科技改變生活 · 科技引領(lǐng)未來(lái)
科技改變生活 · 科技引領(lǐng)未來(lái)
在如今這個(gè)大數(shù)據(jù)時(shí)代,幾乎一切事物都可以以數(shù)據(jù)的方式存在,因此大到國(guó)家、小到個(gè)人,數(shù)據(jù)的安全成了重中之重。
對(duì)于大企業(yè)而言,核心數(shù)據(jù)的重要性不言而喻,為了保護(hù)數(shù)據(jù)不被竊取,每個(gè)企業(yè)都會(huì)有屬于自己的專用網(wǎng)絡(luò)。
在講虛擬專用網(wǎng)絡(luò)(Virtual Private Network, VPN)之前,先給大家介紹什么是專用網(wǎng)絡(luò)。
專用網(wǎng)絡(luò)也就是專線業(yè)務(wù),大多面向企業(yè)、政府以及其他要求帶寬穩(wěn)定、對(duì)服務(wù)質(zhì)量要求高的客戶。一般具有固網(wǎng) IP 地址,不需要進(jìn)行接入認(rèn)證;根據(jù)客戶需求,不僅在接入層對(duì)帶寬和接入業(yè)務(wù)類型有要求,而且會(huì)對(duì)業(yè)務(wù)的全程全網(wǎng)服務(wù)質(zhì)量提出更詳細(xì)的要求;而專線客戶, 往往由運(yùn)營(yíng)商提供更為主動(dòng)、周全、及時(shí)、專業(yè)的客戶服務(wù)支撐。
一家企業(yè)異地的局域網(wǎng)可以通過(guò)專線連接,如圖1所示,北京、上海兩個(gè)城市的局域網(wǎng), 可以通過(guò)數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DDN)專線業(yè)務(wù)、幀中繼(FR)專線業(yè)務(wù)、數(shù)字用戶線路(DSL)專線業(yè)務(wù)、同步數(shù)字(SDH)專線業(yè)務(wù)等進(jìn)行連接。
圖1 專用網(wǎng)絡(luò)示意圖
使用專線連接,成本高、通信質(zhì)量好,專線通常用于內(nèi)網(wǎng)通信,全網(wǎng)通常采用私有 IP 地址。
圖2 VPN示意圖
如圖2所示,企業(yè)在北京的網(wǎng)絡(luò)接入了 Internet,在上海的網(wǎng)絡(luò)也接入了 Internet,這兩個(gè)局域網(wǎng)通過(guò) Internet 連接起來(lái),但由于北京和上海的兩個(gè)網(wǎng)絡(luò)是私網(wǎng),因此不能通過(guò) Internet 直接相互通信,從而也確保了它們內(nèi)網(wǎng)的數(shù)據(jù)安全。
通過(guò)配置兩端的路由器 R1 和 R2,可以為兩個(gè)局域網(wǎng)創(chuàng)建一條隧道,讓兩個(gè)局域網(wǎng)之間能夠相互通信。通過(guò)加密和身份驗(yàn)證技術(shù)實(shí)現(xiàn)數(shù)據(jù)通信的安全,能夠達(dá)到像專線一樣的效果。這種在公共網(wǎng)絡(luò)中建立的連接多個(gè)局域網(wǎng)的隧道就稱為虛擬專用網(wǎng)絡(luò)(VPN),如圖2所示。
通過(guò) VPN,可利用 Internet 對(duì)兩地的網(wǎng)絡(luò)進(jìn)行互聯(lián),只需要支付本地接入 Internet 的費(fèi)用, 費(fèi)用低。使用 IPSec 能夠保證數(shù)據(jù)通信安全,不改變使用習(xí)慣,使用私網(wǎng)地址和對(duì)方進(jìn)行通信。
站點(diǎn)間 VPN 就是在 Internet 上創(chuàng)建 VPN 隧道,對(duì)多個(gè)局域網(wǎng)進(jìn)行連接(就相當(dāng)于兩個(gè)地方只有當(dāng)?shù)貎?nèi)部人員才能訪問(wèn)的網(wǎng)絡(luò)連接在一起,)。而遠(yuǎn)程訪問(wèn) VPN,是在遠(yuǎn)程計(jì)算機(jī)上建立到企業(yè)內(nèi)網(wǎng)的 VPN 連接,訪問(wèn)企業(yè)內(nèi)網(wǎng)。
GRE(Generic Routing Encapsulation)是通用路由封裝協(xié)議,它對(duì)某些網(wǎng)絡(luò)層協(xié)議(如 IP 和 IPX)的數(shù)據(jù)包進(jìn)行封裝,使這些被封裝的數(shù)據(jù)包能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議(如 IP)中傳輸。 下面討論的 GRE 隧道 VPN,用于將跨 Internet 的內(nèi)網(wǎng)之間通信的數(shù)據(jù)包封裝到具有公網(wǎng)地址的數(shù)據(jù)包中進(jìn)行傳輸。
