王宏群
(安徽警官職業(yè)學(xué)院,安徽 合肥 230031)
目前,很多高校的規(guī)模在不斷擴(kuò)大,導(dǎo)致網(wǎng)絡(luò)規(guī)模不斷擴(kuò)展,多校區(qū)的教學(xué)模式越來(lái)越多地出現(xiàn)在各個(gè)高校。通過(guò)建設(shè)統(tǒng)一的校園網(wǎng)絡(luò),可以將不同校區(qū)的之間的教學(xué)管理、財(cái)務(wù)管理、后勤管理集中到一個(gè)系統(tǒng)內(nèi),有利于降低管理成本,而且可以減少多校區(qū)之間學(xué)科設(shè)計(jì)和管理的重復(fù),充分實(shí)現(xiàn)教學(xué)資源的共享[1]。在這種通信要求越來(lái)越高的情況下,如何整合各校區(qū)的網(wǎng)絡(luò)系統(tǒng)安全地、可靠地、經(jīng)濟(jì)地實(shí)現(xiàn)校區(qū)間資源共享已經(jīng)是許多高校面臨的主要問(wèn)題。本文比較了多種VPN技術(shù),提出了在多校區(qū)校園網(wǎng)中應(yīng)用GRE over IPSec VPN技術(shù),能夠?qū)崿F(xiàn)各校區(qū)之間的路由信息共享和信息安全傳輸兩重功能,被多校區(qū)學(xué)校所接受。
通用路由封裝協(xié)議(Generic Routing Encapsulation,GRE)是VPN的第三層隧道協(xié)議,即在協(xié)議層之間采用了一種被稱(chēng)之為T(mén)unnel(隧道)的技術(shù)。GRE是對(duì)某些網(wǎng)絡(luò)層協(xié)議(如IP、IPX、Apple Talk等)的數(shù)據(jù)報(bào)進(jìn)行封裝,使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議(如IP)中傳輸。GRE協(xié)議棧如圖1所示,GRE并未對(duì)數(shù)據(jù)進(jìn)行加密,僅將IP數(shù)據(jù)包加上GRE頭后封裝在IP數(shù)據(jù)項(xiàng)內(nèi),通常用來(lái)構(gòu)建站點(diǎn)到站點(diǎn)的VPN隧道。GRE技術(shù)的最大優(yōu)點(diǎn)是可以對(duì)多種協(xié)議、報(bào)文進(jìn)行封裝,并封裝在隧道中安全傳輸,所以GRE通??捎糜谛枰赩PN隧道中傳遞路由信息的場(chǎng)合。它的缺點(diǎn)是不提供對(duì)數(shù)據(jù)的保護(hù)(如加密),只能提供簡(jiǎn)單的隧道驗(yàn)證功能。
圖1 GRE協(xié)議棧
IPSec(IP Security)是目前VPN使用率很高的一種技術(shù),同時(shí)提供VPN和信息加密兩項(xiàng)技術(shù)。IPSec的目的是保證IP數(shù)據(jù)包傳輸時(shí)的安全性,它不是一個(gè)單獨(dú)的協(xié)議,而是一個(gè)框架性架構(gòu),具體由AH、ESP和IKE三類(lèi)協(xié)議組成,其中 AH、ESP協(xié)議為安全協(xié)議,IKE為密鑰管理協(xié)議。IPSec技術(shù)的優(yōu)點(diǎn)是是能夠保障數(shù)據(jù)的安全傳輸,缺點(diǎn)是不能夠?qū)W(wǎng)絡(luò)中的組播報(bào)文進(jìn)行封裝,所以常用的路由協(xié)議報(bào)文無(wú)法在IPSec協(xié)議封裝隧道中傳輸。
針對(duì)IPSec和GRE技術(shù)的優(yōu)缺點(diǎn),這時(shí)可以綜合運(yùn)用GRE和IPSec兩種技術(shù),利用GRE技術(shù)來(lái)對(duì)用戶數(shù)據(jù)和路由協(xié)議報(bào)文進(jìn)行隧道封裝,然后通過(guò)IPSec技術(shù)提供的安全措施保護(hù)GRE隧道中數(shù)據(jù)的安全,這兩種技術(shù)的綜合使用,即構(gòu)成了GRE over IPSec VPN技術(shù)。
本高校主校區(qū)現(xiàn)在A市,現(xiàn)在B市開(kāi)設(shè)了分校,兩地均建立了獨(dú)立的校園網(wǎng)絡(luò)。由于主校區(qū)與分校區(qū)共享各種網(wǎng)絡(luò)資源,如:教學(xué)管理系統(tǒng)、考勤系統(tǒng)、財(cái)務(wù)系統(tǒng)等,需要將兩市獨(dú)立的校園網(wǎng)互連起來(lái)。
