在如今这个大数据时代,几乎一切事物都可以以数据的方式存在,因此大到国家、小到个人,数据的安全成了重中之重。
对于大企业而言,核心数据的重要性不言而喻,为了保护数据不被窃取,每个企业都会有属于自己的专用网络。
在讲虚拟专用网络(Virtual Private Network, VPN)之前,先给大家介绍什么是专用网络。
专用网络也就是专线业务,大多面向企业、政府以及其他要求带宽稳定、对服务质量要求高的客户。一般具有固网 IP 地址,不需要进行接入认证;根据客户需求,不仅在接入层对带宽和接入业务类型有要求,而且会对业务的全程全网服务质量提出更详细的要求;而专线客户, 往往由运营商提供更为主动、周全、及时、专业的客户服务支撑。
一家企业异地的局域网可以通过专线连接,如图1所示,北京、上海两个城市的局域网, 可以通过数字数据网(DDN)专线业务、帧中继(FR)专线业务、数字用户线路(DSL)专线业务、同步数字(SDH)专线业务等进行连接。
图1 专用网络示意图
使用专线连接,成本高、通信质量好,专线通常用于内网通信,全网通常采用私有 IP 地址。
华为HCNA路由与交换学习指南(异步图书出品)¥44.5购买
虚拟专用网络(VPN)
图2 VPN示意图
如图2所示,企业在北京的网络接入了 Internet,在上海的网络也接入了 Internet,这两个局域网通过 Internet 连接起来,但由于北京和上海的两个网络是私网,因此不能通过 Internet 直接相互通信,从而也确保了它们内网的数据安全。
通过配置两端的路由器 R1 和 R2,可以为两个局域网创建一条隧道,让两个局域网之间能够相互通信。通过加密和身份验证技术实现数据通信的安全,能够达到像专线一样的效果。这种在公共网络中建立的连接多个局域网的隧道就称为虚拟专用网络(VPN),如图2所示。
通过 VPN,可利用 Internet 对两地的网络进行互联,只需要支付本地接入 Internet 的费用, 费用低。使用 IPSec 能够保证数据通信安全,不改变使用习惯,使用私网地址和对方进行通信。
配置站点间 VPN
站点间 VPN 就是在 Internet 上创建 VPN 隧道,对多个局域网进行连接(就相当于两个地方只有当地内部人员才能访问的网络连接在一起,)。而远程访问 VPN,是在远程计算机上建立到企业内网的 VPN 连接,访问企业内网。
GRE 隧道 VPN
GRE(Generic Routing Encapsulation)是通用路由封装协议,它对某些网络层协议(如 IP 和 IPX)的数据包进行封装,使这些被封装的数据包能够在另一个网络层协议(如 IP)中传输。下面讨论的 GRE 隧道 VPN,用于将跨 Internet 的内网之间通信的数据包封装到具有公网地址的数据包中进行传输。
如图所示,北京和上海的两个局域网通过 Internet 连接,在 AR1 和 AR3 上配置 GRE 隧道,这时候大家应该把这条隧道当成连接 AR1 和 AR3 的一根网线。AR1 隧道接口的地址和 AR3 隧道接口的地址在同一个网段。这样理解,就很容易想到,要想实现这两个私网间的通信, 需要添加静态路由。在 AR1 上添加到上海网段的路由,下一跳地址是 172.16.0.2;在 AR3 上添加到北京网段的路由,下一跳地址是 172.16.0.1。
GRE隧道VPN的网络拓扑
图中也画出了 PC1 与 PC2 通信的数据包,在隧道中(也就是在 Internet 中)传输时的封装格式示意图,可以看到 PC1 到 PC2 的数据包的外面又有一层 GRE 封装,最外面是隧道的目标地址和源地址。
GRE 隧道 VPN 的网络拓扑使用 eNSP 参照图搭建实验环境。
AR1 上的配置如下:
[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress20.1.1.124[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceVlanif1[AR1-Vlanif1]ipaddress10.1.1.124[AR1-Vlanif1]quit[AR1]iproute-static20.1.2.02420.1.1.2---添加到20.1.2.0/24网络的路由
AR2 上的配置如下,不添加到北京和上海网络的路由,因为在 Internet 上的路由器中不会 添加到私有网络的路由。
[AR2]interfaceGigabitEthernet0/0/0[AR2-GigabitEthernet0/0/0]ipaddress[AR2-GigabitEthernet0/0/0]quit[AR2]interfaceGigabitEthernet0/0/1[AR2-GigabitEthernet0/0/1]ipaddress[AR2-GigabitEthernet0/0/1]quit
