基于網絡仿真平臺的GRE over IPsec VPN設計與實現

王 格

（湖北國土資源職業學院 湖北 武漢 430090）

0 引言

對于一些規模較大的企業來說，網絡訪問需求不僅局限在公司總部網絡內，同時分公司、辦事處、出差員工、合作單位等也有訪問公司總部網絡資源的需求。 在訪問資源過程中，如果直接采用Internet 進行數據傳輸，那么可能出現數據被盜取、篡改的可能。 如果搭建專網傳輸數據，雖然可以有效地保證企業數據安全性，但是要面臨著使用成本高、使用率低、部署不靈活等問題。

為了有效解決上述問題，滿足相關需求，可以采用虛擬專用網絡（virtual private network，VPN）技術。 VPN即虛擬專用網，泛指通過VPN 技術在公用網絡上構建的虛擬專用網絡。 VPN 用戶在此虛擬網絡中傳輸私網流量，在不改變網絡現狀的情況下，可以實現安全、可靠的連接。

1 常見VPN 技術

1.1 IPsec

1.1.1 三種協議

互聯網絡層安全協議（internet protocol security，IPsec）VPN 一般部署在企業出口設備之間，通過加密和驗證等方式，實現了數據來源驗證、數據加密、數據完整性保護和抗重放等功能。 IPsec 是一個協議體系，其包括認證頭（authentication header，AH）、封裝安全載荷（encapsulating security payload，ESP）、密鑰交換（internet key exchange，IKE）等協議［1］。

AH 協議用來對IP 報文進行數據源認證和完整性校驗，即用來保證傳輸的IP 報文的來源可信和數據不被篡改，但它并不提供加密功能。 AH 協議在每個數據包的標準IP 報文頭后面添加一個AH 報文頭，AH 協議對報文的完整性校驗范圍是整個IP 報文。

ESP 協議除了對IP 報文進行數據源認證和完整性校驗以外，還能對數據進行加密。 ESP 協議在每一個數據包的標準IP 報頭后方添加一個ESP 報文頭，并在數據包后方追加一個ESP 尾（ESP Trailer 和ESP Auth data）。

IPsec 隧道建立過程中需要協商安全聯盟（security association，SA），IPsec SA 一般通過IKE 協商生成。 IKE作為密鑰協商協議，其協商分為兩個階段：階段一IKE SA協商（主要包括加密策略定義、密鑰算法、認證方式、密鑰分配等策略）和階段二IPsec SA 協商（主要包括定義轉換集、數據加密、完整性驗證、對等體設置、加密映射等）［2］。IKE SA 建立后對等體間的所有ISAKMP 消息都將通過加密和驗證，這條安全通道可以保證IKE 第二階段的協商能夠安全進行。 IKE 協商階段二使用IKE 協商階段一中生成的密鑰對ISAKMP 消息完整性和身份進行驗證，并對ISAKMP 消息進行加密，故保證了交換的安全性。

1.1.2 兩種封裝模式

IPsec VPN 有兩種封裝模式：傳輸模式和隧道模式。

傳輸模式僅對IP 報文的數據部分進行封裝，不會改變原來的報頭。 傳輸模式一般用于主機到主機之間的加密，即點到點的傳輸。 隧道模式對整個IP 報文進行封裝，并在原IP 報文前加上新的頭部，形成新的IP 報文。 隧道模式一般用于路由器或防火墻上對某個網段的數據進行封裝，實現站點到站點的通信［3］。

雖然IPsec 有很好的安全性，但是僅支持IP 協議，不支持多層上層協議和組播。

1.2 GRE

通用路由封裝協議（general routing encapsulation，GRE）是一種三層VPN 封裝技術。 GRE 可以對某些網絡層協議（如IPX、IPv4、IPv6 等）的報文進行封裝，使封裝后的報文能夠在另一種網絡中（如IPv4）傳輸，從而解決了跨越異種網絡的報文傳輸問題［4］。

但是，GRE 不支持加密和認證，數據安全傳輸得不到很好的保障。

1.3 GRE over IPsec

GER over IPsec 充分結合GRE 和IPsec 的優勢，通過GRE 將組播、廣播、非IP 報文封裝成普通的IP 報文，通過IPsec 將封裝后的IP 報文進行加密，保證傳輸的安全性。

2 GRE over IPsec VPN 設計與實現

2.1 仿真拓撲設計

仿真拓撲圖設計如圖1 所示，該拓撲圖模擬在公司總部和公司分部兩個局域網之間建立一條GER over IPsec VPN 隧道，實現對公司總部和公司分部通信時數據流的安全保護。

圖1 仿真拓撲圖

2.2 GRE Over IPsec 配置實現

首先按照拓撲圖規劃完成基礎IP 配置，并完成配置GRE 隧道，以及防火墻的安全區域劃分。 以FW1 為例，配置命令如下：

［FW1］interface Tunnel1

［FW1－Tunnel1］ ip address 1.1.1.1 255.255.255.0

［FW1－Tunnel1］ tunnel?protocol gre

［FW1－Tunnel1］ source 201.1.1.2

［FW1－Tunnel1］ destination 202.1.1.2

上述命令創建了隧道端口Tunnel1，配置其IP 地址1.1.1.1／24，設置隧道協議為GRE，同時指定隧道的源地址為201.1.1.2，隧道目的地址為202.1.1.2。

