论文部分内容阅读
摘 要 文章分析了目前几种主流的VPN技术,比较了各自的优缺点,提出结合IPSEC隧道的安全传输以及GRE隧道支持组播的特点,利用GREoverIPSEC VPN技术实现安徽省通信产业服务有限公司和其他分公司之间安全的数据传输业务,设计了网络拓扑图,给出了配置及实现。
关键词 GRE;VPN;隧道技术;IPSEC;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)07-0144-02
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。本文介绍了结合两种隧道技术的优点使用GREoverIPsecVPN来实现安徽省通信产业服务有限公司和其他分公司之间安全的数据传输。
1 VPN技术
虚拟专用网络(Virtual Private Network),简称VPN。其功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
VPN有多种分类方式,其中按VPN的隧道协议分为几类。
隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其他协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
VPN的隧道协议主要有:PPTP、L2TP、GRE和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;GRE和IPSec是第三层隧道协议。
1)PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
2)L2TP是一种工业标准的Internet隧道协议。功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
3)GRE(Generic Routing Encapsulation),即通用路由封装协议,定义了在任意一种网络层协议上封装任意一个其他网络层协议的协议。优点是支持多种协议和组播数据传输,缺点是不支持加密机制。
4)IPSEC协议。IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,优点是提供以下安全服务:数据机密性、数据完整性、数据来源认证、防重放。缺点是:只支持單播和IP数据流。
通过以上分析比较可以看出IPsec虽然提供安全的数据传输并且自身也可以工作在隧道模式,但是不支持组播数据传输,不能应用在两个需要传输组播数据的场合,如:总部和分部之间需要运行动态路由协议。我们在实际应用中往往可以结合GRE支持组播数据传输和IPsec支持数据加密的优点来实现企业总部和分公司之间的VPN数据业务。
2 GREoverIPsecVPN配置与实现
2.1 拓朴结构设计
拓朴结构设计,如图1。
图1 VPN设计拓朴图
2.2 GREoverIPsecVPN配置步骤
路由器采用H3C公司的MSR-3620,版本号为V7。
省公司路由器配置:
//配置OSPF协议,通告G0/0/0地址和tunnel口地址
ospf 1 router-id 172.16.1.1
area 0.0.0.0
network 172.16.0.0 0.0.255.255
network 100.1.1.0 0.0.0.255
//配置内网用户
Interface GigabitEthernet0/0/0
Ip address 172.16.1.1 255.255.255.0
//配置接口Serial0/1/0,调用IPSEC策略
interface Serial0/1/0
ip add 10.1.1.1 255.255.255.0
ipsec apply policy 123
//配置tunnel接口,模式为gre,目的地址为Router3的物理口地址
interface Tunnel0 mode gre
ip add 100.1.1.1 255.255.255.0
source 10.1.1.1
destination 20.1.1.2
//配置静态路由,下一跳为10.1.1.2
ip route-static 20.1.1.0 24 10.1.1.2
//配置安全ACL,保护数据流为tunnel口封装的源、目地址 acl number 3000
rule 0 permit ip source 10.1.1.1 0 destination 20.1.1.2 0
//配置IPSEC提议
ipsec transform-set 123
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
//配置IPSEC策略,调用安全ACL,IPSEC提议
ipsec policy 123 1 isakmp
transform-set 123
security acl 3000
remote-address 20.1.1.2
//配置Ike钥匙链,PSK为123
ike keychain 1
pre-shared-key address 20.1.1.2 255.255.255.255 key cipher $c$3$ZjXBWzdem3
XX分公司路由器配置:(与省公司路由器配置类似)
略
验证配置
display ip routing-table
Destinations : 20 Routes : 20
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
192.168.0.0/16 OSPF 10 156 100.1.1.2 Tun0
3 结束语
本文分析了目前几种主流的VPN技术,比较了各自的优缺点。提出结合GRE隧道支持组播数据传输的特性和Ipsec隧道技术支持安全加密传输的特点,很好的实现了安徽省通信产业服务有限公司和其他分公司之间安全的数据传输。
参考文献
[1]张友国.GREoverIPsec+VPN工程设计及实现基于合肥百大集团网络的VPN应用[J].电脑知识与技术,2013(9).
[2]程思.VPN中的隧道技术研究[J].计算机技术与发展,2010(2).
[3]徐家臻.基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004(4).