如圖所示,北京和上海的兩個(gè)局域網(wǎng)通過(guò) Internet 連接,在 AR1 和 AR3 上配置 GRE 隧道,這時(shí)候大家應(yīng)該把這條隧道當(dāng)成連接 AR1 和 AR3 的一根網(wǎng)線。AR1 隧道接口的地址和 AR3 隧道接口的地址在同一個(gè)網(wǎng)段。這樣理解,就很容易想到,要想實(shí)現(xiàn)這兩個(gè)私網(wǎng)間的通信, 需要添加靜態(tài)路由。在 AR1 上添加到上海網(wǎng)段的路由,下一跳地址是 172.16.0.2;在 AR3 上添加到北京網(wǎng)段的路由,下一跳地址是 172.16.0.1。
GRE隧道VPN的網(wǎng)絡(luò)拓?fù)?/p>
圖中也畫(huà)出了 PC1 與 PC2 通信的數(shù)據(jù)包,在隧道中(也就是在 Internet 中)傳輸時(shí)的封裝格式示意圖,可以看到 PC1 到 PC2 的數(shù)據(jù)包的外面又有一層 GRE 封裝,最外面是隧道的目標(biāo)地址和源地址。
GRE 隧道 VPN 的網(wǎng)絡(luò)拓?fù)涫褂?eNSP 參照?qǐng)D搭建實(shí)驗(yàn)環(huán)境。
AR1 上的配置如下:
[AR1]interface GigabitEthernet 0/0/0 [AR1-GigabitEthernet0/0/0]ip address 20.1.1.1 24[AR1-GigabitEthernet0/0/0]quit[AR1]interface Vlanif 1[AR1-Vlanif1]ip address 10.1.1.1 24 [AR1-Vlanif1]quit[AR1]ip route-static 20.1.2.0 24 20.1.1.2 ---添加到20.1.2.0/24網(wǎng)絡(luò)的路由AR2 上的配置如下,不添加到北京和上海網(wǎng)絡(luò)的路由,因?yàn)樵?Internet 上的路由器中不會(huì) 添加到私有網(wǎng)絡(luò)的路由。
[AR2]interface GigabitEthernet 0/0/0 [AR2-GigabitEthernet0/0/0]ip address[AR2-GigabitEthernet0/0/0]quit[AR2]interface GigabitEthernet 0/0/1 [AR2-GigabitEthernet0/0/1]ip address[AR2-GigabitEthernet0/0/1]quitAR3 上的配置如下。
[AR3]interface GigabitEthernet 0/0/0 [AR3-GigabitEthernet0/0/0]ip address [AR3-GigabitEthernet0/0/0]quit[AR3]interface Vlanif 1[AR3-Vlanif1]ip address 10.1.2.1 24 [AR3-Vlanif1]quit[AR3]ip route-static 20.1.1.0 24 20.1.2.2 --添加到20.1.1.0/24網(wǎng)絡(luò)的路由 現(xiàn)在,在 AR1 上創(chuàng)建到上海網(wǎng)絡(luò)的 GRE 隧道接口,并添加到上海網(wǎng)絡(luò)的路由。
[AR1]interface Tunnel 0/0/0 --指定隧道接口編號(hào)[AR1-Tunnel0/0/0]tunnel-protocol ? --查看隧道支持的協(xié)議 gre Generic Routing Encapsulation ipsec IPSEC Encapsulation ipv4-ipv6 IP over IPv6 encapsulation ipv6-ipv4 IPv6 over IP encapsulation mpls MPLS Encapsulation none Null Encapsulation [AR1-Tunnel0/0/0]tunnel-protocol gre --隧道使用GRE協(xié)議[AR1-Tunnel0/0/0]ip address 172.16.0.1 24 --指定隧道接口的地址[AR1-Tunnel0/0/0]source 20.1.1.1 --指定隧道的起點(diǎn)(源地址)[AR1-Tunnel0/0/0]destination 20.1.2.1 --指定隧道的終點(diǎn)(目標(biāo)地址)[AR1-Tunnel0/0/0]quit[AR1]ip route-static 10.1.2.0 24 172.16.0.2 --添加到上海網(wǎng)絡(luò)的路由添加到上海網(wǎng)絡(luò)的路由,下一跳地址也可以使用 Tunnel 0/0/0 替換。
