唐灯平

(南京铁道职业技术学院苏州校区，江苏苏州 215137)

1 引言

在信息化带动工业化、工业化促进信息化的大潮下，各企事业单位越来越重视信息化水平的建设。随着公司规模不断扩大以及自身发展的需要，越来越多的单位在异地组建了分公司。为了将总公司和分公司的网络统一起来以达到资源共享的目的，需要将异地的局域网络进行互连，互连时需要共享路由信息，可通过GRE隧道技术实现。在进行异地网络互连时，同样需要考虑数据传输的安全问题。为了更安全地传输公司内部保密数据，可以通过IPSec VPN技术来实现。

基于GRE over IPSec VPN技术实现异地网络互连，能够实现分公司和总公司之间的路由信息共享和信息安全传输双重功能，被广大企事业单位所接受。

2 GRE over IPSec VPN工作原理

2.1 GRE[1-2]

GRE(Generic Routing Encapsulation)即通用路由封装协议，是对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输。它采用了一种被称之为Tunnel(隧道)的技术。GRE通常用来构建站点到站点的VPN隧道。

GRE技术的优缺点：它的最大的优点是可以对多种协议，多种类型的报文进行封装，并且能够在隧道中进行传输。它的缺点是对传输的数据没有加密功能，也就是数据在传输的过程中是不安全的。

2.2 IPSec VPN[3]

IPSec (IP Security) 协议族为IP数据包提供了高质量的、可互相操作的、基于密码学的安全保护，它能够保证IP数据包传输时的安全性。IPSec协议不是一个单独的协议，它包括AH、ESP和IKE三个协议，其中AH协议和ESP协议为安全协议，IKE协议为密钥管理协议。IPSec VPN适用于LAN to LAN的局域网互联。

IPSec技术的优缺点：它的优点是能够提供安全的数据传输，缺点是不能够对网络中的组播报文进行封装。也就是说不能够在IPSec协议封装隧道中传输常见的动态路由协议报文。

2.3 综合这两种技术

利用GRE技术对用户数据和动态路由协议报文进行隧道封装，并且能很好地提供一个真正意义上的点对点的隧道，然后使用IPSec技术来保护GRE隧道的安全，这样就构成了GRE over IPSec VPN 技术。

3 网络拓扑构建

3.1 网络拓扑结构分析、设计

图 GRE over IPSec VPN实现异地网络互连网络拓扑

首先介绍一下公司的基本状况：该公司在上海成立了总公司，随着公司业务的发展，北京成立了分公司，两地均有各自独立的局域网络。由于分公司要远程访问总公司的各种内部网络资源，例如：FTP服务器，考勤系统，人事系统，财务系统以及内部WEB网站等等，需要将两地独立的局域网络互连起来。将相距较远的局域网进行互连，需要借助于Internet网络。

该网络的拓扑结构总体分为三个部分：上海总公司，北京分公司以及连接两地的Internet网络。利用四台路由器和两台电脑简单描述该网络拓扑。其中微机PC0表示上海总公司的一台普通的电脑，路由器R1为上海总公司的出口路由器，路由器R3为上海总公司连接的Internet服务提供商的路由器。微机PC1为北京分公司的一台普通的电脑，路由器R2为北京分公司的出口路由器，路由器R4为北京分公司连接的Internet服务提供商的路由器。上海总公司的Internet服务提供商和北京分公司的Internet服务提供商通过Internet互连起来。具体网络拓扑如图所示。

3.2 网络地址规划

由于上海总公司和北京分公司的内部局域网规模均不大，故将它们规划为C类私有地址，上海总公司的网络地址规划为：192.168.1.0/24，北京分公司规划为：192.168.2.0/24。上海总公司出口路由器连接Internet服务提供商的网络地址为：1.1.1.0/30，北京分公司为：2.2.2.0/30，上海和北京之间的网络地址为：3.3.3.0/30。

由于两地之间要借助于GRE隧道进行互连，路由器R1连接路由器R2的隧道的地址为10.1.1.1/24，路由器R2连接路由器R1的隧道的地址为10.1.1.2/24。

4 具体实现过程[4-10]

