GRE—over—IPsecVPN工程设计及实现.docVIP

GRE—over—IPsecVPN工程设计及实现 　　摘要：人类社会已经进入21世纪，计算机信息网络已深入到世界的各个角落，地域、国家、政府、企业甚至家庭。计算机网络的飞速发展给人来带来了诸多便利，而然其潜在的网络信息安全威胁也弥漫在各个领域。探讨的VPN技术则是建立在GRE over IPSec技术之上，并通过合肥百大集团的网络拓扑对其进行设计与仿真。GRE over IPSec VPN技术是通过GRE与IPSec相结合，而形成的一种安全性更好VPN技术，其主要借用IPSec的安全加密和GRE支持多播的优点，从而使得VPN网络更加安全。该项技术的主要工作原理：将一个完整的组播、广播数据包或非IP数据包封装在一个单播数据包（IPSEC）里，以处理如OSPF的组播或 RIP的广播数据流，以完成在IPSec隧道里通信实体之间的动态路由学习。 　　关键词：网络安全；VPN；IPSec；GRE；动态路由协议 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）25-5623-05 　　1 网络安全与VPN简介 　　随着互联网的深入发展和应用，在其带给人类越来越多的利益之时，网络中的各种威胁也随之而来，并且日积月累，已经发展成为威胁各种网络的重大因素。 　　一个较好的网络安全解决方案应该具备以下基本条件： 　　1） 易于使用和实施； 　　2） 应该使公司能够在网络中开发和部署新的应用； 　　3） 应该是公司能以一个安全的方式使用Internet。 　　在当今互联网的应用当中，有一种虚拟的隧道技术穿越互联网，以达到内部网络之间，以及其他一些不需要外部网络知晓的网络通信之间相互互联的目的。VPN可以根据需要提供可加密、可认证、可防火墙的功能，是穿越互联网而虚拟隧道化的一种技术，因此可见，VPN是通过四项安全保障技术来保障安全数据传输的，四项安全保障技术为：隧道技术、 　　2 GRE与IPSec相关技术概述 　　GRE（Generic Routing Encapsulation），中文译为通用路由封装，该协议在IP头中的协议号是47。GRE是一种最传统的隧道封装协议，提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输。其根本功能就是要实现隧道功能，通过隧道连接的两个远程网络就如同直连，GRE在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果。 　　GRE的主要特性如下： 　　1） 将原始数据包被包裹在外层协议之内； 　　2） GRE需要在原IP报头之外增加新的IP报头； 　　3） GRE是一种无状态协议，不提供可靠地流控传输机制； 　　4） GRE支持IP协议和非IP协议； 　　5） GRE支持单播、组播和广播； 　　6） GRE不具备安全加密功能。 　　IPsec协议不是一个单独的协议，则是因为它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。 　　在实际进行 IP 通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP 都可以提供认证服务，不过，AH 提供的认证服务要强于ESP。同时使用AH 和ESP 时，备支持的AH 和ESP 联合使用的方式为：先对报文进行ESP 封装，再对报文进行AH 封装，封装之后的报文从内到外依次是原始IP 报文、ESP 头、AH 头和外部IP 头。 　　对于IPSec而言，IKE则定义了其需要的密钥交换技术。IKE交换的结果就是一个已经认证的密钥以及建立在双方协议基础上的服务，即IPSec SA。 　　3 系统VPN分析与项目设计 　　随着合肥百大集团不断的壮大发展，不但在合肥拥有众多百货大楼，同时在安徽蚌埠、芜湖、淮南、黄山等多个县市拥有业务分支。根据业务的需要，为了更好更稳定的保证总部与分支的数据通讯，分支和中心之间采用OSPF动态路由协议。由于网络接入形式的多样化，在考虑使用VPN对专线备份，来满足业务延展性的需要，对网络的实现形式也增加了限制条件。如何在开放的Internet网络上建立私有数据传输通道，将远程的分支连接起来，同时又要保证数据传输的安全性？以下将根据实际需求和相关技术的优胜劣汰进行阐述，以最终选择出适合最佳技术方案。 　　3.1系统VPN需求分析 　　由于合肥百大集团已经发展到全省的各个市县区均有业务分支机构