◆林冠男

（广西柳州市污水治理有限责任公司 广西 545002）

GRE over IPsec VPN在企业网中的应用探究

◆林冠男

（广西柳州市污水治理有限责任公司 广西 545002）

本文分析了当前几类常用的VPN 技术，介绍了它们的特性，提出结合 IPSEC 协议的安全传输以及 GRE 协议实现组播的特性，通过 GRE over IPSEC VPN 技术完成某省份通信产业服务企业和其下属单位之间安全的数据传输业务，并给出了GRE over IPsec VPN的相关设置及实现。

虚拟专用网；企业网；应用探究

0 引言

虚拟专用网（Virtual Private Network，VPN），指的是利用某条公共网络（一般是Internet）构建一个可信的、稳定的连接，可以说是一道通过广阔的公用网络的可靠、平稳的路径。虚拟专用网是对企业局域网的拓展，其能够辅助远方客户、企业下属部门、关联企业以及供货商，同企业的局域网构建稳定的、可信的连接，并确保信息的安全传送。本文探究了结合GRE和IPsec技术的特点，应用GRE over IPsec VPN 来完成某省份通信产业服务企业和其他下属单位之间稳定的信息传输。

1 虚拟专用网

近几年，伴随网络技术的发展，虚拟专用网VPN（Virtual Private Network）技术迅速发展起来，也就是通过公共网络来建立私有网络。VPN的功能是：在公用网络上构建专用网络，实现秘密传输，其在企业网络中有着大量的应用。

VPN 网关，利用对数据包的锁定、对数据包目的位置的变换完成远端查询。在公用网络上建立的VPN，能够像企业已有的私有网络一样具有安全性、稳定性和可监管性等。通过公共网络实现数据传输，一是，使得用户花费较低的代价连接远端办事部门、外出职员和商业伙伴，二是，明显的增强了网络数据的使用率，能够提升ISP（Internet Service Provider）的获益。

VPN技术是一种远端查询手段，一般来讲就是通过公共网络构建专有网络。比如，某企业派遣职工去外地公干，他想查询企业内网的相关资料，这类查询就是远端访问。

在大部分的企业网络设置中，想要实现远端访问，一般的办法是租赁DDN（数字数据网）线路或帧中继，如此的解决办法显然要造成极高的网络使用和维护成本。对那些移动客户（移动办公用户）与远端个人客户来讲，大多数时候会利用拨号方式（Internet）进到企业的局域网，不过如此很有可能引起安全上的问题。

VPN 有许多区分形式，可以依据VPN的相关协议来区分。隧道协议（Tunneling）是一类凭借应用互联网络的基础设备，在网络之间传输信息的形式。应用其传输的信息（或数据）能够是各个技术的帧或包。隧道技术把别的技术的帧或包再封装，接着利用隧道传送。新的帧头提供路由信息，从而利用互联网传送被封装的相关信息。

VPN 的隧道协议包括以下几种：PPTP协议、L2TP协议、GRE协议以及IPSec协议。

（1）PPTP（Point to Point Tunneling Protocol），它是一类可以实现多技术虚拟专有网络的协议，其是属于二层隧道协议。利用这一技术，远端人员可以利用各类网络系统可靠、稳定的进入相关的专有网络，并可以实现连入当地的ISP，利用 Internet 安全连接到企业网络。

PPTP协议是一类全新的可靠性协议，它基于 PPP 技术得以发展起来。其能够使得远端用户利用当地ISP、利用直接的连接Internet 或者别的网络稳定地查询公司的私有网络。

（2）L2TP 是一类属于工业规范的协议。它的特性一般是同PPTP 技术有着相似之处，例如，一样能够对网络数据流实现加密。当然也是存在着很大的不同的，例如，PPTP 需要的是Internet为 IP 连接，L2TP 需要的是面向相关信息流的点与点的链接；PPTP 应用的单一路径，L2TP 应用的是多种路径；L2TP 的供应包头收紧、路径检验，而PPTP是不能的。

PPP 规范了一个新的封装构成形式，也就是多协议通过第二层实现的。尤其指出，客户凭借应用许多手段之一实现相应连接，接着在这个连接上实施 PPP。在如此的设置中，第二层最终点以及 PPP 会话终点同时位于同样的物理设施之中。

