基于GRE和IPSec的MPLS L2層VPN技術研究與實現

張翔宇　魏國偉

摘? ?要：網絡安全威脅是當前一個極其重要而緊迫的課題，關系個人及組織的信息安全。為確保虛擬專用網絡中的可靠傳輸、數據安全，文章給出了一種解決方案，實現了一種MPLS L2層VPN，采用可加密的隧道技術IPSec保障信息安全，同時選擇GRE和MPLS技術對數據幀進行封裝，該方案減輕了設備的性能開銷。通過實物模擬測試，基于華三和思科等主流路由器驗證了協議的互通性，業務訪問測試正常，適合用于承載高安全可靠需求的業務。

關鍵詞：GRE;IPSec;MPLS

中圖分類號： TP309? ? ? ? ? 文獻標識碼：B

Abstract： Network security threat is an urgent issue in today's society， which concerns information security of individuals and organizations. This paper proposes a novel design scheme of MPLS L2 VPN to gain cyber space security. This design runs MPLS L2 VPN over GRE over IPSec. GRE encapsulation is introduced to resolve the problem that IPSec tunneling can't run on MPLS VPN directly. This proposal could provide better security performance and reduce constraints on routers. A test bed is deployed on H3C and Cisco routers. Connectivity tests were performed on IPSec， GRE over IPSec， MPLS L2 VPN over GRE. Experiments shows that VPN scheme proposed is suitable to carry high security sensitive data.

Key words： GRE; IPSec; MPLS

1 引言

隨著國家對網絡安全的日益重視，數據安全和加密在國民經濟活動和個人生活中發揮著日益重要的作用。虛擬專用網絡（VPN，Virtual Private Network）技術使得個人用戶或者組織的分支機構遠程接入各種應用，更加便捷地享用內部資源。VPN在現有網絡中通過隧道協議建立虛擬的點對點連接[1]，它借助公用網絡實現了專用網絡的延伸和拓展。為了確保安全性，專用網絡的連接使用加密分層隧道協議，其用戶使用身份驗證的方法如憑借密碼或證書獲取接入權。目前VPN技術通常都依賴于多協議標簽交換、通用路由封裝和互聯網安全協議等技術實現。

為了解決IP技術在網絡發展上的制約，突破網絡技術發展的瓶頸，多協議標簽交換（MPLS，Multi-Protocol Label Switching）技術應運而生。MPLS以標簽交換替代IP轉發[2]，將IP地址映射為固定長度的標簽，為進入網絡的數據幀分配固定長度的短標簽，將其與數據幀封裝在一起，取代長網絡地址為短路徑標簽，從一個節點定向到下一個節點，在整個轉發過程中，它只在網絡邊緣解析IP報文頭，避免路由表中的復雜尋找，節約了每一跳對報文頭分析的處理時間[3]。

通用路由封裝（GRE，Generic Routing Encapsulation）是對某些網絡層協議的數據報文進行封裝，使這些被封裝的數據報文能夠在另一個網絡層協議中傳輸[4]。GRE隧道是一個虛擬的點到點的連接，為封裝的數據報文提供了一條傳輸通路，GRE隧道的兩端分別對數據報進行封裝及解封裝[5]。

互聯網安全協議（IPSec，Internet Protocol Security）是Internet工程工作小組制定的三層隧道加密協議，它為Internet上傳輸的數據提供了高質量、可互操作、基于密碼學的安全保證[6]。IPSec協議不是一個單獨的協議，它給出了應用于IP層上網絡數據安全的一整套體系結構，包括網絡認證協議認證頭、封裝安全載荷、因特網密鑰交換和用于網絡認證及加密的一些算法等[7]。