同時使用下述命令，將FW1 的G1／0／0 端口劃分trust區域，G1／0／1 劃分untrust 區域，tunnel 劃分dmz 區域。

［FW1］firewall zone trust

［FW1－zone?trust］ add interface GigabitEthernet1／0／0

［FW1］firewall zone untrust

［FW1－zone?untrust］add interface GigabitEthernet1／0／1

［FW1］firewall zone dmz

［FW1－zone?dmz］ add interface Tunnel1

然后配置路由協議，將總公司與分公司之間的通信流量引入到隧道中。 以FW1 為例，配置命令如下：

［FW1］ip route?static 0.0.0.0 0.0.0.0 201.1.1.1

［FW1］ ip route?static 192.168.2.0 255.255.255.0 Tunnel1

在上述命令中，配置了兩條靜態路由，其中靜態路由ip route?static 192.168.2.0 255.255.255.0 Tunnel1，實現將公司總部和公司分部的流量引入到隧道中。 而訪問其他網絡的流量則通過AR1，由靜態路由ip route?static 0.0.0.0 0.0.0.0 201.1.1.1 實現。

最后配置IPsec，實現對數據流量加密，保證安全傳輸。 以FW1 為例，配置命令如下：

（1）建立IKE 提議

［FW1］ike proposal 1

［FW1－ike?proposal－1］ dh group14

在上述命令中，創建IKE 提議proposal 1，并采用DH密鑰交換組，DH 組為group14。 此時，默認協商時使用sha2－256 認證算法，配置身份認證方法為pre?share，加密算法為aes－256，采用hmac?sha2－256 算法產生偽隨機數。需要注意的是，IKE 協商時，兩端對等體使用IKE 安全提議中的認證方法必須保持一致，否則會導致IKE 協商失?。?］。

（2）創建IKE 對等體

［FW1］ike peer to＿fw2

［FW1－ike?peer?to＿fw2］ pre?shared?key huawei＠123

［FW1－ike?peer?to＿fw2］ ike?proposal 1

［FW1－ike?peer?to＿fw2］ remote?address 202.1.1.2

在上述命令中，創建IKE 對等體名稱為to＿fw2，對等體地址為202.1.1.2。 同時設置預共享密鑰為huawei＠123，并關聯IKE 提議proposal 1。

（3）創建IPsec 安全提議

［FW1］ipsec proposal p1

［FW1－ipsec?proposal?p1］ transform esp

在上述命令中，創建IPsec 安全提議proposal p1，加密方式采用esp，該方式默認的認證算法為sha2－256，，加密算法為aes－256。

（4）定義匹配安全流量

［FW1］acl number 3000

［FW1 － acl?adv － 3000］ rule 5 permit gre source 201.1.1.2 0 destination 202.1.1.2 0

在上述命令中，配置高級ACL 定義需要保護數據流，協議為gre，數據流源為201.1.1.2／24，數據流目的為202.1.1.2／24，需要注意的是，此處應該要寫公網地址。

（5）配置IPsec 安全策略

［FW1］ipsec policy test 10 isakmp

［FW1－ipsec?policy?isakmp?test－10］security acl 3000

［FW1－ipsec?policy?isakmp?test－10］ ike?peer to＿fw2

［FW1－ipsec?policy?isakmp?test－10］ proposal p1

在上述命令中，配置IPsec 安全策略test，在IPsec 安全策略中將匹配的安全流量，IKE 提議，IKE 對等體進行關聯。

（6）端口應用

［FW1］interface GigabitEthernet1／0／1

［FW1－GigabitEthernet1／0／1］ ipsec policy test

在上述命令中，將IPsec 安全策略test 應用到接口G1／0／1。

2.3 驗證測試

2.3.1 連通性測試

從圖2 可以看出，總公司和分公司在完成配置GER over IPsec VPN 后是可以ping 通的，即滿足正常通信需求。

圖2 PC1 和PC2 連通性測試

2.3.2 IKE 協商過程數據包分析

從圖3 可以看出，IKE 階段以協商為主模式，經歷了3次交換過程（SA 交換、密鑰交換、ID 交換及驗證），6 次交互消息，IKE 階段二協商為快速模式，需要交互消息3次［6］。 階段二所有的數據包都進行了加密。

圖3 IKE 協商過程數據包分析

2.3.3 數據傳輸加密分析

從圖4 可以發現，經過隧道的數據被成功加密，加密協議為ESP。 加密數據包中，只存在由ESP 封裝的SPI 和Sequence，SPI 是目標對等體在IKE 協商期間隨機選擇的數字類似于索引，用于在安全關聯數據庫（SADB）中查找對應的IPsec SA，Sequence 是發送方插入ESP 包頭序列號，提供抗重放服務［7］。

圖4 數據傳輸加密分析

3 結語

綜上所述，GER over IPsec VPN 可以充分結合GRE VPN 和IPsec VPN 的優勢，通過GRE 將組播、廣播、非IP 報文封裝成普通的IP 報文，通過IPsec 將封裝后的IP 報文進行加密，保證網絡通信時，數據傳輸的安全性。