AR3 上的配置如下。
[AR3]interfaceGigabitEthernet0/0/0[AR3-GigabitEthernet0/0/0]ipaddress[AR3-GigabitEthernet0/0/0]quit[AR3]interfaceVlanif1[AR3-Vlanif1]ipaddress10.1.2.124[AR3-Vlanif1]quit[AR3]iproute-static20.1.1.02420.1.2.2--添加到20.1.1.0/24网络的路由
现在,在 AR1 上创建到上海网络的 GRE 隧道接口,并添加到上海网络的路由。
[AR1]interfaceTunnel0/0/0--指定隧道接口编号[AR1-Tunnel0/0/0]tunnel-protocol?--查看隧道支持的协议greGenericRoutingEncapsulationipsecIPSECEncapsulationipv4-ipv6IPoverIPv6encapsulationipv6-ipv4IPv6overIPencapsulationmplsMPLSEncapsulationnoneNullEncapsulation[AR1-Tunnel0/0/0]tunnel-protocolgre--隧道使用GRE协议[AR1-Tunnel0/0/0]ipaddress172.16.0.124--指定隧道接口的地址[AR1-Tunnel0/0/0]source20.1.1.1--指定隧道的起点(源地址)[AR1-Tunnel0/0/0]destination20.1.2.1--指定隧道的终点(目标地址)[AR1-Tunnel0/0/0]quit[AR1]iproute-static10.1.2.024172.16.0.2--添加到上海网络的路由
添加到上海网络的路由,下一跳地址也可以使用 Tunnel 0/0/0 替换。
[AR1]iproute-static10.1.2.024Tunnel0/0/0
在 AR3 上创建到北京网络的 GRE 隧道接口,并添加到北京网络的路由。
[AR3]interfaceTunnel0/0/0[AR3-Tunnel0/0/0]tunnel-protocolgre[AR3-Tunnel0/0/0]ipaddress172.16.0.224[AR3-Tunnel0/0/0]source20.1.2.1[AR3-Tunnel0/0/0]destination20.1.1.1[AR3-Tunnel0/0/0]quit[AR3]iproute-static10.1.1.024172.16.0.1
抓包分析GRE隧道中的数据包格式。如图所示,右击AR2路由器,单击数据抓包, 再单击GE 0/0/0接口。
开始抓包后,用 PC1 ping PC2,观察捕获的数据包,查看 GRE 封装,如图所示。
上面给大家展示了创建 GRE 隧道 VPN,将两个城市的局域网连接起来。如果一个企业在 北京、上海、石家庄 3 个城市都有局域网,如图所示,创建 GRE 隧道 VPN,需要在每个路由器上创建两个 Tunnel 接口,分别定义好隧道的起点和终点,以及隧道接口地址,添加到远程网络的路由。
抓包分析 GRE 隧道中的数据包格式
总结:GRE 是一个标准协议,支持多种协议和多播,能够用来创建弹性的 VPN,支持多点隧道,能够实施 QoS。
GRE 协议存在的以下问题:
缺乏加密机制,没有标准的控制协议来保持 GRE 隧道(通常使用协议和 kee palive),隧道很消耗 CPU,出现问题时进行调试很困难。
以上内容摘自《华为HCNA路由与交换学习指南》,作者是韩立刚、李圣春、韩利辉
纵观网络,并没有十全十美的协议,本篇我们着重讲解了虚拟专用网络,详细地介绍了如何将两个安全的网络通过隧道的方式连接在一起,使得内部数据之间的传输更加安全。
网络技术是一门很深的学问,涉及到行业方方面面,建议通过《华为HCNA路由与交换学习指南》这本书去深入地了解。
本书专门介绍华为认证网络工程师(HCNA)路由与交换技术的相关内容。全书共分为13章。
本书首先介绍了计算机网络的产生和演进、计算机通信使用的协议、IP地址和子网划分;然后介绍了使用华为设备进行企业组网的基本技术,包括路由器和交换机的基本配置、IP地址的规划、静态路由和动态路由的配置、使用交换机进行组网;最后讲解了高级网络技术,其中涉及网络安全的实现、网络地址转换和端口映射、将路由器配置为DHCP以实现IP地址的自动分配,以及IPv6、广域网、VPN相关的知识。
本书以理论知识为铺垫,重点凸显内容的实用性,旨在通过以练代学的方式提升读者的理论理解能力和实操能力,适合备考华为HCNA认证的考生阅读,也适合有志于投身于网络技术领域的初学者阅读,还可作为网络专业课程的教材。