如果要完整實現MPLS L2層VPN技術，需要網絡設備均支持MPLS的相關功能，網絡目前無法滿足這個要求，本文中的方案采用基于GRE和IPSec的MPLS L2層VPN，將MPLS數據通過GRE隧道進行封裝，穿越信息網[8]采用安全可靠、技術成熟的IPSec，此方案采用了協議層之間隧道技術的GRE通用路由封裝技術，增強可用性的同時也解決了MPLS VPN技術無法直接承載在IPSec VPN之上的問題。本文第1節介紹了MPLS L2層VPN的技術方案，以及GRE、IPSec、MPLS等相關技術的背景;第2節詳細介紹了本技術方案的實現;第3節基于模擬環境對VPN進行了測試;第4節為本文的總結。

2 系統設計

在純粹采用MPLS L2 VPN的方案中，要求沿途的信息網的設備均要啟用MPLS VPN，為了規避這個問題，并且實現更高的安全性，可以采用可加密的隧道技術。結合大多數企業級廣域網的應用模式，IPSec VPN是較為合適的技術。但純粹的MPLS VPN技術無法直接承載在IPSec VPN之上，因此選擇GRE對MPLS數據進行IP封裝，進而再進行IPSec的加密。對于此種方案模式，無需沿途的信息網路由器進行額外的配置部署，大大減輕了對于設備的性能開銷。

2.1 路由規劃設計

在路由規劃上的設計，為接入網支撐的是承載網，采用開放最短路徑優先策略（OSPF，Open Shortest Path First）作為內部網關協議。承載網的Area 0為Loopback地址（也可以是子接口地址）和內部互連地址的OSPF統一承載路由，同時OSPF也承載業務地址路由。在OSPF中發布地址包括承載網網絡設備之間互聯接口和承載網網絡設備的Loopback接口，同時需要將靜態路由重分布到OSPF中，承載網的路由描述如圖1所示。

接入網采用靜態路由與承載網互通，在承載網的邊界將靜態路由重新分布到OSPF[9]。Metric屬性對于OSPF正常運行至關重要，同時網絡的IGP Metric的規劃通常需遵循三個原則。

（1） 一致性原則：鏈路兩端開銷和同一鏈路互連接口上開銷保持一致。

（2） 最近優先原則：流量通過最近的出口路由器轉發。

（3） 轉發穿透原則：下層優先于上層穿透原則。OSPF Area需要統一分配，以免自行分配產生路由混亂，需要對OSPF的Area號碼進行規劃。

要進行標簽交換，設備之間必須對每一個IP所使用的標簽達成共識，因此需要有一種機制來明確，出棧與入棧標簽的對應形成的映射關系機制就極為重要。建立起會話關系的路由器是雙向進行信息交流的，這兩臺路由器被稱為對等路由器。在MPLS中，控制平面采用LDP協議規定標簽分發過程中的各種消息以及相關的處理過程，實現標簽的分配、標簽轉發信息表的建立、標簽交換路徑的建立和拆除等工作。通過LDP，路由器可以把網絡層的路由信息映射到數據鏈路層的交換路徑上，進而建立起標簽交換路徑。

2.2? MPLS VPN設計

MPLS L3 VPN與MPLS L2 VPN技術都是構成MPLS VPN網絡的技術，是通過VPN隧道技術來建立一個邏輯的虛擬專網，通過這個專網與承載網上面的業務實現隔離，提供專網專用的數據傳輸。這兩個技術雖然都是MPLS VPN網絡的技術，區別也很明顯，其用途也會根據場景的不同來選擇使用。根據提供服務的類型、管理和維護方式，這兩種技術主要有五點區別。

