xué)習(xí)到各自內(nèi)網(wǎng)網(wǎng)段的路由信息，而且它們之間的IPSec會話也被成功建立，因而各自所屬終端計算機(jī)互相訪問的數(shù)據(jù)流也會得到有效保護(hù)。

5 結(jié) 語

本文提出的結(jié)合GRE和IPSec 建設(shè)高安全性VPN的方案，由于在公司總部與分公司出口路由器上應(yīng)用了路由策略，使得去往VPN隧道的流量與訪問Internet的流量成功分離。應(yīng)用該方案不僅實現(xiàn)了公司總部與分公司各用戶之間可以直接使用私有IP地址進(jìn)行安全互訪，而且也實現(xiàn)了雙方用戶脫離VPN隧道對互聯(lián)網(wǎng)資源的正常訪問。滿足了公司總部與分公司各用戶之間不僅能夠進(jìn)行實時數(shù)據(jù)交換，而且各用戶還可以正常訪問互連網(wǎng)資源的需求。

[參考文獻(xiàn)]

[1] DOYLE J，CARROLL J.TCP/IP路由技術(shù)[M].北京:人民郵電出版社，2009.

[2] NEDELTCHEV P．遠(yuǎn)程接入網(wǎng)絡(luò)疑難解析[M]．北京:人民郵電出版社，2009:431-502.

[3] 陳英,馬洪濤.NAT技術(shù)的研究與應(yīng)用[J].實驗室研究與探索，2007，26(8):56-59．

[4] 曹騰飛,孟永偉,黃建強(qiáng).西部高校計算機(jī)網(wǎng)絡(luò)實驗[J].實驗室研究與探索，2015,34(4):129-131．

[5] 李紅升.基于隧道技術(shù)的VPN技術(shù)應(yīng)用[J].電腦知識與技術(shù)，2012,8(4):3239-3241.

[6] 彭輝.基于VPN的硅酸鈣板生產(chǎn)線遠(yuǎn)程監(jiān)控與診斷系統(tǒng)[J].陜西理工大學(xué)學(xué)報(自然科學(xué)版)，2017,33(6)：39-44．

[7] 何亞輝.基于SSL協(xié)議的VPN技術(shù)研究及在校園網(wǎng)中的應(yīng)用[J].重慶理工大學(xué)學(xué)報(自然科學(xué)),2011,25(2):86-90．

[8] 唐燈平.基于Packet Tracer的GRE隧道配置實驗教學(xué)設(shè)計[J].實驗室研究與探索,2010,29(11):378-381．

[9] 肖潔芩.基于PKI與GRE的IPSec VPN系統(tǒng)的設(shè)計與實現(xiàn)[D].南京:南京信息工程大學(xué)，2011．