為了真實(shí)地模擬多校區(qū)校園網(wǎng)絡(luò)的互連,搭建了圖2所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,其中路由器R1與R2分別模擬位于不同地區(qū)校園網(wǎng)的出口路由器,R3模擬連接主校區(qū)和分校區(qū)的因特網(wǎng)。微機(jī)PC1為主校區(qū)的一臺(tái)普通PC,微機(jī)PC2為分校區(qū)的一臺(tái)普通PC,主要用來(lái)進(jìn)行測(cè)試驗(yàn)證。
圖2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖
由于模擬的主校區(qū)和分校區(qū)校園網(wǎng)規(guī)模并不大,因此將它們規(guī)劃為 C類(lèi)私有地址,IP地址都使用三類(lèi)地址:192.168.X.X/24,具體設(shè)計(jì)如表1所示:
表1 IP地址規(guī)劃設(shè)計(jì)
3.3.1 基本配置
對(duì)路由器R1、R2、R3、PC1、PC2進(jìn)行基本配置,具體端口IP地址配置如表1所示。
3.3.2 GRE隧道配置
R1的GRE隧道配置如下:
R1(config)#interface tunnel 0 //創(chuàng)建序號(hào)為 0的通道
R1(config-if)#ip address 3.3.3.1 255.255.255.0//為通道設(shè)置ip地址
R1(config-if)# tunnel source 1.1.1.2 //設(shè)置創(chuàng)建通道使用的真實(shí)源地址
R1(config-if)# tunnel destination 2.2.2.2 //設(shè)置創(chuàng)建通道使用的真實(shí)目的地址R1(config-if)# no shutdown R2的GRE隧道配置如下:
R2(config)#interface tunnel 0 //創(chuàng)建序號(hào)為0的通道
R2(config-if)#ip address 3.3.3.2 255.255.255.0//為通道設(shè)置ip地址
R2(config-if)# tunnel source 2.2.2.2 //設(shè)置創(chuàng)建通道使用的真實(shí)源地址
R2(config-if)# tunnel destination 1.1.1.2 //設(shè)置創(chuàng)建通道使用的真實(shí)目的地址
R2(config-if)# no shutdown
3.3.3 路由配置
R1路由配置如下:
R1(config)#router ospf 1
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 3.3.3.0 0.0.0.255 area 0 R1(config-router)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 //默認(rèn)路由
R2路由配置如下:
R2(config)#router ospf 1
R2(config-router)#network 192.168.2.0 0.0.0.255 area 0 R2(config-router)#network 3.3.3.0 0.0.0.255 area 0 R2(config-router)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 //默認(rèn)路由
3.3.4 配置IPSec VPN的IKE兩個(gè)階段
主校區(qū)路由器R1的配置如下:
R1(config)#crypto isakmp policy 10 //創(chuàng)建IKE策略
R1(config-isakmp)#encryption 3des //使用3DES加密算法
R1(config-isakmp)#hash sha //采用SHA-1算法
R1(config-isakmp)#group 2 //使用DH組2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key cisco address 2.2.2..2 //配置置共享密鑰
R1(config)#crypto ipsec transform-set cisco-set esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode transport //指定為傳輸模式
R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 //定義GRE隧道的流量
R1(config)#crypto map cisco-map 1 ipsec-isakmp //配置加密映射
