虛擬專用網絡（VPN）

圖2 VPN示意圖

如圖2所示，企業在北京的網絡接入了 Internet，在上海的網絡也接入了 Internet，這兩個局域網通過 Internet 連接起來，但由于北京和上海的兩個網絡是私網，因此不能通過 Internet 直接相互通信，從而也確保了它們內網的數據安全。

通過配置兩端的路由器 R1 和 R2，可以為兩個局域網創建一條隧道，讓兩個局域網之間能夠相互通信。通過加密和身份驗證技術實現數據通信的安全，能夠達到像專線一樣的效果。這種在公共網絡中建立的連接多個局域網的隧道就稱為虛擬專用網絡(VPN)，如圖2所示。

通過 VPN，可利用 Internet 對兩地的網絡進行互聯，只需要支付本地接入 Internet 的費用， 費用低。使用 IPSec 能夠保證數據通信安全，不改變使用習慣，使用私網地址和對方進行通信。

配置站點間 VPN

站點間 VPN 就是在 Internet 上創建 VPN 隧道，對多個局域網進行連接（就相當于兩個地方只有當地內部人員才能訪問的網絡連接在一起，）。而遠程訪問 VPN，是在遠程計算機上建立到企業內網的 VPN 連接，訪問企業內網。

GRE 隧道 VPN

GRE(Generic Routing Encapsulation)是通用路由封裝協議，它對某些網絡層協議(如 IP 和 IPX)的數據包進行封裝，使這些被封裝的數據包能夠在另一個網絡層協議(如 IP)中傳輸。 下面討論的 GRE 隧道 VPN，用于將跨 Internet 的內網之間通信的數據包封裝到具有公網地址的數據包中進行傳輸。

如圖所示，北京和上海的兩個局域網通過 Internet 連接，在 AR1 和 AR3 上配置 GRE 隧道，這時候大家應該把這條隧道當成連接 AR1 和 AR3 的一根網線。AR1 隧道接口的地址和 AR3 隧道接口的地址在同一個網段。這樣理解，就很容易想到，要想實現這兩個私網間的通信， 需要添加靜態路由。在 AR1 上添加到上海網段的路由，下一跳地址是 172.16.0.2;在 AR3 上添加到北京網段的路由，下一跳地址是 172.16.0.1。

GRE隧道VPN的網絡拓撲

圖中也畫出了 PC1 與 PC2 通信的數據包，在隧道中(也就是在 Internet 中)傳輸時的封裝格式示意圖，可以看到 PC1 到 PC2 的數據包的外面又有一層 GRE 封裝，最外面是隧道的目標地址和源地址。

GRE 隧道 VPN 的網絡拓撲使用 eNSP 參照圖搭建實驗環境。

AR1 上的配置如下:

[AR1]interface GigabitEthernet 0/0/0 [AR1-GigabitEthernet0/0/0]ip address 20.1.1.1 24[AR1-GigabitEthernet0/0/0]quit[AR1]interface Vlanif 1[AR1-Vlanif1]ip address 10.1.1.1 24 [AR1-Vlanif1]quit[AR1]ip route-static 20.1.2.0 24 20.1.1.2      ---添加到20.1.2.0/24網絡的路由

AR2 上的配置如下，不添加到北京和上海網絡的路由，因為在 Internet 上的路由器中不會 添加到私有網絡的路由。

[AR2]interface GigabitEthernet 0/0/0 [AR2-GigabitEthernet0/0/0]ip address[AR2-GigabitEthernet0/0/0]quit[AR2]interface GigabitEthernet 0/0/1 [AR2-GigabitEthernet0/0/1]ip address[AR2-GigabitEthernet0/0/1]quit

AR3 上的配置如下。

[AR3]interface GigabitEthernet 0/0/0 [AR3-GigabitEthernet0/0/0]ip address [AR3-GigabitEthernet0/0/0]quit[AR3]interface Vlanif 1[AR3-Vlanif1]ip address 10.1.2.1 24 [AR3-Vlanif1]quit[AR3]ip route-static 20.1.1.0 24 20.1.2.2    --添加到20.1.1.0/24網絡的路由 