[4]杜家严.IPSecVPN及其在校园网中的应用[J].电脑知识与技术,2012(1).
作者簡介
周浩,男,汉族,安徽泗县人,讲师,研究生,研究方向:计算机网络与信息安全。
关键词 GRE;VPN;隧道技术;IPSEC;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)07-0144-02
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。本文介绍了结合两种隧道技术的优点使用GREoverIPsecVPN来实现安徽省通信产业服务有限公司和其他分公司之间安全的数据传输。
1 VPN技术
虚拟专用网络(Virtual Private Network),简称VPN。其功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
VPN有多种分类方式,其中按VPN的隧道协议分为几类。
隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其他协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
VPN的隧道协议主要有:PPTP、L2TP、GRE和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;GRE和IPSec是第三层隧道协议。
1)PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
2)L2TP是一种工业标准的Internet隧道协议。功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
3)GRE(Generic Routing Encapsulation),即通用路由封装协议,定义了在任意一种网络层协议上封装任意一个其他网络层协议的协议。优点是支持多种协议和组播数据传输,缺点是不支持加密机制。
4)IPSEC协议。IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,优点是提供以下安全服务:数据机密性、数据完整性、数据来源认证、防重放。缺点是:只支持單播和IP数据流。
通过以上分析比较可以看出IPsec虽然提供安全的数据传输并且自身也可以工作在隧道模式,但是不支持组播数据传输,不能应用在两个需要传输组播数据的场合,如:总部和分部之间需要运行动态路由协议。我们在实际应用中往往可以结合GRE支持组播数据传输和IPsec支持数据加密的优点来实现企业总部和分公司之间的VPN数据业务。
2 GREoverIPsecVPN配置与实现
2.1 拓朴结构设计
拓朴结构设计,如图1。
图1 VPN设计拓朴图
2.2 GREoverIPsecVPN配置步骤
路由器采用H3C公司的MSR-3620,版本号为V7。
省公司路由器配置:
//配置OSPF协议,通告G0/0/0地址和tunnel口地址
ospf 1 router-id 172.16.1.1
area 0.0.0.0
network 172.16.0.0 0.0.255.255
network 100.1.1.0 0.0.0.255
//配置内网用户
Interface GigabitEthernet0/0/0
Ip address 172.16.1.1 255.255.255.0
//配置接口Serial0/1/0,调用IPSEC策略
interface Serial0/1/0
ip add 10.1.1.1 255.255.255.0
ipsec apply policy 123
//配置tunnel接口,模式为gre,目的地址为Router3的物理口地址
interface Tunnel0 mode gre
ip add 100.1.1.1 255.255.255.0
source 10.1.1.1
destination 20.1.1.2
//配置静态路由,下一跳为10.1.1.2
ip route-static 20.1.1.0 24 10.1.1.2
//配置安全ACL,保护数据流为tunnel口封装的源、目地址 acl number 3000
rule 0 permit ip source 10.1.1.1 0 destination 20.1.1.2 0
//配置IPSEC提议
ipsec transform-set 123
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
//配置IPSEC策略,调用安全ACL,IPSEC提议
ipsec policy 123 1 isakmp
transform-set 123
security acl 3000
remote-address 20.1.1.2
//配置Ike钥匙链,PSK为123
ike keychain 1
pre-shared-key address 20.1.1.2 255.255.255.255 key cipher $c$3$ZjXBWzdem3
XX分公司路由器配置:(与省公司路由器配置类似)
略
验证配置
Destinations : 20 Routes : 20
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
192.168.0.0/16 OSPF 10 156 100.1.1.2 Tun0
3 结束语
本文分析了目前几种主流的VPN技术,比较了各自的优缺点。提出结合GRE隧道支持组播数据传输的特性和Ipsec隧道技术支持安全加密传输的特点,很好的实现了安徽省通信产业服务有限公司和其他分公司之间安全的数据传输。
参考文献
[1]张友国.GREoverIPsec+VPN工程设计及实现基于合肥百大集团网络的VPN应用[J].电脑知识与技术,2013(9).
[2]程思.VPN中的隧道技术研究[J].计算机技术与发展,2010(2).
[3]徐家臻.基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004(4).
[4]杜家严.IPSecVPN及其在校园网中的应用[J].电脑知识与技术,2012(1).
作者簡介
周浩,男,汉族,安徽泗县人,讲师,研究生,研究方向:计算机网络与信息安全。