GRE—over—IPsecVPN工程设计及实现
开篇:润墨网以专业的文秘视角,为您筛选了一篇GRE—over—IPsecVPN工程设计及实现范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:人类社会已经进入21世纪,计算机信息网络已深入到世界的各个角落,地域、国家、政府、企业甚至家庭。计算机网络的飞速发展给人来带来了诸多便利,而然其潜在的网络信息安全威胁也弥漫在各个领域。探讨的VPN技术则是建立在gre over IPSec技术之上,并通过合肥百大集团的网络拓扑对其进行设计与仿真。GRE over IPSec VPN技术是通过GRE与IPSec相结合,而形成的一种安全性更好VPN技术,其主要借用IPSec的安全加密和GRE支持多播的优点,从而使得VPN网络更加安全。该项技术的主要工作原理:将一个完整的组播、广播数据包或非IP数据包封装在一个单播数据包(IPSEC)里,以处理如OSPF的组播或 RIP的广播数据流,以完成在IPSec隧道里通信实体之间的动态路由学习。
关键词:网络安全;VPN;IPSec;GRE;动态路由协议
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)25-5623-05
1 网络安全与VPN简介
随着互联网的深入发展和应用,在其带给人类越来越多的利益之时,网络中的各种威胁也随之而来,并且日积月累,已经发展成为威胁各种网络的重大因素。
一个较好的网络安全解决方案应该具备以下基本条件:
1) 易于使用和实施;
2) 应该使公司能够在网络中开发和部署新的应用;
3) 应该是公司能以一个安全的方式使用Internet。
在当今互联网的应用当中,有一种虚拟的隧道技术穿越互联网,以达到内部网络之间,以及其他一些不需要外部网络知晓的网络通信之间相互互联的目的。VPN可以根据需要提供可加密、可认证、可防火墙的功能,是穿越互联网而虚拟隧道化的一种技术,因此可见,VPN是通过四项安全保障技术来保障安全数据传输的,四项安全保障技术为:隧道技术、
2 GRE与IPSec相关技术概述
GRE(Generic Routing Encapsulation),中文译为通用路由封装,该协议在IP头中的协议号是47。GRE是一种最传统的隧道封装协议,提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输。其根本功能就是要实现隧道功能,通过隧道连接的两个远程网络就如同直连,GRE在两个远程网络之间模拟出直连链路,从而使网络间达到直连的效果。
GRE的主要特性如下:
1) 将原始数据包被包裹在外层协议之内;
2) GRE需要在原IP报头之外增加新的IP报头;
3) GRE是一种无状态协议,不提供可靠地流控传输机制;
4) GRE支持IP协议和非IP协议;
5) GRE支持单播、组播和广播;
6) GRE不具备安全加密功能。
IPsec协议不是一个单独的协议,则是因为它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
在实际进行 IP 通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP 都可以提供认证服务,不过,AH 提供的认证服务要强于ESP。同时使用AH 和ESP 时,备支持的AH 和ESP 联合使用的方式为:先对报文进行ESP 封装,再对报文进行AH 封装,封装之后的报文从内到外依次是原始IP 报文、ESP 头、AH 头和外部IP 头。
对于IPSec而言,IKE则定义了其需要的密钥交换技术。IKE交换的结果就是一个已经认证的密钥以及建立在双方协议基础上的服务,即IPSec SA。
3 系统VPN分析与项目设计
随着合肥百大集团不断的壮大发展,不但在合肥拥有众多百货大楼,同时在安徽蚌埠、芜湖、淮南、黄山等多个县市拥有业务分支。根据业务的需要,为了更好更稳定的保证总部与分支的数据通讯,分支和中心之间采用OSPF动态路由协议。由于网络接入形式的多样化,在考虑使用VPN对专线备份,来满足业务延展性的需要,对网络的实现形式也增加了限制条件。如何在开放的Internet网络上建立私有数据传输通道,将远程的分支连接起来,同时又要保证数据传输的安全性?以下将根据实际需求和相关技术的优胜劣汰进行阐述,以最终选择出适合最佳技术方案。