（1）在服務類型方面，MPLS L3 VPN只能支持純IP的業務，L2 VPN容易解決組播問題，而L3 VPN實現組播比較復雜;（2）在訪問方式方面，在MPLS L3 VPN中同一個VPN中不同的用戶側訪問方法可以是不同的，在MPLS L2 VPN網絡拓撲中，用戶側的CE訪問骨干網絡的PE則是L2層連接;（3）在路由管理方式方面，MPLS L3 VPN路由管理主要由主干網管理，而MPLS L2 VPN實現路由的方式只能直接由用戶管理路由（用戶側CE間運行靜態路由/OSPF/BGP等）;（4）在網絡運維方面，MPLS L3 VPN對網絡運營管理人員的專業要求更高，業務開展的周期也會相應的延長，MPLS L2 VPN網絡只需要配置主干網PE之間的虛通路，為OSI網絡參考模型第二層技術提供的二層的連接，不提供對三層網絡的連接性的責任（如路由），所以管理比較簡單;（5）在網絡安全性方面，MPLS L2 VPN無需獲取用戶的路由信息，對虛擬專網的私密性和安全性也得到了保證。綜合以上分析，本方案選用MPLS L2 VPN技術方案。

2.3 GRE設計

GRE有加封裝和解封裝兩個過程。加封裝有三個步驟，如圖2所示。

GRE的解封裝過程與加封裝的過程相反，步驟如圖3所示。

通過在CPE路由器上啟用GRE功能，實現CPE路由器之間的GRE隧道。實現拓撲圖如圖4所示。

數據在傳輸過程中需要進行加解封裝。這項工作是在虛擬網絡隧道兩端的路由器上完成的。出口路由器（CPE路由器）不但負責加解封的工作，還要負責建立虛擬網絡通道的工作，使封裝的數據通過建立的GRE隧道傳輸。在實現過程中，需要在CPE路由器上啟用OSPF協議，實現配置GRE的兩端內部的互通。CPE設備之間建立GRE隧道，傳輸GRE報文，而在GRE報文中則封裝了MPLS VPN報文，用戶端不關心中間是否通過了GRE對MPLS VPN報文的封裝，也感覺不到封裝和隧道傳送過程。只要用戶看到這是一個MPLS VPN網絡，并且在這個網絡中，保持著MPLS VPN網絡的優點，可以靈活的組網，并提供良好的可伸縮性。

通過以上論述，MPLS VPN over GRE的組網方式有著現階段的優越性和靈活性，其優點為：第一，采用此組網方式，對于已經有著眾多分支和部門的大型機構，其各部門之間IP網絡互聯方式不需要做任何修改，數據傳輸業務影響小。原有的信息網在網絡拓撲、配置和路由方面不用做任何修改，業務繼續采用IP承載，這樣完全可以保證現有業務的穩定性;第二，對于從經濟成本上考慮，改造成本低，許多的原有設備基本可以繼續使用;第三，這種組網方式實現了VPN邏輯專用網絡，可以有效地保證網絡的隔離;第四，這種組網絡具有良好的可伸縮性和易于管理。承載網的管理員只參與端口、帶寬和IP地址分配等工作，MPLS VPN over GRE的相關配置完全由專網內部網絡管理員自行維護，管理范圍和責任明晰，明顯降低了運營管理的復雜性。

2.4 IPSec VPN設計

GRE雖然將數據進行隧道封裝，但是數據本身是明文傳輸，而不進行加密，對于對數據安全性要求較高的用戶來說，需要考慮采用其他的技術手段來實現數據的加密，從而保障整體技術的安全性。由此可見，還需要一種技術來實現對數據傳輸安全的保障，IPSec技術與之結合將是一個很好的選擇。CPE路由器上需同時具有MPLS、GRE和IPSec的功能，并且將這三種功能全部開啟，才能實現基于GRE和IPSec的MPLS L2層VPN。

在CPE的路由器的入端口，首先進行MPLS L2VPN的標簽封裝，根據路由收斂，判斷報文需要進入GRE隧道，打上GRE的隧道報文頭，在CPE路由器信息網接口上配置策略，應用IPSec，再次封裝GRE數據流，數據流被IPSec加密，加密后的報文流向信息網，IPSec報文到達IPSec路由器，直接解密GRE封裝進入MPLS VPN，將內部數據送入相應的MPLS VPN中，其反向操作類似。需要注意的是WA專網的路由器與信息網之間只有一個接口互聯，因此需要啟用子接口，并且需要單獨規劃IPSec VPN的隧道地址。