[AR1]ip route-static 10.1.2.0 24 Tunnel 0/0/0在 AR3 上創(chuàng)建到北京網(wǎng)絡(luò)的 GRE 隧道接口,并添加到北京網(wǎng)絡(luò)的路由。
[AR3]interface Tunnel 0/0/0 [AR3-Tunnel0/0/0]tunnel-protocol gre [AR3-Tunnel0/0/0]ip address 172.16.0.2 24[AR3-Tunnel0/0/0]source 20.1.2.1 [AR3-Tunnel0/0/0]destination 20.1.1.1 [AR3-Tunnel0/0/0]quit[AR3]ip route-static 10.1.1.0 24 172.16.0.1抓包分析GRE隧道中的數(shù)據(jù)包格式。如圖所示,右擊AR2路由器,單擊“數(shù)據(jù)抓包”, 再單擊“GE 0/0/0”接口。
開(kāi)始抓包后,用 PC1 ping PC2,觀察捕獲的數(shù)據(jù)包,查看 GRE 封裝,如圖所示。
上面給大家展示了創(chuàng)建 GRE 隧道 VPN,將兩個(gè)城市的局域網(wǎng)連接起來(lái)。如果一個(gè)企業(yè)在 北京、上海、石家莊 3 個(gè)城市都有局域網(wǎng),如圖所示,創(chuàng)建 GRE 隧道 VPN,需要在每個(gè)路由器上創(chuàng)建兩個(gè) Tunnel 接口,分別定義好隧道的起點(diǎn)和終點(diǎn),以及隧道接口地址,添加到遠(yuǎn)程網(wǎng)絡(luò)的路由。
抓包分析 GRE 隧道中的數(shù)據(jù)包格式
總結(jié):GRE 是一個(gè)標(biāo)準(zhǔn)協(xié)議,支持多種協(xié)議和多播,能夠用來(lái)創(chuàng)建彈性的 VPN,支持多點(diǎn)隧道,能夠?qū)嵤?QoS。
GRE 協(xié)議存在的以下問(wèn)題:
以上內(nèi)容摘自《華為HCNA路由與交換學(xué)習(xí)指南》,作者是韓立剛、李圣春、韓利輝
縱觀網(wǎng)絡(luò),并沒(méi)有十全十美的協(xié)議,本篇我們著重講解了虛擬專用網(wǎng)絡(luò),詳細(xì)地介紹了如何將兩個(gè)安全的網(wǎng)絡(luò)通過(guò)“隧道”的方式連接在一起,使得內(nèi)部數(shù)據(jù)之間的傳輸更加安全。
網(wǎng)絡(luò)技術(shù)是一門(mén)很深的學(xué)問(wèn),涉及到行業(yè)方方面面,建議通過(guò)《華為HCNA路由與交換學(xué)習(xí)指南》這本書(shū)去深入地了解。
本書(shū)專門(mén)介紹華為認(rèn)證網(wǎng)絡(luò)工程師(HCNA)路由與交換技術(shù)的相關(guān)內(nèi)容。全書(shū)共分為13章。
本書(shū)首先介紹了計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生和演進(jìn)、計(jì)算機(jī)通信使用的協(xié)議、IP地址和子網(wǎng)劃分;然后介紹了使用華為設(shè)備進(jìn)行企業(yè)組網(wǎng)的基本技術(shù),包括路由器和交換機(jī)的基本配置、IP地址的規(guī)劃、靜態(tài)路由和動(dòng)態(tài)路由的配置、使用交換機(jī)進(jìn)行組網(wǎng);最后講解了高級(jí)網(wǎng)絡(luò)技術(shù),其中涉及網(wǎng)絡(luò)安全的實(shí)現(xiàn)、網(wǎng)絡(luò)地址轉(zhuǎn)換和端口映射、將路由器配置為DHCP以實(shí)現(xiàn)IP地址的自動(dòng)分配,以及IPv6、廣域網(wǎng)、VPN相關(guān)的知識(shí)。
本書(shū)以理論知識(shí)為鋪墊,重點(diǎn)凸顯內(nèi)容的實(shí)用性,旨在通過(guò)以練代學(xué)的方式提升讀者的理論理解能力和實(shí)操能力,適合備考華為HCNA認(rèn)證的考生閱讀,也適合有志于投身于網(wǎng)絡(luò)技術(shù)領(lǐng)域的初學(xué)者閱讀,還可作為網(wǎng)絡(luò)專業(yè)課程的教材。
高陽(yáng)