3.1系统VPN需求分析
由于合肥百大集团已经发展到全省的各个市县区均有业务分支机构,分支机构与合肥总部中心之间的数据交互密不可分,这样就需要专门的链路来使得总部与各分支机构之间互联。然而,在实际应用当中,就如同前文所述,穿越整个互联网,是不可能铺设专门的物理链路来满足业务的需求,因为架设专用链路所需的代价太高,显然这样的设计是不切实际的。因此需要一种VPN技术来满足集团的业务需求。
VPN技术由很多种,如何在诸多种VPN技术中选择出适合本集团所需的VPN技术呢,这要根据集团网络实际设计和需求来决定。
由于合肥百大集团在分支与中心之间采用三层路由协议,显然就应该使用三层VPN技术,从而淘汰前文所述的二层VPN技术,如PPTP VPN、L2F VPN和L2TP VPN等,同时也可以淘汰掉SSL VPN技术,由于SSL是高于IP层的第四层协议。另外,MPLS VPN在此也不大适合集团的VPN设计,MPLS是独立于二层和三层的协议,其适合更大的机构网络运用,因为大型网络要结合IGP和BGP,而MPLS就是由于此种需求应运而生的,因此在本案例设计中,也不应该用此技术。同时,综合上述淘汰的诸多VPN技术,而产生的相互嵌套结合的VPN技术也随之被弃选。
鉴于以上分析,适合三层VPN技术的有GRE VPN技术和IPSec VPN技术。但是如何在这两种技术之间进行优选的决策呢?IPSec VPN具有完好的加密认证技术,但是其IP路由只支持静态路由,对于像百大集团这样一个大型公司来说,静态路由指派显然是一件效率极其低下的事情。在IPSec协议的实现过程中,研究机构为了弥补IPSec的这种缺陷,也相继研究出实现IPSec协议支持动态路由协议的特性,即IPSec Profile。但是这种技术即使实现了IPSec支持动态路由协议的功能,也无法满足百大集团的现实需求,在现有的网络设备的软件版本来说,很多版本并不支持这种技术。所以需要选择另外的、比较传统的隧道技术来结合传统的IPSec协议,这种比较传统且较为常用的技术就是GRE隧道技术。
两种协议的优缺点:
1)GRE
优点:支持单播、组播、广播和非IP数据流。
缺点:不提供安全加密功能。
2)IPSec
优点:为数据提供加密、完整性、源认证和防重放功能。
缺点:只支持单播和IP数据流。
因此,结合1和2关于GRE与IPSec优缺点的描述来看,为了满足本项目的业务需求,可将GRE与IPSec相结合而互补优缺点。
经过以上分析可知,GRE协议和IPSec协议具有互补性,结合二者这种互补性,可以满足百大集团支持动态路由协议和安全加密认证的需求。两者结合方式,亦即GRE over IPSec VPN和IPSec over GRE VPN。
3.2系统VPN规划与概要设计
1) 网络设备的互联
如图1,则表示的是合肥百大集团GRE over IPSec VPN的公网接入拓扑图,其中路由器Center代表百大集团在合肥的总部中心路由器,而VPN1~VPN5的五个路由器则分别代表分布在全省各个市县区的分支机构接入网的路由器(此处只选择其中的五个,因为每个分支机构的配置都大同小异),亦即经OSPF划分区域后,这些路由器则为普通区域与骨干区域的边界路由器。
3)整个网络进行OSPF区域划分
合肥总部网络中心的区域为Area 6,下图3.1体现为通过一台交换机共享的服务器集群区域,其中服务器分别为WWW服务器、Email服务器、FTP服务器以及Database服务器,且此区域的IP地址网段为172.16.0.0/24;其他分支机构的区域则如上图3.1所示,依次分别为Area 1、Area 2、Area 3、Area 4、Area 5;穿越互联网的区域为Area 0。
4)GRE隧道设计
合肥总部路由器Center的接口serial0/0与各个分支机构的OSPF区域边界路由器的接口serial0/0,通过互相指派为源和目的来建立GRE隧道,然后在每个隧道运行0SPF协议,使得能够动态学习到相关的网段。