4.1 配置R1与R2的Internet连通性

4.1.1 基本配置

对路由器R1、R2、R3、R4进行基本配置，包括端口地址的配置，端口的激活以及广域网DCE端口的时钟配置。具体端口地址配置如表所示：

表 IP地址分配

4.1.2 配置路由使Internet连通

首先在R1和R2上配置默认路由，使非内网数据包指向Internet。

R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 //配置R1指向Internet的默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 //配置R2指向Internet的默认路由

其次在R3和R4上配置静态路由，使其互相连通。

R3(config)#ip route 2.2.2.0 255.255.255.252 3.3.3.2 //配置R3指向R4的静态路由

R4(config)#ip route 1.1.1.0 255.255.255.252 3.3.3.1 //配置R4指向R3的静态路由

最后测试连通性：在路由器R1上ping 路由器R2 的端口F0/0的IP地址2.2.2.2。结果是通的。

4.2 对路由器R1和R2进行GRE隧道配置

首先配置路由器R1：

R1(config)#interface tunnel 1 //在路由器R1上创建隧道1

R1(config-if)#ip address 10.1.1.1 255.255.255.0 //为路由器R1的隧道1设置IP地址

R1(config-if)#tunnel source fastEthernet 0/0 //指定隧道的源接口为f0/0

智慧教室又称智能教室，未来教室。智慧教室的智慧性体现在教学内容的优化呈现、学习资源的便利获取、课堂教学的深度互动、情景感知与检测、教室布局等方面。黄荣怀[1]教授从这5个方面总结了智慧教室的概念模型即SMART模型。有学者从本质观出发，将智慧教室理解为“支持学习者基于自身的能力与水平，兼顾兴趣[2]，通过娴熟的运用信息技术，获取丰富的学习资料，开展自助式学习”的环境。还有学者将智慧教室看做借助于计算技术、物联网、云计算、智能技术构建起来的促进学生构建知识的智慧学习空间[3]。

R1(config-if)#tunnel destination 2.2.2.2 //指定隧道的目的接口地址为2.2.2.2

其次配置路由器R2：

R2(config)#interface tunnel 1 //在路由器R2上创建隧道1

R2(config-if)#ip address 10.1.1.1 255.255.255.0 //为路由器R2的隧道1设置IP地址

R2(config-if)#tunnel source fastEthernet 0/0 //指定隧道的源接口为f0/0

R2(config-if)#tunnel destination 1.1.1.1 //指定隧道的目的接口地址为1.1.1.1

4.3 在R1和R2上配置动态路由协议

首先配置路由器R1：

R1(config)#router rip //在路由器R1上启用动态路由协议RIP

R1(config-router)#version 2 //启用动态路由协议RIP的版本2

R1(config-router)#network 192.168.1.0 //宣告网络地址192.168.1.0

R1(config-router)#network 10.0.0.0 //宣告网络地址10.0.0.0

其次配置路由器R2：

R2(config)#router rip //在路由器R2上启用动态路由协议RIP

R2(config-router)#version 2 //启用动态路由协议RIP的版本2

R2(config-router)#no auto-summary //取消自动汇总功能

R2(config-router)#network 192.168.2.0 //宣告网络地址192.168.2.0

R2(config-router)#network 10.0.0.0 //宣告网络地址10.0.0.0

最后测试网络的连通性：

PC0 ping PC1 结果是通的。

PC>ping 192.168.2.2

Reply from 192.168.2.2: bytes=32 time=156ms TTL=126

Reply from 192.168.2.2: bytes=32 time=139ms TTL=126

4.4 配置R1的IKE参数和IPSec参数

首先配置R1的IKE参数：

R1(config)#crypto isakmp policy 1 //创建IKE策略

R1(config-isakmp)#encryption 3des //使用3DES加密算法

R1(config-isakmp)#authentication pre-share //使用预共享密钥验证方式

R1(config-isakmp)#hash sha //使用SHA-1算法

R1(config-isakmp)#group 2 //使用DH 组2

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 123456 address 2.2.2.2 //配置预共享密钥

其次配置R1的IPSec参数：

R1(config)#crypto ipsec transform-set 3des_sha esp-sha-hmac //配置IPSec转换集，使用ESP协议，3DES算法和SHA-1 散列算法

