IPSec over GRE VPN在企业网中应用探究.docVIP

IPSec over GRE VPN在企业网中应用探究 　　【 摘 要 】 随着网络技术的发展和公司规模的不断扩大，很多公司成立了分支机构。为了充分利用网络实现信息交流、协同工作，需要对公司总部与分公司的网络互连。为保障数据安全地在网络中进行传输，提出了利用IPSec over GRE VPN技术实现不同地区企业内部的网络互连。 【 关键词 】 IPSec；GRE；网络互连 1 引言 随着Internet技术的发展、社会的进步，企业规模逐渐扩大，越来越多的企业纷纷成立分支机构。但由于国内的大部分企业存在人力和资金上的局限，不可能租用通信公司的专用线路，以实现将不同地区公司分支机构的专用网互连起来。因此如何建设利用广域网实现企业各分机构网络系统安全、可靠、经济地实现信息和资源共享已经是许多企业面临的主要问题。本文通过比较多种VPN技术，提出了在企业网中应用IPSec over GRE VPN技术，能够实现企业各地区之间建立可信的安全连接，并能保证信息共享和信息安全传递功能，同时组网成本低廉。 2 IPSec over GRE VPN工作原理 2.1 IPSec VPN IPSec VPN是目前VPN技术中使用率非常高的一种技术，同时提供VPN和信息加密技术。IPSec在IP层提供安全服务，用来保护一条或多条主机与主机间，安全网关与安全网关间，安全网关与主机间的路径，目的是为IP提供高安全性特性。主要通过使用两大传输安全协议，头部认证（AH）和封装安全负载（ESP）以及密钥管理程序和协议的使用来完成。 IPSec技术的优缺点是能保障数据的安全传输，缺点是不能够对网络的组播报文进行封装，所以常用的路由协议报文不能在IPSec协议封装隧道中传输。 2.2 GRE GRE（Generic Routing Encapsulation）协议是对某些网络协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE是VPN的第三层隧道协议，在协议层之间采用了一种被称之为Tunnel（隧道）的技术。Tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。 GRE技术的最大优点是可以对多种协议、报文进行封装，并封装在隧道中安全传输。缺点是只提供简单的隧道验证功能，对传输的数据没有加密功能，数据在传输的过程是不安全的。 2.3 IPSec与GRE两种技术的综合 针对IPSec和GRE技术的优缺点，综合运用IPSec和GRE技术，利用GRE技术对数据和动态路由协议报文进行隧道封装，通过IPSEC技术保证数据的安全性，这样就构成了IPSec over GRE VPN技术。 3 IPSec over GRE VPN技术在企业网中的应用方案设计 3.1 案例需求 某企业现在A市，随着规模的扩大，现在B市建立分公司，两地均建立了独立的网络。由于分公司需要过程访问总公司的各种内部网络资源，例如Web服务器、FTP服务器、销售管理、人事系统等等。现需要将两市独立的局域网络借助Internet互连起来，并保护安全性。 为了真实地模拟企业网络的互连，利用5台路由器搭建了图1所示的结构图，其中路由器R1模拟总公司的出口路由器，路由器R3模拟分公司的出口路由器，路由器R1模拟连接总公司和分公司的因特网，路由器R4模拟总公司的一台普通PC（PC1），路由器R5模拟分公司的一台普通的PC（PC2），主要用来进行测试验证。 3.2 IP地址规划 由于总公司和分公司的内部局域网规模不大，故将它们规划以C类私有地址，具体IP地址如表1所示。 3.3 具体的实现过程 3.3.1 基本配置 对路由器R1、R2、R3、PC1、PC2进行基本配置，包括端口地址的配置和激活。具体端口配置如表1所示。 3.3.2 对路由器R2和R3进行GRE VPN的配置 路由器R2的配置： R2（config）#int tunnel 0 //创建序号为0的通道； R2（config-if）#ip address //给通道设置IP地址； R2（config-if）#tunnel source //设置通道使用的真实源IP地址； R2（config-if）#tunnel destination //设置通道使用的真实目的IP地址； R2（config）#router eigrp 90 //不用宣告连接Internet的接口； R2（config-