5)IPSec隧道设计
在各个分支机构内部以及总部的内部网络中的主机传输的数据,到达边界路由器时便通过GRE隧道接口进行GRE封装,然后将经过封装后的GRE数据包再通过IPSec隧道接口进行加密封装。由此可见,针对于GRE数据包,各分支机构的边界路由器与总部的边界路由器之间相互通信的加密点和通信点均落在所有的边界路由器上,故而可以选择的IPSec的数据包封装模式为传输模式,而不是选择隧道模式,主要是因为隧道模式要比传输模式多了一个20B的、和传输模式一样的报头,这样就使得每个隧道模式的数据包比传输模式的数据包少传输20B的数据,影响到数据的传输速率。同时,隧道模式因为多增加了数据报头,就会增加网络设备的内存和CPU资源,影响网络设备的整体性能,增大网络传输的延迟,等等。鉴于上述原因,最终选择了GRE over IPSec VPN技术中的IPSec传输模式。
4 GRE与IPSec相关技术分析
4.1 GRE基本配置与分析
在远程路由器之间配置GRE,总共分为三步:
1) 创建虚拟链路(隧道)接口,号码任意,两端可不相同;
2) 配置虚拟链路(隧道)接口地址,该地址是在GRE包头中被封装的地址;
3) 定义虚拟链路(隧道)的源和目的,因为数据包最终要在公网中传递,所以该地址就是在公网中指导路由器转发数据包的可路由公网IP,也是建立隧道两端路由器的真实公网IP。
4.2 IPSec over GRE VPN和GRE over IPSec VPN
关于GRE over IPSec VPN与IPSec over GRE VPN的配置与分析,可以看到二者的异同点, GRE over IPSec VPN与IPSec over GRE VPN的区别,如表1。
在GRE over IPSec VPN与IPSec over GRE VPN的区别对照表1中我们看到:GRE over IPSec VPN不仅仅保护正常的数据流,还对路由协议进行保护,这样使得整个通信系统的安全性更高,而IPSec over GRE VPN则相比之下显示出其不足之处。在配置GRE over IPSec VPN的感兴趣流时,只需要配置GRE隧道接口的感兴趣流,不需要配置通信实体的IP网段感兴趣流,因为那些通信实体的IP地址始终封装在GRE当中;而IPSec over GRE VPN则不同,其需要对每一个通信实体的数据流进行配置,这样在一个大型网络环境中,显然是降低了整个系统的效率,而且感兴趣流的配置文件占用网络设备资源,同时在对数据流匹配的时候,其大量查找匹配项目会消耗的大量网络资源,带来更大的网络延迟,大大降低整个网络系统的性能。
根据以上分析,关于GRE over IPSec VPN与IPSec over GRE VPN的区别对照,对于合肥百大的网络业务需求来说,最终选用GRE over IPSec VPN技术来满足集团的业务实际需要。
5 基于GRE over IPsec VPN设计实现
5.1 GRE over IPsec VPN配置实现
合肥百大在合肥的数据中心表示为Area 6中的网络,其中的服务器通过一台直连到路由器Center接口f0/0的交换机、以共享式方式组成一个服务器集群。Area 6与互联网之间的边界路由器Center则是服务中心接入网路由器。
合肥百大的业务需求就是其分支机构与总部数据中心之间的安全交互。需要建立两条GRE隧道和两条IPSec隧道。为了防止两个分支机构的相关网段之间交互VPN路由信息,需要在ISP的相关接口进行ACL配置,相关配置则见后面章节的详细配置。
在以上各种配置完成后,并且GRE和IPSec已经完全建立好,最后在IPSec隧道的感兴趣流上配置相应的GRE感兴趣流,最终完成整个系统的构架和配置,使得网络系统正常运行。
下面将针对上述对网络环境进行详细配置:
第一步:搭建整体网络拓扑环境。
第二步:配置路由器、交换机及服务器等相关设备的基本信息,及配置Center、VPN1、VPN2之间模拟的穿越互联网的路由信息。
第三步:建立并配置GRE隧道。
第四步:建立并配置IPSec隧道。