R1(config-crypto-map)#set peer 2.2.2.2 //指定遠(yuǎn)程對(duì)等體
R1(config-crypto-map)#set transform-set cisco-set//應(yīng)用IPSec轉(zhuǎn)換集
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#exit
R1(config)#int f0/1
R1(config-if)#crypto map cisco-map //加密映射應(yīng)用到接口
分校區(qū)路由器R2配置如下:R2(config)#crypto isakmp policy 10 //創(chuàng)建IKE策略R2(config-isakmp)#encryption 3des //使用3DES加密算法
R2(config-isakmp)#hash sha //采用SHA-1算法
R2(config-isakmp)#group 2 //使用DH組2
R2(config-isakmp)#exit
R2(config)#crypto isakmp key cisco address 1.1.1.2//配置置共享密鑰
R2(config)#crypto ipsec transform-set cisco-set esp-des ah-sha-hmac
R2(cfg-crypto-trans)#mode transport //指定為傳輸模式
R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 //定義GRE隧道的流量
R2(config)#crypto map cisco-map 1 ipsec-isakmp //配置加密映射
R2(config-crypto-map)#set peer 1.1.1.2 //指定遠(yuǎn)程對(duì)等體
R2(config-crypto-map)#set transform-set cisco-set//應(yīng)用IPSec轉(zhuǎn)換集
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#exit
R2(config)#int f0/1
R2(config-if)#crypto map cisco-map //加密映射應(yīng)用到接口
從分校區(qū)的微機(jī)PC2上路由到主校區(qū)微機(jī)PC1的結(jié)果如圖3所示,表示構(gòu)建GRE over IPSec VPN隧道建立成功。
圖3 PC2路由到PC1結(jié)果
隨著高校規(guī)模不斷擴(kuò)大,將在不同地區(qū)的分校與主校連接起來(lái)以達(dá)到資源共享并且能夠?qū)崿F(xiàn)內(nèi)部數(shù)據(jù)安全地進(jìn)行傳輸是目前的趨勢(shì),利用GRE over IPSec VPN技術(shù)可以很好地實(shí)現(xiàn)多校區(qū)校園網(wǎng)網(wǎng)絡(luò)互連,它將GRE隧道技術(shù)和IPSec VPN技術(shù)進(jìn)行優(yōu)勢(shì)互補(bǔ)。目前,已在企業(yè)級(jí)用戶中廣為應(yīng)用的GRE over IPSec VPN技術(shù)在多校區(qū)校園網(wǎng)建設(shè)中值得推廣。
[1] 魏念忠.基于 VPN 技術(shù)的多校區(qū)校園網(wǎng)絡(luò)安全研究[J].微電子學(xué)與計(jì)算機(jī),2007,(10):108.
[2] Bollapragada,Khalid等.IPSec VPN設(shè)計(jì)[M].北京:人民郵電出版社,2006:13-18.
[3] 周勇.VPN 技術(shù) IPSec和 SSL的對(duì)比研究[J].信息通信,2012,(3):126.
[4] 劉景林.基于安全GRE隧道的Site-to-Site VPN構(gòu)建方案研究與實(shí)現(xiàn)[J].長(zhǎng)春大學(xué)學(xué)報(bào),2012,(8):951.
[5] Todd Lammle.CCNA學(xué)習(xí)指南(640-802)[M].北京:人民郵電出版社,2012:349-352.
[6] 美國(guó)思科網(wǎng)絡(luò)技術(shù)學(xué)院.CCNA安全[M].北京:人民郵電出版社,2011:170.
[7] 金漢均,汪雙頂.VPN 虛擬專(zhuān)用網(wǎng)安全實(shí)踐教程[M].北京:清華大學(xué)出版社,2009:22-30.
[8] 秦柯.Cisco IPSec VPN 實(shí)戰(zhàn)指南[M].北京:人民郵電出版社,2012:62-70.