現在，在 AR1 上創建到上海網絡的 GRE 隧道接口，并添加到上海網絡的路由。

[AR1]interface Tunnel 0/0/0                  --指定隧道接口編號[AR1-Tunnel0/0/0]tunnel-protocol ?           --查看隧道支持的協議  gre          Generic Routing Encapsulation   ipsec        IPSEC Encapsulation  ipv4-ipv6    IP over IPv6 encapsulation   ipv6-ipv4    IPv6 over IP encapsulation   mpls         MPLS Encapsulation  none         Null Encapsulation [AR1-Tunnel0/0/0]tunnel-protocol gre         --隧道使用GRE協議[AR1-Tunnel0/0/0]ip address 172.16.0.1 24    --指定隧道接口的地址[AR1-Tunnel0/0/0]source 20.1.1.1             --指定隧道的起點(源地址)[AR1-Tunnel0/0/0]destination 20.1.2.1        --指定隧道的終點(目標地址)[AR1-Tunnel0/0/0]quit[AR1]ip route-static 10.1.2.0 24 172.16.0.2  --添加到上海網絡的路由

添加到上海網絡的路由，下一跳地址也可以使用 Tunnel 0/0/0 替換。

[AR1]ip route-static 10.1.2.0 24 Tunnel 0/0/0

在 AR3 上創建到北京網絡的 GRE 隧道接口，并添加到北京網絡的路由。

[AR3]interface Tunnel 0/0/0 [AR3-Tunnel0/0/0]tunnel-protocol gre [AR3-Tunnel0/0/0]ip address 172.16.0.2 24[AR3-Tunnel0/0/0]source 20.1.2.1 [AR3-Tunnel0/0/0]destination 20.1.1.1 [AR3-Tunnel0/0/0]quit[AR3]ip route-static 10.1.1.0 24 172.16.0.1

抓包分析GRE隧道中的數據包格式。如圖所示，右擊AR2路由器，單擊“數據抓包”， 再單擊“GE 0/0/0”接口。

開始抓包后，用 PC1 ping PC2，觀察捕獲的數據包，查看 GRE 封裝，如圖所示。

上面給大家展示了創建 GRE 隧道 VPN，將兩個城市的局域網連接起來。如果一個企業在 北京、上海、石家莊 3 個城市都有局域網，如圖所示，創建 GRE 隧道 VPN，需要在每個路由器上創建兩個 Tunnel 接口，分別定義好隧道的起點和終點，以及隧道接口地址，添加到遠程網絡的路由。

抓包分析 GRE 隧道中的數據包格式

總結：GRE 是一個標準協議，支持多種協議和多播，能夠用來創建彈性的 VPN，支持多點隧道，能夠實施 QoS。

GRE 協議存在的以下問題：

1. 缺乏加密機制，沒有標準的控制協議來保持 GRE 隧道(通常使用協議和 kee palive)，
2. 隧道很消耗 CPU，出現問題時進行調試很困難。

以上內容摘自《華為HCNA路由與交換學習指南》，作者是韓立剛、李圣春、韓利輝

縱觀網絡，并沒有十全十美的協議，本篇我們著重講解了虛擬專用網絡，詳細地介紹了如何將兩個安全的網絡通過“隧道”的方式連接在一起，使得內部數據之間的傳輸更加安全。

網絡技術是一門很深的學問，涉及到行業方方面面，建議通過《華為HCNA路由與交換學習指南》這本書去深入地了解。

本書專門介紹華為認證網絡工程師(HCNA)路由與交換技術的相關內容。全書共分為13章。

本書首先介紹了計算機網絡的產生和演進、計算機通信使用的協議、IP地址和子網劃分；然后介紹了使用華為設備進行企業組網的基本技術，包括路由器和交換機的基本配置、IP地址的規劃、靜態路由和動態路由的配置、使用交換機進行組網；最后講解了高級網絡技術，其中涉及網絡安全的實現、網絡地址轉換和端口映射、將路由器配置為DHCP以實現IP地址的自動分配，以及IPv6、廣域網、VPN相關的知識。

本書以理論知識為鋪墊，重點凸顯內容的實用性，旨在通過以練代學的方式提升讀者的理論理解能力和實操能力，適合備考華為HCNA認證的考生閱讀，也適合有志于投身于網絡技術領域的初學者閱讀，還可作為網絡專業課程的教材。