5.2验证GRE over IPsec VPN
6 结束语
GRE隧道技术原理和配置简单,容易理解,这里要说明的不是单单一个GRE隧道的技术问题,而是GRE在与IPSec结合时,其在整个系统的作用要点。单独使用IPSec存在的一个最大的缺憾就是其只支持单播流量,而不支持组播和广播流量。为了解决在大型网络环境下IPSec这种网络运行效率的不足,就引入了GRE技术与其相结合的方式。
在设计过程中,涉及到得VPN加密则是通过IPSec技术进行加密的。为了保证数据在互联网中安全传输,在最终方案的实施离不开ESP的参与,当然也可以让AH结合ESP来进行双重认证,而在最终方案中只选择了ESP协议。
从整体来看,方案的设计安全可行,易于实现,从系统性能上来讲,满足了合肥百大在GRE VPN上的需求;从技术上看,方案的设计完全是将GRE技术支持多播的特性与IPSec技术支持单播和加密的特性相结合,这也是方案设计与实施的出发点。
参考文献:
[1] [美] Richard A.Deal. Cisco 路由器防火墙安全[M].陈克忠,译.北京:人民邮电出版社,2006,1.
[2] [美] Yusuf Bhaiji.网络安全技术与解决方案(修订版)[M].田果,刘丹宁,译.北京:人民邮电出版社,2010,1.
[3] [美] Mark Lewis. VPN故障诊断与排错[M].袁国忠,译.北京:人民邮电出版社,2010.
[4] [美] Jeff Doyle,Jennifer Carrll. TCP/IP路由技术(第一卷)[M].2版.葛建立,吴剑章,译.北京:人民邮电出版社,2007,1.
[5] [美] Jeff Doyle,Jennifer Carrll. TCP/IP路由技术(第二卷)[M].毕立波,魏亮,刘述,译.北京:人民邮电出版社,2002,8.
[6] [美] John F.Roland. CCSP自学指南:安全Cisco IOS网络(SECUR)[M].张耀疆,陈克忠,译.北京:人民邮电出版社,2005,2.
[7] [美] David Hucaby .Steve McQuerry. Cisco现场手册:路由器配置[M].张辉,译.北京:人民邮电出版社,2002,9.
[8] [美] Ruixi Yuan,W.Timothy Strayer.虚拟专网:技术与解决方案[M]. 邓少鹏,唐宏伟,孙彩霞.译.北京:中国电力出版社,2003,7.
[9] [美] William R.Parkhurst,Ph. Cisco OSPF命令与配置手册[M]. 张伟,李闽一,林宏,等,译.北京:人民邮电出版社,2003,3.
[10] [美] 迪尔(Deal,R.). Cisco VPN完全配置指南[M]. 姚军玲,郭稚晖,译.北京:人民邮电出版社,2007,4.
[11] 钟小平,张金石.网络服务器配置与应用 [M]. 3版.北京:人民邮电出版社,2007,3.
[12] 王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004,1.
[13] [美] John F. Roland, Mark J. Newcomb.CCSP Self-Study CCSP Cisco Secure VPN Exam Certification Guide. Cisco Press 201 West 103rd Street Indianapolis, IN 46290 USA. April 2003.
[14] [美] Richard Deal.The Complete Cisco VPN Configuration Guide. Cisco Press 201 West 103rd Street Indianapolis. December 15, 2005.
[15] [美] Vijay Bollapragada, Mohamed Khalid, Scott Wainner.IPSec VPN Design. Cisco Press 201 West 103rd Street Indianapolis, IN 46290 USA. April 07, 2005.