R1(cfg-crypto-trans)#mode transport //指定IPSec 工作模式为传输模式

R1(config)#access-list 100 permit gre host 1.1.1.1 host 2.2.2.2 //针对GRE隧道的流量进行保护

R1(config)#crypto map to_R2 1 ipsec-isakmp //配置IPSec加密映射

R1(config-crypto-map)#match address 100 //应用加密访问控制列表

R1(config-crypto-map)#set transform-set 3des_sha //应用IPSec转换集

R1(config-crypto-map)#set peer 2.2.2.2 //配置IPSec对等体地址

R1(config-crypto-map)#exit

R1(config)#interface fastEthernet 0/0

R1(config-if)#crypto map to_R2 //将IPSec加密映射应用到接口

4.5 配置R2的IKE参数和IPSec参数

首先配置R2的IKE参数：

R2(config)#crypto isakmp policy 1 //创建IKE策略

R2(config-isakmp)#encryption 3des //使用3DES加密算法

R2(config-isakmp)#authentication pre-share //使用预共享密钥验证方式

R2(config-isakmp)#hash sha //使用SHA-1算法

R2(config-isakmp)#group 2 //使用DH 组2

R2(config-isakmp)#exit

R2(config)#crypto isakmp key 123456 address 1.1.1.1 //配置预共享密钥

其次配置R2的IPSec参数：

R2(config)#crypto ipsec transform-set 3des_sha esp-sha-hmac //配置IPSec转换集，使用ESP协议，3DES算法和SHA-1 散列算法

R2(cfg-crypto-trans)#mode transport //配置IPSec 工作模式为传输模式

R2(config)#access-list 100 permit gre host 2.2.2.2 host 1.1.1.1 //针对GRE隧道的流量进行保护。

R2(config)#crypto map to_R1 1 ipsec-isakmp //配置IPSec加密映射

R2(config-crypto-map)#match address 100 //应用加密访问控制列表

R2(config-crypto-map)#set transform-set 3des_sha //应用IPSec转换集

R2(config-crypto-map)#set peer 1.1.1.1 //配置IPSec对等体地址

R2(config-crypto-map)#exit

R2(config)#interface fastEthernet 0/0

R2(config-if)#crypto map to_R1 //将IPSec加密映射应用到接口

4.6 实验的运行与测试、实验效果验证

PC0 ping PC1 结果是通的，表示构建GRE over IPSec VPN隧道建立成功。

PC>ping 192.168.2.2

Reply from 192.168.2.2: bytes=32 time=156ms TTL=126

Reply from 192.168.2.2: bytes=32 time=139ms TTL=126

5 结束语

随着经济全球化发展以及企业规模不断扩大，将同一公司的不同区域的局域网互连起来以达到资源共享并且能够实现公司内部保密数据安全地进行传输是目前的趋势，利用GRE over IPSec VPN技术可以很好地实现异地网络互连，它将GRE隧道技术和IPSec VPN技术进行优势互补，能够很好地实现异地网络互连，被大家广泛接受。

参考文献：

[1]唐灯平．基于Packet Tracer的GRE隧道配置实验教学设计[J]．实验室研究与探索，2010，(11)：378-381.

[2]唐灯平．基于GRE Tunnel的IPv6-over-IPv4的技术实现[J]．南京工业职业技术学院学报，2010，(4)：60-62，65.

[3]唐灯平．基于Packet Tracer的IPSec VPN配置实验教学设计[J]． 张家口职业技术学院学报, 2011，(1)：70-73，78.

[4]唐灯平．利用Packet Tracer模拟组建大型单核心网络的研究[J]．实验室研究与探索，2011，(1)：186-189，198.

[5]唐灯平．基于Packet Tracer的访问控制列表实验教学设计[J]．长沙通信职业技术学院学报，2011，(1)：52-57.

[6]唐灯平．职业技术学院校园网建设的研究[J]．网络安全知识与应用，2009，(4)：71-73.

[7]唐灯平．利用三层交换机实现vlan间通信[J]．电脑知识与技术，2009，(18)：4898-4899.

[8]唐灯平．利用ACL构建校园网安全体系的研究[J]．有线电视技术，2009，(12) ：34-35.

[9]唐灯平．利用Packet Tracer组建三层网络架构的研究[J]．实验室科学，2010，(3)：143-146.

[10]金汉均，仲红，汪双顶．VPN虚拟专用网安全实践教程[M]．北京：清华大学出版社，2010.