（3）GRE(Generic Routing Encapsulation),其规范了在任何一类网络层协议上封装任何一类别的网络层协议的协议。它可以支持多种协议,以及组播数据传输,不过它不支持加密的设置。

Tunnel 是一类虚拟的连接，供给了一个路径使得封装的数据信息可以在这个路径上传送，而且在一个Tunnel 的两端分别对数据信息实现封装及解开。一个X协议的数据如果穿越网络在其中传送，就要先加包封再解开才可以实现。

（4）IPSEC 协议，其为 Internet 上传送的相关信息提出了高水准的、可应用的、有关加密学的安全保障的一类协议。当特殊的用户之间传输信息的时候，在利益密码与数据源判定等方式，其可以供给如下安全服务：数据的加密性、数据的完备性、数据的来源判断、以及避免重放等。不过它仅是供给单播以及 IP数据流。

IPSec是可靠联网的长期的方向。其利用端对端的可靠性来供给主动的保障以避免专用网络与 Internet 的干扰的产生。在传输过程中，仅有发送用户以及接收用户才是唯一需要了解 IPSec保障的计算机。

综上所述，我们能够发现尽管IPsec供给可靠的数据传送而且本身也能够工作在隧道形式，不过不提供组播数据传送，不可以使用在两个需要传输组播数据的情景，比如：上级和下属之间需要运转动态路由协议。我们在现实使用中常常能够结合 GRE支持组播数据传输和 IPsec支持数据加密的特性来完成企业总部和分公司之间的 VPN 数据业务。

2 GRE over IPsec VPN 配置与实现

虚拟专用网是对企业局域网的拓展、延伸，其能够辅助远方的客户、企业下属的部门、关联的企业以及相关供货商，同企业的局域网构建稳定的、可信的连接，并确保信息的安全传送。在大部分的企业网络设置中，想要实现远端访问，一般的办法是租赁DDN（数字数据网）线路或帧中继，如此的解决办法显然要造成极高的网络使用和维护成本。对那些移动客户（移动办公用户）与远端个人客户来讲，大多数时候会利用利用拨号方式（Internet）进到企业的局域网，不过如此很有可能引起安全上的问题。

VPN 有许多区分形式，可以依据VPN的相关协议来区分。隧道协议（Tunneling）是一类凭借应用互联网络的基础设备，在网络之间传输信息的形式。应用其传输的信息（或数据）能够是各个技术的帧或包。隧道技术把别的技术的帧或包再封装，接着利用隧道传送。新的帧头提出路由信息，从而利用互联网传送被封装的相关信息。GRE over IPSEC VPN是通过GRE通用路由封装协议来建立一个非安全的隧道去传递私网路由，而且GRE支持组播协议，所以也就支持动态路由协议。但GRE的安全性就需要IPSEC去保证了，而IPSEC可悲的是又不支持组播，除非用到其它诸如VTI的一些技术了。所以自然而然，人们就想到GRE over IPSEC的VPN去安全的传递内网数据。

这里的路由器应用的是 H3C企业的 MSR-3620，V7版。

省公司路由器配置：

// 设置 OSPF 协议，通知 G0/0/0 以及 tunnel 口地址

3 结语

本文分析了当前几类常用的VPN技术，介绍了各自的相关特性。最后，本文给出结合 GRE 隧道支持组播数据传输的有点，以及 Ipsec 隧道技术支持安全加密传输的特性，从而最终实现了某省份通信产业服务企业和其下属单位之间安全的数据传输。

[1]王伟，孙静，万杰等.GRE over IPSec VPN在安徽地震行业网中的应用研究[J].科技视界，2014.

[2]庄佳乐，刘琨.IPSec VPN加密系统在中海油通信网络中的应用探讨[J].数字通信世界，2014.

[3]岳莹，孙广波，杨敏等.VPN技术在企业专网建设中的应用研究[J].移动通信，2015.

[4]王飞.VPN在中小型企事业单位中的应用研究[J].电脑知识与技术，2014.

[5]张友国.GRE-over-IPsec VPN工程设计及实现--基于合肥百大集团网络的VPN应用[J].电脑知识与技术，2013.