3 實驗與分析

本文采用華三SR6608與思科ASR1006等典型網絡設備建立了硬件模擬環境，實驗驗證了基于GRE和IPSec的MPLS L2層VPN協議，并對IPSec的互通性、將數據封裝成GRE再封裝成IPSec之后的互通性以及MPLS L2 VPN over GRE over IPSec的互通性進行了測試，并基于實驗環境進行了模擬業務測試。

3.1 實驗環境

本文基于思科1941路由器和2960交換機建立了仿真環境，網絡拓撲結構如圖5所示。在模擬環境中，采用兩臺1941路由器分別作為CE設備，采用思科2960模擬本地網絡。

3.2 路由器配置

在MPLS L2層VPN協議驗證環境中，CE通過子接口與各自的PE相連，MPLS L2層VPN在子接口上通過Ethernet封裝方式進行互聯，路由器配置如表2所示。

3.3 實驗測試

在VPN模擬環境中，實驗了源端PC-A和目的端PC-C在IPSec和GRE over IPSec通道上的互通性，實驗基于GRE over IPSec 的MPLS L2層VPN的互通性，驗證了模擬VPN網絡業務，如圖6所示。實驗發現，本文提出的VPN技術方案的連通性良好，能夠實現模擬VPN業務。

4 結束語

隨著遠程辦公為代表的專用網絡需求的增長，各類VPN技術繁榮發展，IPSec VPN、GRE VPN、MPLS L2/L3 VPN等技術均獲得了廣泛應用，有效地保障了網絡的安全。本文提出了一種基于GRE和IPSec的MPLS L2層VPN技術，首先對數據采用IPSec封裝，然后再進行GRE封裝，最后進行MPLS L2層封裝。通過在硬件模擬環境中的測試，本文中的VPN解決方案可有效滿足連通性，可以為有高安全高可靠需求的部門組織提供解決方案。

參考文獻

[1] 童怡.MPLS技術及其在VPN中的應用[J]. 哈爾濱師范大學自然科學學報， 2013， 29（6）：49-52.

[2] 董昊， 胡曦明， 馬苗. BGP/MPLS VPN安全性分析與仿真實驗[J]. 計算機與網絡， 2018， v.44;No.580（12）：64-67.

[3] 劉勇. MPLS VPN在中小型IP城域網中的應用探討[J]. 電腦知識與技術， 2017（11）.

[4]? Bonica R ， Pignataro C ， Touch J . A Widely Deployed Solution to the Generic Routing Encapsulation （GRE） Fragmentation Problem[J]. Computers & Education， 2015， 67（9）：193-207.

[5] Chirayu S . Generic routing encapsulation over point-to-point protocol[J]. 2007.

[6] CarltonR.Davis著， 周永彬， 馮登國. IPSec：VPN的安全實施[M]. 清華大學出版社， 2002.

[7] 王鳳領. 基于IPSec的VPN技術的應用研究[J]. 計算機技術與發展， 2012， 22（9）：250-252.

[8] Lee W ， Bhagavathula R ， Thanthry N ， et al. MPLS-over-GRE based VPN architecture： A performance comparison， [C] Symposium on Circuits & Systems. IEEE， 2003.

[9] 雷鳴. 基于單自治域層次化IP網絡的Metric值設計探討[J]. 電信工程技術與標準化， 2007， 20（5）：42-45.

作者簡介：

張翔宇（1977-），男，漢族，江西贛州人，中國科學院大學，博士，北京賽迪時代信息產業股份有限公司，高級工程師;主要研究方向和關注領域：網絡安全、通信技術、數據挖掘、數據安全。

魏國偉（1982-），女，漢族，山東聊城人，北京郵電大學，博士，北京賽迪時代信息產業股份有限公司，高級工程師;主要研究方向和關注領域：信息安全、數據安全。